php数据怎么添加

1、php数据怎么添加，我们常见的提交方式有哪些？

WEB安全之SQL注入

引言：

在开发网站的时候，出于安全考虑，需要过滤从页面传递过来的字符。通常，用户可以通过以下接口调用数据库的内容：URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露，重则服务器被拿下。

1、SQL注入步骤

a)寻找注入点，构造特殊的语句

传入SQL语句可控参数分为两类 1. 数字类型，参数不用被引号括起来，如 2. 其他类型，参数要被引号扩起来,如

b)用户构造SQL语句(如：'or 1=1#；admin'#（这个注入又称PHP的万能密码，是已知用户名的情况下，可绕过输入密码）以后再做解释)

c)将SQL语句发送给DBMS数据库

d)DBMS收到返回的结果，并将该请求解释成机器代码指令，执行必要得到操作

e)DBMS接受返回结果，处理后，返回给用户

因为用户构造了特殊的SQL语句，必定返回特殊的结果(只要你的SQL语句够灵活)

下面，我通过一个实例具体来演示下SQL注入 二、SQL注入实例详解(以上测试均假设服务器未开启magic_quote_gpc)

1) 前期准备工作 先来演示通过SQL注入漏洞，登入后台管理员界面 首先，创建一张试验用的数据表：

CREATE TABLE `users` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(64) NOT NULL, `password` varchar(64) NOT NULL, `email` varchar(64) NOT NULL,PRIMARY KEY (`id`),UNIQUE KEY `username` (`username`) ) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

添加一条记录用于测试：

INSERT INTO users (username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@test.com');

接下来，贴上登入界面的源代码

<html><head><title>Sql注入演示</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body ><form action="validate.php" method="post"><fieldset ><legend>Sql注入演示</legend><table><tr><td>用户名：</td><td><input type="text" name="username"></td></tr><tr><td>密 码：</td><td><input type="text" name="password"></td></tr><tr><td><input type="submit" value="提交"></td><td><input type="reset" value="重置"></td></tr></table></fieldset></form></body></html>

附上效果图：

当用户点击提交按钮的时候，将会把表单数据提交给validate.php页面，validate.php页面用来判断用户输入的用户名和密码有没有都符合要求（这一步至关重要，也往往是SQL漏洞所在）

! <!--前台和后台对接--><html><head><title>登录验证</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body><?php $conn=@mysql_connect("localhost",'root','') or die("数据库连接失败！");; mysql_select_db("injection",$conn) or die("您要选择的数据库不存在"); $name=$_POST['username']; $pwd=$_POST['password']; $sql="select * from users where username='$name' and password='$pwd'"; $query=mysql_query($sql); $arr=mysql_fetch_array($query);if(is_array($arr)){ header("Location:manager.php"); }else{ echo "您的用户名或密码输入有误，<a href=\"Login.php\">请重新登录！</a>"; } ?></body></html>

注意到了没有，我们直接将用户提交过来的数据(用户名和密码)直接拿去执行，并没有实现进行特殊字符过滤，待会你们将明白，这是致命的。 代码分析：如果，用户名和密码都匹配成功的话，将跳转到管理员操作界面(manager.php)，不成功，则给出友好提示信息。 登录成功的界面：

登录失败的提示：

到这里，前期工作已经做好了，接下来将展开我们的重头戏：SQL注入

2) 构造SQL语句 填好正确的用户名(marcofly)和密码(test)后，点击提交，将会返回给我们“欢迎管理员”的界面。 因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的： select * from users where username='marcofly' and password=md5('test') 很明显，用户名和密码都和我们之前给出的一样，肯定能够成功登陆。但是，如果我们输入一个错误的用户名或密码呢？很明显，肯定登入不了吧。恩，正常情况下是如此，但是对于有SQL注入漏洞的网站来说，只要构造个特殊的“字符串”，照样能够成功登录。

比如：在用户名输入框中输入:' or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为： select * from users where username='' or 1=1#' and password=md5('') 语义分析：“#”在mysql中是注释符，这样井号后面的内容将被mysql视为注释内容，这样就不会去执行了，换句话说，以下的两句sql语句等价：

select * from users where username='' or 1=1#' and password=md5('')

等价于

select* from users where usrername='' or 1=1

因为1=1永远是都是成立的，即where子句总是为真，将该sql进一步简化之后，等价于如下select语句：

select * from users 没错，该sql语句的作用是检索users表中的所有字段

上面是一种输入方法，这里再介绍一种注入的方法，这个方法又称PHP的万能密码

我们再已知用户名的条件下，可以不能密码即可登入，假设用户名：admin

构造语句：

select * from users where username='admin'#' and password=md5('')

等价于

select * from users where username='admin'

这样即可不能输入密码登入上去的。

数据库就会错认为不用用户名既可以登入，绕过后台的验证，已到达注入的目的。

同样利用了SQL语法的漏洞。

看到了吧，一个经构造后的sql语句竟有如此可怕的破坏力，相信你看到这后，开始对sql注入有了一个理性的认识了吧~ 没错，SQL注入就是这么容易。但是，要根据实际情况构造灵活的sql语句却不是那么容易的。有了基础之后，自己再去慢慢摸索吧。 有没有想过，如果经由后台登录窗口提交的数据都被管理员过滤掉特殊字符之后呢？这样的话，我们的万能用户名' or 1=1#就无法使用了。但这并不是说我们就毫无对策，要知道用户和数据库打交道的途径不止这一条。

