在PHP中全面阻止SQL注入式攻击之三.docVIP

一、建立一个安全抽象层 ? 我们并不建议你手工地把前面介绍的技术应用于每一个用户输入的实例中，而是强烈推荐你为此创建一个抽象层。一个简单的抽象是把你的校验方案加入到一个函数中，并且针对用户输入的每一项调用这个函数。当然，我们还可以创建一种更复杂的更高一级的抽象-把一个安全的查询封装到一个类中，从而应用于整个应用程序。在网上已经存在许多这种现成的免费的类；在本篇中，我们正要讨论其中的一些。 进行这种抽象至少存在三个优点（而且每一个都会改进安全级别）： 1. 本地化代码。2. 使查询的构造更快且更为可靠-因为这可以把部分工作交由抽象代码来实现。 3. 当基于安全特征进行构建并且恰当使用时，这将会有效地防止我们前面所讨论的各种各样的注入式攻击。 二、改进现有的应用程序 如果你想改进一个现有的应用程序，则使用一个简单的抽象层是最适当的。一个能够简单地清理你所收集的任何用户输入内容的函数可能看起来如下所示： view source print? 1 function safe( $string ) { 2 　return . mysql_real_escape_string( $string ) . 3 } 【注意】我们已经构建了相应于值要求的单引号以及mysql_real_escape_string()函数。接下来，就可以使用这个函数来构造一个$query变量，如下所