防止sql注入
1、查詢條件盡量使用數組方式,具體如下:
1 $wheres = array(); 2 3 $wheres['account'] = $account; 4 5 $wheres['password'] = $password; 6 7 $User->where($wheres)->find();
?
2、如果必須使用字符串,建議使用預處理機制,具體如下:
1 $User = D('UserInfo'); 2 3 $User->where('account="%s" andpassword="%s"',array($account,$password))->find();
?
3、可以使用PDO方式(綁定參數),因為這里未使用PDO,所以不羅列,感興趣的可自行查找相關資料。
表單合法性檢測
1、配置insertFields和updateFields屬性
1 class UserInfoModelextends Model { 2 3 // 數據表名字 4 5 protected $tureTableName ='user'; 6 7 8 9 // 配置插入和修改的字段匹配設置(針對表單) 10 11 protected $insertFields =array('name','sex','age'); 12 13 protected $updateFields =array('nickname','mobile'); 14 15 }
?
上面的定義之后,當我們使用了create方法創建數據對象后,再使用add方法插入數據時,只會插入上面配置的幾個字段的值(更新類同),具體如下:
1 // 用戶注冊(示意性接口:插入) 2 3 public function register() { 4 5 // ... 6 7 // 使用Model的create函數更安全 8 9 $User= D('UserInfo'); 10 11 $User->create(); 12 13 $ID= $User->add(); 14 15 if($ID) { 16 17 $result= $User->where('id=%d',array($ID))->find(); 18 19 echo json_encode($result); 20 21 } 22 23 // ... 24 25 }
?
2、使用field方法直接處理
1 // 插入 2 3 M('User')->field('name,sex,age')->create(); 4 5 // 更新 6 7 M('User')->field('nickname,mobile’)->create();
?
?
over!over!over!
![javascript --- [jsonp] script標簽的妙用(繞過同源限制)](http://pic.xiahunao.cn/javascript --- [jsonp] script標簽的妙用(繞過同源限制))
)
![bzoj 1645: [Usaco2007 Open]City Horizon 城市地平線【線段樹+hash】](http://pic.xiahunao.cn/bzoj 1645: [Usaco2007 Open]City Horizon 城市地平線【線段樹+hash】)
