PHP高级代码实践：MVC项目中安全退出与SQL注入防御.pdfVIP

[功能]

分析

常规：删除登录凭证：unset($_SESSION[‘admin’])

完整性：是否需要完全删除session数据。SessionDeleteAll()

额外：如果存在记录登陆状态功能，需要同时删除中的登陆状态记录。

实现

在back/AdminController-logoutAction()

完成以上功能。

同时跳转到登陆界面。

SQL注入

浏览器用户，通过特殊的数据，影响了SQL的执行，称之为注入，SQL注入。

登陆时以数据：以用户名：kang#为例：

此时，SQL受用户数据所影响，由2个条件，变为一个条件。更改了SQL的结构！

类似：kang’--空格

--空格也是注释符号！

类似：不需要用户名：or1or

如何避免？

关键在于使用了单引号，结束了，字符串表达式的定义。就可以开启新的逻辑！

字符转义

转义：转换含义。

例如单引号：

含义一：SQL中字符串的定义符号。

含义二：普通字符单引号。

转义的函数，推荐使用：

Mysql扩展的函数：（当前操作数据库，就是使用mysql扩展）

转义后的数据=Mysql_real_escape_string(带转义数据,连接资源