PHP The First Lesson - Chương 3

Chương 3: PHP và MySQL1. Các bước truy cập CSDL 2. SQL Injection $biến_kết_nối = mysql_connect(“máy_chủ”,“tên”,“mật_khẩu”) or die(“Không kết nối ñược”); Hàm die(“Chu i”): Đưa ra thông báo và kết thúc. Với cách viết trên, die chỉ thực hiện khi lệnh trước nó không thành công $cnn = mysql_connect(“localhost”,”coursek50”,”123 456”);.L a ch n cơ s d li umysql_select_db(“Tên CSDL”) or die (“Chưa có CSDL”);mysql_select_db(“coursek50”);...
Nội dung trích xuất từ tài liệu:
PHP The First Lesson - Chương 3PHP The Fourth Lesson Hanoi University of Science and Technology (hust.vn) Chương 3: PHP và MySQL1. Các bước truy cập CSDL2. SQL InjectionCác bư c truy c p cơ s d li u T o k t n i đ n Database Server$biến_kết_nối =mysql_connect(“máy_chủ”,“tên”,“mật_khẩu”)or die(“Không kết nối ñược”);Hàm die(“Chu i”): Đưa ra thông báo và kếtthúc.Với cách viết trên, die chỉ thực hiện khi lệnhtrước nó không thành công$cnn =mysql_connect(“localhost”,”coursek50”,”123456”); L a ch n cơ s d li umysql_select_db(“Tên CSDL”)or die (“Chưa có CSDL”);mysql_select_db(“coursek50”); Vi t truy v n$biến = mysql_query(“Lệnh SQL”)or die(“Không thực hiện ñược SQL”);$sql = mysql_query(“Select * Fromaccount Where username = ‘coursek50’”); Các hàm h trmysql_affected_rows(): Số bản ghi bị tácñộng bởi lệnh mysql_query liền trướcmysql_num_rows(): Kết quả số bản ghicủa câu lệnh mysql_querymysql_error(): Thông báo lỗi (nếu có)mysql_errno(): Mã lỗi Các hàm x lý k t qumysql_fetch_array($sql): trả về một dòngbản ghi dưới dạng một mảng với chỉ mụcdạng số hoặc tên của trường.mysql_fetch_row($sql): trả về kết quả làmột mảng có thứ tự (bắt ñầu từ 0)mysql_fetch_assoc($sql): trả về kết quả làmột mảng ñược ñánh chỉ số bằng tênTham khảo tại: http://vn2.php.net/mysqlSQL Injuction Th nào là SQL InjectionLà một kỹ thuật cho phép những kẻ tấncông thi hành các câu lệnh truy vấn SQLbất hợp phápBằng cách lợi dụng lỗ hổng trong việckiểm tra dữ liệu nhập trong các ứng dụngweb Ví d$sql=mysql_query(“Select * Fromaccount Where username = ‘$user’ Andpassword = ‘$pass’”)Nếu như User nhập biến User là: “OR 1 ORuser=“ thì câu lệnh SQL sẽ là:SELECT * FROM users WHERE user = OR 1OR user= AND password = $password“ Và kết quả trả về sẽ là toàn bộ user trong cơ sởdữ liệu (ti p)$sql=“Insert Into table_name Values(‘$val1’,’$val2’,’$val3’)”; Nếu như các biến val1 thành như sau: ‘ + (Select Top 1 Fieldname From TableName) +’ Insert Into TableName Values(‘’ + Select Top 1 FieldName From TableName)+ ‘’,’$val2,’$val3’) Cách phòng tránhSQL Injection khai thác những bất cẩn củacác lập trình viên phát triển ứng dụng webkhi xử lý dữ liệu nhập vàoTùy vào môi trường và cách cấu hình hệthống mà tác hại là nặng hay nhẹ (ti p)Kiểm soát chặt chẽ dữ liệu nhập vào– Giới hạn chiều dài của chuỗi nhập liệu– Xây dựng hàm thay thế dấu 1 nháy ñơn bằng 2 dấu nháy ñơn– Xây dựng hàm loại bỏ một số kí tự và từ khóa nguy hiểm– Dùng hàm addslashes ñể thêm “” vào trước chuỗi nhập vào Ví dHàm length ñể giới hạn ñộ dàiHàm thay thế ‘ thành ‘‘function replace($input){ $output = str_replace(,,$input); return $output;} (ti p)Hàm loại bỏ các kí tự không mong muốnfunction killchar($input){ $len = strlen($input); $char = array(select,drop,;,-- ,insert,delete,xp_); $output = str_replace($char,,$input); return $output;}L p trình AJAX Gi i thi uAJAX = Asynchronous JavaScript And XMLAJAX không phải là ngôn ngữ mới mà làmột cách mới sử dụng các ngôn ngữ ñãcó.AJAX giúp ta tạo các trang web nhanhhơn, tiện lợi hơn, thân thiện hơn khi sửdụng.AJAX là tập hợp của nhiều công nghệ vớithế mạnh của riêng mình ñể tạo thànhmột sức mạnh mới Đ c đi m AJAXLà công nghệ của web browser. Độc lậpvới web server.Sử dụng JavaScript ñể gửi và nhận dữ liệugiữa client và server.AJAX dựa trên:– JavaScript– XML– HTML– CSSAJAX sử dụng XML và HTTP Request So sánh Click –Wait-And-RefreshAjax based