简单封装PHP操作MySQL的类

<?php

/*

    类的名称:Model

    类的作用:连接数据库执行sql语句

    作  者:lim

    更新时间:20170812

*/  

class Model{

    //存放连接数据库的资源

    private $link; 

    //构造连接数据库

    public function __construct(){

        $link = mysqli_connect(HOST,USER,PWD,DBNAME) or die('数据库连接失败');

        $this->link = $link;

        mysqli_set_charset($this->link,'utf8'); 

    }

    /*

        函数名称:query()

        函数作用:处理查询

        参  数:$sql: 提交的sql语句

        返 回 值:返回一个二维数组

    */

    public function query($sql){

        //过滤sql

        $sql=$this->CheckSql($sql);

        $res = mysqli_query($this->link,$sql);

        $list = array();

        if($res){

            while($row=mysqli_fetch_assoc($res)){

                $list[] = $row;

            }

            return $list;

        }

        return "sql语句出错=> {$sql} ";

    }

    /*

        函数名称:execute()

        函数作用:处理增删改

        参  数:$sql: 提交的sql语句

        返 回 值:如果是添加返回id 如果是删除和修改返回影响行数

    */

    public function execute($sql){

        //过滤sql

        $sql=$this->CheckSql($sql,"addupddel");

        $res = mysqli_query($this->link,$sql);

        if($res){

            return (mysqli_insert_id($this->link))?mysqli_insert_id($this->link):mysqli_affected_rows($this->link);

        }

          return "sql语句出错=> {$sql} ";

    }

    /*

        函数名称:CheckSql()

        函数作用:SQL语句过滤程序,由80sec提供,这里作了适当的修改

        参  数:$sql: 处理的sql语句

        参  数:$querytype: 类型

        返 回 值:返回处理后的sql语句

    */

    private function CheckSql($sql, $querytype='select')

    {

        $clean   = '';

        $error   = '';

        $pos     = -;

        $old_pos = ;

        //如果是普通查询语句,直接过滤一些特殊语法

        if($querytype == 'select')

        {

            if(preg_match('/[^0-9a-z@\._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@\.-]{1,}/', $sql))

            {

                die('sql非法!');

            }

        }

        //完整的SQL检查

        while(true)

        {

            $pos = strpos($sql, '\'', $pos + );

            if($pos === false)

            {

                break;

            }

            $clean .= substr($sql, $old_pos, $pos - $old_pos);

            while(true)

            {

                $pos1 = strpos($sql, '\'', $pos + );

                $pos2 = strpos($sql, '\\', $pos + );

                if($pos1 === false)

                {

                    break;

                }

                else if($pos2 == false || $pos2 > $pos1)

                {

                    $pos = $pos1;

                    break;

                }

                $pos = $pos2 + ;

            }

            $clean .= '$s$';

            $old_pos = $pos + ;

        }

        $clean .= substr($sql, $old_pos);

        $clean  = trim(strtolower(preg_replace(array('~\s+~s' ), array(' '), $clean)));

        //老版本的Mysql并不支持union,常用的程序里也不使用union,但是一些黑客使用它,所以检查它

        if(strpos($clean, 'union') !== false && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'union detect';

        }

        //发布版本的程序可能比较少包括--,#这样的注释,但是黑客经常使用它们

        else if(strpos($clean, '/*') >  || strpos($clean, '--') !== false || strpos($clean, '#') !== false)

        {

            $fail  = true;

            $error = 'comment detect';

        }

        //这些函数不会被使用,但是黑客会用它来操作文件,down掉数据库

        else if(strpos($clean, 'sleep') !== false && preg_match('~(^|[^a-z])sleep($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'slown down detect';

        }

        else if(strpos($clean, 'benchmark') !== false && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'slown down detect';

        }

        else if(strpos($clean, 'load_file') !== false && preg_match('~(^|[^a-z])load_file($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'file fun detect';

        }

        else if(strpos($clean, 'into outfile') !== false && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'file fun detect';

        }

        //老版本的MYSQL不支持子查询,我们的程序里可能也用得少,但是黑客可以使用它来查询数据库敏感信息

        else if(preg_match('~\([^)]*?select~s', $clean) != )

        {

            $fail  = true;

            $error = 'sub select detect';

        }

        if(!empty($fail))

        {

            die('sql非法!!');

        }

        else

        {

            return $sql;

        }

    } 

}

PHP数据库类的更多相关文章

  1. PHP用单例模式实现一个数据库类

    使用单例模式的出发点: 1.php的应用主要在于数据库应用, 所以一个应用中会存在大量的数据库操作, 使用单例模式, 则可以避免大量的new 操作消耗的资源. 2.如果系统中需要有一个类来全局控制某些 ...

  2. Dedesql数据库类详解

    今天花点时间讲解下织梦的sql数据库类,近期本来是准备录制一套视频教程的,但由于视频压缩的问题迟迟没有开展工作,如果大家有什么好的视频压缩方式可以通过邮件的方式告诉我:tianya#dedecms.c ...