2、php代码要写在html文档的什么位置？

php的开始标记与结束标记有：

1.xml风格（标准风格推荐使用）

代码如下:

<?php

echo"这是xml风格的标记";

?>

xml风格的标记是常用的标记，也是推荐使用的标记，服务器不能禁用，该风格的标记在xml，xhtml中都可以使用。

2.脚本风格

代码如下:

<script languange="php">

echo'这是脚本风格的标记';

</script>

3.简短风格

代码如下:

<?这是简短风格的标记;?>

注：需要在php.ini中设置short _open_tag=on，默认是on,或者在 PHP 编译时加入了 –enable-short-tags 选项。(PHP 3版本还可以通过 short_tags() 函数激活使用短标记。)

4.asp风格

代码如下:

<%

echo'这是asp风格的标记';

%>

3、服务器运行环境怎么快速搭建？

由于题主没有明确是哪种环境，下面主要介绍两大系统平台的运行环境的最简部署方式。

1. Linux系统 宝塔面板

2. Windows 宝塔面板、PhpStudy(比较简单)

有能力的程序员，可以自行安装：MySQL（或者PostgreSQL）、PHP运行时、JDK、Apache（或者Nginx、Tomcat）

初学者、怕麻烦的程序猿或者运维工程师都会使用一类综合的环境部署工具，例如宝塔面板来构建程序的基础环境，善于探索和不怕麻烦的程序猿、运维老鸟都可能会独立部署服务器运行环境。

注：由于Linux生态多种多要，但是安装方式大同小异，因包管理器和构建工具的不同，稍稍有点差异，但是在安装宝塔面板上，没有区别。

Linux系统平台 宝塔面板

宝塔Linux面板是提升运维效率的服务器管理软件，支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。

有20个人的专业团队研发及维护，经过200多个版本的迭代，功能全，少出错且足够安全，已获得全球百万用户认可安装。运维要高效，装宝塔。

宝塔面板支持CentOS，Ubuntu、Debian、Fedora，下面以CentOS7.x为例。

1. 通过ssh工具登录服务器

这里推荐大家使用Putty进行登录。注意要开放ssh连接的端口，一般默认是22，为了网站安全推荐大家更换ssh登录端口。设置为不常用的端口。

输入账号和密码，注意密码在输入时是不显示的，大家不要以为密码没输入。

2. 安装宝塔面板

执行以下代码进行安装宝塔6.9免费版。宝塔6.9版本已经很稳定了，推荐大家直接安装6.9版本（注意：宝塔linux6.0版本是基于centos7开发的，务必使用

centos7.x

系统）。

yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && bash install.sh

回车进行安装。

输入y，并回车。接下来便是等待宝塔面板进行安装。

我们得到登录宝塔面板的URL,账号和密码。

面板地址：http://{您的服务器IP}:8888

初始化：第一次使用会要求初始化配置，请按照提示填入配置信息。

安装完成宝塔面板后，我们就可以在浏览器中访问了。复制Bt-panel中的URL到浏览器上访问。注意要打开服务器（服务器系统的自身的防火墙iptables或者

firewall.d

+云主机厂商的防火墙，如果你的主机确实在云上的话 ）上的8888端口。

输入默认的账号和密码进行登录。

3. 设置宝塔面板

进入主页就能看到面板的各项设置了。

在软件商店里安装各种工具，例如Ngxin、PHP，在网站选项卡里创建站点，即可使用服务！

Windows宝塔面板

直接在服务器上运行宝塔

.exe

就可以了，后面流程和Linux相似。

Windows PhpStudy

phpStudy也出最新版本支持Linux，但是还是不够完善，目前还是8.0最好用。

PhpStudy有自己的用户界面，直接双击安装文件即可安装，相对于宝塔win版，它是没有非Web客户端的。

在Win上，PhpStudy的易用性高于宝塔面板！

码字不易，如果觉得作者说的不错，恳请诸位点个赞，或者加个关注，万分感谢?。

4、php连接数据库失败？

尝试一下解决方法：

1、数据库连接失败could not find driver

在调试一个PHP程序时,报了这个错误, could not find driver

经过一番查找,结合自己的思考和实践,终于找到了问题所在.

程序中用到了PDO对象, 连接mysql 5. 在PHP的默认设置中,只打开了php_pdo 模块, 没有打开php_pdo_mysql模块.所以才会出现找不到驱动程序的错误.

修改php.ini

extension=php_pdo.dll

extension=php_pdo_firebird.dll

extension=php_pdo_mssql.dll

extension=php_pdo_mysql.dll

2、重启apache就可以了. 用别的数据库,打开对应的模块就OK了

如果在linux下面，确信模块pdo_mysql.so已经编译进php。

在php.ini下面添加：

extension=pdo_mysql.so

5、在php中怎么来实现根据不同的用户登录来显示不同的网页内容呢？

最好的解决方法就是授予不同用户不同权限，在数据库中设计用户表，权限表和两个的关联表，在用户登录的时候搜索数据库中这个用户对应的权限信息，然后在页面上添加相应的链接。这个要做好路由