简单封装PHP操作MySQL的类

<?php

/*

    类的名称:Model

    类的作用:连接数据库执行sql语句

    作  者:lim

    更新时间:20170812

*/  

class Model{

    //存放连接数据库的资源

    private $link; 

    //构造连接数据库

    public function __construct(){

        $link = mysqli_connect(HOST,USER,PWD,DBNAME) or die('数据库连接失败');

        $this->link = $link;

        mysqli_set_charset($this->link,'utf8'); 

    }

    /*

        函数名称:query()

        函数作用:处理查询

        参  数:$sql: 提交的sql语句

        返 回 值:返回一个二维数组

    */

    public function query($sql){

        //过滤sql

        $sql=$this->CheckSql($sql);

        $res = mysqli_query($this->link,$sql);

        $list = array();

        if($res){

            while($row=mysqli_fetch_assoc($res)){

                $list[] = $row;

            }

            return $list;

        }

        return "sql语句出错=> {$sql} ";

    }

    /*

        函数名称:execute()

        函数作用:处理增删改

        参  数:$sql: 提交的sql语句

        返 回 值:如果是添加返回id 如果是删除和修改返回影响行数

    */

    public function execute($sql){

        //过滤sql

        $sql=$this->CheckSql($sql,"addupddel");

        $res = mysqli_query($this->link,$sql);

        if($res){

            return (mysqli_insert_id($this->link))?mysqli_insert_id($this->link):mysqli_affected_rows($this->link);

        }

          return "sql语句出错=> {$sql} ";

    }

    /*

        函数名称:CheckSql()

        函数作用:SQL语句过滤程序,由80sec提供,这里作了适当的修改

        参  数:$sql: 处理的sql语句

        参  数:$querytype: 类型

        返 回 值:返回处理后的sql语句

    */

    private function CheckSql($sql, $querytype='select')

    {

        $clean   = '';

        $error   = '';

        $pos     = -;

        $old_pos = ;

        //如果是普通查询语句,直接过滤一些特殊语法

        if($querytype == 'select')

        {

            if(preg_match('/[^0-9a-z@\._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@\.-]{1,}/', $sql))

            {

                die('sql非法!');

            }

        }

        //完整的SQL检查

        while(true)

        {

            $pos = strpos($sql, '\'', $pos + );

            if($pos === false)

            {

                break;

            }

            $clean .= substr($sql, $old_pos, $pos - $old_pos);

            while(true)

            {

                $pos1 = strpos($sql, '\'', $pos + );

                $pos2 = strpos($sql, '\\', $pos + );

                if($pos1 === false)

                {

                    break;

                }

                else if($pos2 == false || $pos2 > $pos1)

                {

                    $pos = $pos1;

                    break;

                }

                $pos = $pos2 + ;

            }

            $clean .= '$s$';

            $old_pos = $pos + ;

        }

        $clean .= substr($sql, $old_pos);

        $clean  = trim(strtolower(preg_replace(array('~\s+~s' ), array(' '), $clean)));

        //老版本的Mysql并不支持union,常用的程序里也不使用union,但是一些黑客使用它,所以检查它

        if(strpos($clean, 'union') !== false && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'union detect';

        }

        //发布版本的程序可能比较少包括--,#这样的注释,但是黑客经常使用它们

        else if(strpos($clean, '/*') >  || strpos($clean, '--') !== false || strpos($clean, '#') !== false)

        {

            $fail  = true;

            $error = 'comment detect';

        }

        //这些函数不会被使用,但是黑客会用它来操作文件,down掉数据库

        else if(strpos($clean, 'sleep') !== false && preg_match('~(^|[^a-z])sleep($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'slown down detect';

        }

        else if(strpos($clean, 'benchmark') !== false && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'slown down detect';

        }

        else if(strpos($clean, 'load_file') !== false && preg_match('~(^|[^a-z])load_file($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'file fun detect';

        }

        else if(strpos($clean, 'into outfile') !== false && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'file fun detect';

