作者ottokang (貓貓的大玩偶)
看板PHP
標題Re: [請益] 判斷字串內容..
時間Thu Jun 29 01:31:06 2006
※ 引述《timyau (偉哉!33WR)》之銘言:
: 我想要在表單上判斷輸入的內容
: 比如輸入帳號時,只允許數字與英文(避免'符號與SQL 隱碼攻擊)
: 那麼我是要在表單輸入時就進行 ereg("[0-9][a-Z]",$username);
: 還是要在SQL 語法執行前
: 使用 if (!get_magic_quote_gpc()) addslashes($username);
: sprintf("SELECT data FROM user WHERE username = %s", $username);
: 然後再帶進去比較好呢?
: 感謝指教
建議檢查表單內容要在javascript和 PHP都做
javascript是防止使用者打錯,但是如果有人有心要破壞
只要把瀏覽器的JS功能關掉,你的檢查就失效了
至於php端在什麼地方做檢查,這個就隨大家高興啦
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.228.179.220
推 cjoe:恩..最好在動做執行前檢查會比較好... 06/29 10:27
推 appleboy46:動作執行前 是什麼意思? 應該是擺在程式碼前端 06/29 10:53
推 qrtt1:動作之前就是你在真的要使用user input value來做某些運算 06/29 19:40
→ qrtt1:資料庫更新.. 什麼的動作之前 06/29 19:41