53-电商搭建_验证插件.docVIP

电商项目 使用技术 thinkPHP版本：3.2.2 插件：validate.js前端验证插件 ueditor在线编辑器 多说（留言评论）HTMLPURIER（XSS攻击过滤） 模块管理： 商品模块（属性问题） 会员模块（邮箱验证（phpmailer类），手机验证：只是为了获取用户资料，方便下次活动的推广） 购物车模块（支付宝集成） 注意：使用MySQL管理工具 phpmyadmin 解决方案： 使用：必须在服务器环境下使用 在浏览器端输入对应 URL/phpmyadmin 注意：开发过程中 全部是php原生嵌套（不使用smarty） ?php echo “hi” ;? 项目搭建 模板文件 实际搭建环境 1. 创建网站根目录 2. 配置虚拟机 3. 配置hosts文件 导入TP源码 5. 浏览器效果（利用自动在application下生成文件） 修改一下数据库配置文件 注意：svn用上 URL地址： 0:81/svn/shop13/ 账号 test 密码 空 商品管理 学习目的：学会用TP完成对一张表的CURD。（ajax完成） 增加、修改 验证： 前台：js验证为了提升用户的体验 后台：php程序为了安全 查询 （翻页，搜索，排序）ajax无刷新分页只要对数据的拼接（html字符串赋值到指定DOM元素上面） 建表 注意建表事项： 表要使用前缀it_ 表中字段要合理 能用 tinyint（255） 就不要使用int，但是实际使用还是根据业务需求 尽量设置 not null 存储引擎选择，如果需要使用事务就是InnoDB，一般还是使用MyISAM 设置字符集（utf8） 参照MySQL手册可以使用优化 注意：商品名称适合建立索引吗？ 答：不需要， 因为在使用商品名称做查询的时候， 一般使用的SQL语句是 select * from tableName where goods_name like “%手机%”; 1. 建库 2. 建表 商品的增删改查 思考：完成这个功能需要几个文件？ 答：Controller Model 三个静态文件（add edt lst）只需要这个五个文件 实际操作 1. 创建一个GoodsController文件（注意在success方法后需要终止exit） 2. 创建一个add静态页 3. 创建一个Model添加验证规则（一般数据的处理都放在Model里面完成） 可以参照TP的手册完成自动验证功能： 验证的时候，在copy的时候，需要注意空格问题 GoodsModel里面的自动验证代码 简单TP的Model源代码分析： 过滤数据 行为判断（插入，更新） GoodsModel里面允许的合法字段 非法字段过滤（不是GoodsModel里面允许的字段，全部unset掉） 安全漏洞 1. 用户可以篡改表单，修改ID，使得数据库主键ID增加到最大，其他数据无法提交 预防手段： 在GoodsModelodel里面增加一个属性，添加允许提交的字段 简单分析数字签名技术，防止用户篡改隐藏域的ID 数字签名：（凯撒密码） 插件的使用 validate前端验证插件 使用： 注意：引入这些js文件（顺序问题，因为这个插件是基于jQuery开发的，所以jQuery必须先引入） 1. 导入js文件到网站PUBLIC目录下的Js文件夹下 2. 在add.html页面引入js文件 3. 定义form的ID属性，便于获取元素 4. 获取元素调用validate方法 5. 显示效果 6. 小的修饰（样式）： 7. 页面显示 2. ueditor在线编辑器使用 官网：/ 文档：/ueditor/ 使用 注意：引入ueditor插件的文件（顺序问题） 1. 导入文件 2. 引入js文件 3. 定义textarea的ID属性（必须是ID属性） 4. 在script标签内调用 3. 商品显示 问题：在使用ueditor在线编辑器之后，html标签无法正常显示？（htmlspecialchars这个函数会把html标签转换实体符号），但是千万不能不过滤（因为有sql注入，xss攻击） 解决方案：换一个函数 HTML Purifier这个函数既可以过滤xss攻击，有可以正常显示html标签 引入文件（网站根目录） 2. 定义function.php (注意这个文件没有s) 修改配置文件，使得I函数的过滤方法为上面function.php里面定义的removeXSS函数 I函数分析 项目配置文件 扩展 D函数和M函数