月份：2017年11月

<?php
/*
描述：从0a上抓取站点信息
作者：xuduowei
日期：2011.02.12
*/
class getInfoController extends tcoaBaseController{

protected $getInfoModel;
public function set_getInfoModel($getInfoModel){
$this->getInfoModel=$getInfoModel;
}
//载入checkSessionModel模型，方便后面调用里面的方法，如：域名列表显示
protected $checkSessionModel;
public function set_checkSessionModel($checkSessionModel){
$this->checkSessionModel=$checkSessionModel;
}

//jquery调用方法
public function getInfo(){
$domain=trim($_POST[‘domain’]);
$domainarr=$this->getInfoModel->listsite($domain);
$old_timeout=ini_get(‘default_socket_timeout’);
ini_set(‘default_socket_timeout’,15); //设置file_get_contents 取值超时，当前是15秒

foreach($domainarr as $domainname){
$ftpdomain=$domainname[‘ftp_domain’];
$siteipold=$domainname[‘siteip’];
$ftp_userold=$domainname[‘ftp_user’];
$ftp_passold=$domainname[‘ftp_pass’];
$db_hostold=$domainname[‘db_host’];
$db_userold=$domainname[‘db_user’];
$db_passold=$domainname[‘db_pass’];
$serveripold=$domainname[‘serverip’];

$domainarr=explode(“www.”,$ftpdomain);
$begainurl=Project::singleton()->getConfig(‘customConfig.getInterfaceURL’);//其中getInterfaceURL为tcoaBaseController中的一个自定义变量（接口路径）。
$url=$begainurl.$domainarr[1];

$jsoncon=””;
$i=0;
if(function_exists(“file_get_contents”)){
while($i<3&&empty($jsoncon)){
$i++;
$jsoncon=file_get_contents($url);
}
}elseif(function_exists(‘curl_init’)){
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt ($ch, CURLOPT_POST, 1);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
$jsoncon = curl_exec ($ch);
curl_close ($ch);
}
if(!empty($jsoncon)){
// $jsoncon=file_get_contents($url);//若直接这样写的话，不是很完美。参看行28-39
$ans = json_decode($jsoncon,true);
$siteip=$ans[“ip”];
$ftpuser=$ans[“ftpuser”];
$ftppwd=$ans[“ftppwd”];

$dbuser=$ans[“dbuser”];
$dbpwd=$ans[“dbpwd”];
$db=$ans[“db”];
$siteip2=$siteip;
$serverip=$ans[“server”];
//从oa上获得信息后，按域名更新相应的信息。
$this->getInfoModel->updateinfo($siteip2,$ftpuser,$ftppwd,$siteip2,$dbuser,$dbpwd,$db,$serverip,$ftpdomain);
if(!empty($ftpdomain)){
if($siteipold==$siteip){
$str.=”成功更改：”.$ftpdomain.”–原子站ip:”.$siteipold.”–<font color=red>更改后:”.$siteip.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原ftp用户名:”.$ftp_userold.”–<font color=red>更改后:”.$ftpuser.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原ftp密码:”.$ftp_passold.”–<font color=red>更改后:”.$ftppwd.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原数据库用户名:”.$db_userold.”–<font color=red>更改后:”.$dbuser.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原数据库密码:”.$db_passold.”–<font color=red>更改后:”.$dbpwd.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原服务器ip:”.$serveripold.”–<font color=red>更改后:”.$serverip.”</font><br/>”;
echo $str;
}else{
$str.=”成功更改：”.$ftpdomain.”–原子站ip:<font color=blue>”.$siteipold.”</font>–<font color=red>更改后:”.$siteip.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原ftp用户名:<font color=blue>”.$ftp_userold.”</font>–<font color=red>更改后:”.$ftpuser.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原ftp密码:<font color=blue>”.$ftp_passold.”</font>–<font color=red>更改后:”.$ftppwd.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原数据库用户名:<font color=blue>”.$db_userold.”</font>–<font color=red>更改后:”.$dbuser.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原数据库密码:<font color=blue>”.$db_passold.”</font>–<font color=red>更改后:”.$dbpwd.”</font><br/>”;
$str.=”成功更改：”.$ftpdomain.”–原服务器ip:<font color=blue>”.$serveripold.”</font>–<font color=red>更改后:”.$serverip.”</font><br/>”;
echo $str;
}
}
}else{
$str=”<font color=red>更改失败!!!!!!!</font>”.$ftpdomain.”–原ip:”.$siteipold.”<br/>”;
echo $str;
}
if(!empty($ftpdomain)){
$this->insertLog($ftpdomain,$str);
}
}//结束foreach
ini_set(‘default_socket_timeout’,$old_timeout);
}//结束function

//视图方法
public function showGetInfo(){
$this->getInfo();
$View=ViewDepository::singleton()->imLoad(‘./tcoaView/getInfoView.php’);
$View->showtypename=$this->checkSessionModel->listtypename();
echo $View->render();
}

//写日志方法
public function insertLog($domain,$str){
$time=time();
$group_id= $this->userName.”_”.date(“YnjHis”);
//$tj=” group_id=’$group_id’,domain=’$domain’,description=’$str’,checktime=’$time'”;
$arrdomain=$this->getInfoModel->insertlog($group_id,$domain,$str,$time);
}
}
?>

<?php
function sst($result,$keys){
$len=substr_count($result,$keys);
for($i=1;$i<=$len;$i++){
$num=$i.”、”;
$result=preg_replace(“/$keys/”,$num,$result,1);
echo $result.”<br/>”;
}

return $result;
}

sst(“<xdw>十分士大夫发生发生<xdw>123544++;<xdw>545″,”<xdw>”);

?>

本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。

很好的说明了addslashes和mysql_real_escape_string的区别，虽然国内很多PHP coder仍在依靠addslashes防止SQL注入（包括我在内），我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。

当然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符还是用mysql_real_escape_string吧。

另外对于php手册中get_magic_quotes_gpc的举例：
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}
最好对magic_quotes_gpc已经开放的情况下，还是对$_POST[’lastname’]进行检查一下。

再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别：
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0 PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：
mysql_real_escape_string 考虑到连接的当前字符集，而mysql_escape_string 不考虑。

总结一下：

addslashes() 是强行加；

mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；

mysql_escape_string不考虑连接的当前字符集。

mysql_real_escape_string()函数用于转义SQL语句中的特殊字符，该函数的语法格式如下：

string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] )

在上述语法中涉及到的参数说明如下。

unescaped_string：未转义的字符串。

link_identifier：MySQL的连接标识符。

mysql_real_escape_string()函数不转义”%” 和 “_”这两个符号。

使用函数mysql_real_escape_string()函数的示例代码如下：

代码23-19 光盘\codes\第23章\23.4\mysql_real_escape_string.php

<?php $connection=mysql_connect(“localhost”,”root”,”root”) ordie(“连接服务器失败”); $person= “Jone’s and Bobo’s teacher”; $escaped_person= mysql_real_escape_string($person); echo$escaped_person; ?>

上面代码的输出结果如图23-18所示。

图23-18 转义后的字符