  3. phpcms 源码分析四: 数据库类实现

    这次是逆雪寒的数据库类分析: <?php /* 这个讲 phpcms 的数据库类 和 phpcms 的文本缓存的实现.看了看 都是很简单的东西.大家看着我注释慢慢看吧.慢慢理解,最好能装了PHP ...

  4. php备份数据库类分享

    本文实例讲述了php实现MySQL数据库备份类.分享给大家供大家参考.具体分析如下:这是一个非常简单的利用php来备份mysql数据库的类文件,我们只要简单的配置好连接地址用户名与数据库即可   ph ...

  5. Python一个简单的数据库类封装

    #encoding:utf-8 #name:mod_db.py '''使用方法:1.在主程序中先实例化DB Mysql数据库操作类.      2.使用方法:db=database()  db.fet ...

  6. dede数据库类使用方法 $dsql(转)

    dede数据库类使用方法 $dsql   dedecms的数据库操作类,非常实用,在二次开发中尤其重要,这个数据库操作类说明算是奉献给大家的小礼物了. 引入common.inc.php文件 ? 1 r ...

  7. Dedesql数据库类详解(二次开发必备教程)(转)

    http://www.dedecms.com/help/development/2009/1028/1076.html 织梦DedeCMS的二次开发不仅仅是会写写织梦的标签,会制作织梦的模板.很多时候 ...

  8. CodeIgniter自带的数据库类使用介绍

    在 CodeIgniter 中,使用数据库是非常频繁的事情.你可以使用框架自带的数据库类,就能便捷地进行数据库操作. 初始化数据库类 依据你的数据库配置载入并初始化数据库类: view source ...

  9. CodeIgniter框架——数据库类(配置+快速入门)

    CodeIgniter用户指南——数据库类 数据库配置 入门:用法举例 连接数据库 查询 生成查询结果 查询辅助函数 Active Record 类 事务 表格元数据 字段元数据 自定义函数调用 查询 ...

  10. Dedesql数据库类详解(二次开发必备教程)

    其实数据库类织梦之前就有一个介绍,http://help.dedecms.com/v53/archives/functions/db/,这篇文章讲解了数据库类的一些常见的使用方法,不过没有结合例子去介 ...

随机推荐

  1. 【C++】深度探索C++对象模型读书笔记--关于对象(Object Lessons)

    前言中的内容: 1.什么是C++对象模型? 1.语言中直接支持面向对象程序设计的部分 2. 对于各种支持的底层实现机制 2. C++ class的完整virtual functions在编译时期就固定 ...

  2. 【vim】vim常用命令

    移动: h 或 向左箭头键(←)  #光标向左移劢一个字符 j 或 下箭头键(↓)    #光标向下移劢一个字符 k 或 向上箭头键(↑)    #光标向上移劢一个字符 l 或 向右箭头键(→)    ...

  3. 【EF】EF Code-First数据迁移

    Code-First数据迁移  首先要通过NuGet将EF升级至最新版本. 新建MVC 4项目MvcMigrationDemo 添加数据模型 Person 和 Department,定义如下: usi ...

  4. ZOJ2290_Game

    题目意思是这样的,给定一个数N,第一个可以减去任意一个数(不能为N本身),然后接下来轮流减去一个数字,下一个人减去的数字必须大于0,且不大于2倍上一次被减去的数字. 把N减为0的人获胜. 看完题目后不 ...

  5. 🔺 Garbage Remembering Exam UVA - 11637()

    题目大意:给你N个单词,有两种方法随机排列,一种随机排成一行,另一种随机排成一圈,当两个单词之间的距离在两种排列中都严格小于K时,则这两个单词构成无效单词,问无效单词的期望. 解题思路:首先对于一排单 ...

  6. Linux内核分析第二周学习博客——完成一个简单的时间片轮转多道程序内核代码

    Linux内核分析第二周学习博客 本周,通过实现一个简单的操作系统内核,我大致了解了操作系统运行的过程. 实验主要步骤如下: 代码分析: void my_process(void) { int i = ...

  7. SAS8.1安装步骤(附图)

    安装前应当把系统时间更改到一九九几年. 1.在解压后的文件夹里找到 setup .exe 双击 开始安装 2.单击SAS System Setup 3.点击Next 4.选择 complete 并单击 ...

  8. struts2 - View页面中获取Action的成员变量

    struts2 - View页面中获取Action的成员变量 2016年03月02日 11:04:44 IT男青年 阅读数:1074   View页面中获取Action的成员变量 按照Struts的设 ...

  9. 虚拟机安装ubuntu14.04.5系统

    参考教程 在vitualbox安装 ubuntu14.04.2 LTS教程 http://jingyan.baidu.com/article/46650658228345f549e5f8cc.html ...

  10. Netfilter之连接跟踪实现机制初步分析

    Netfilter之连接跟踪实现机制初步分析 原文: http://blog.chinaunix.net/uid-22227409-id-2656910.html 什么是连接跟踪 连接跟踪(CONNT ...