        }

        //老版本的MYSQL不支持子查询,我们的程序里可能也用得少,但是黑客可以使用它来查询数据库敏感信息

        else if(preg_match('~\([^)]*?select~s', $clean) != )

        {

            $fail  = true;

            $error = 'sub select detect';

        }

        if(!empty($fail))

        {

            die('sql非法!!');

        }

        else

        {

            return $sql;

        }

    } 

}

PHP数据库类的更多相关文章

  1. PHP用单例模式实现一个数据库类

    使用单例模式的出发点: 1.php的应用主要在于数据库应用, 所以一个应用中会存在大量的数据库操作, 使用单例模式, 则可以避免大量的new 操作消耗的资源. 2.如果系统中需要有一个类来全局控制某些 ...

  2. Dedesql数据库类详解

    今天花点时间讲解下织梦的sql数据库类,近期本来是准备录制一套视频教程的,但由于视频压缩的问题迟迟没有开展工作,如果大家有什么好的视频压缩方式可以通过邮件的方式告诉我:tianya#dedecms.c ...

  3. phpcms 源码分析四: 数据库类实现

    这次是逆雪寒的数据库类分析: <?php /* 这个讲 phpcms 的数据库类 和 phpcms 的文本缓存的实现.看了看 都是很简单的东西.大家看着我注释慢慢看吧.慢慢理解,最好能装了PHP ...

  4. php备份数据库类分享

    本文实例讲述了php实现MySQL数据库备份类.分享给大家供大家参考.具体分析如下:这是一个非常简单的利用php来备份mysql数据库的类文件,我们只要简单的配置好连接地址用户名与数据库即可   ph ...

  5. Python一个简单的数据库类封装

    #encoding:utf-8 #name:mod_db.py '''使用方法:1.在主程序中先实例化DB Mysql数据库操作类.      2.使用方法:db=database()  db.fet ...

  6. dede数据库类使用方法 $dsql(转)

    dede数据库类使用方法 $dsql   dedecms的数据库操作类,非常实用,在二次开发中尤其重要,这个数据库操作类说明算是奉献给大家的小礼物了. 引入common.inc.php文件 ? 1 r ...

  7. Dedesql数据库类详解(二次开发必备教程)(转)

    http://www.dedecms.com/help/development/2009/1028/1076.html 织梦DedeCMS的二次开发不仅仅是会写写织梦的标签,会制作织梦的模板.很多时候 ...

  8. CodeIgniter自带的数据库类使用介绍

    在 CodeIgniter 中,使用数据库是非常频繁的事情.你可以使用框架自带的数据库类,就能便捷地进行数据库操作. 初始化数据库类 依据你的数据库配置载入并初始化数据库类: view source ...

  9. CodeIgniter框架——数据库类(配置+快速入门)

    CodeIgniter用户指南——数据库类 数据库配置 入门:用法举例 连接数据库 查询 生成查询结果 查询辅助函数 Active Record 类 事务 表格元数据 字段元数据 自定义函数调用 查询 ...

  10. Dedesql数据库类详解(二次开发必备教程)

    其实数据库类织梦之前就有一个介绍,http://help.dedecms.com/v53/archives/functions/db/,这篇文章讲解了数据库类的一些常见的使用方法,不过没有结合例子去介 ...

随机推荐

  1. bug:margin合并

    demo1和demo2存在margin合并问题:外边距合并指的是,当两个垂直外边距相遇时,它们将形成一个外边距.合并后的外边距的高度等于两个发生合并的外边距的高度中的较大者.弥补方案:bfc; 添加一 ...

  2. 【JavaScript&jQuery】省市区三级联动

    HTML: <%@page import="com.mysql.jdbc.Connection"%> <%@ page language="java&q ...

  3. 【刷题】BZOJ 2753 [SCOI2012]滑雪与时间胶囊

    Description a180285非常喜欢滑雪.他来到一座雪山,这里分布着M条供滑行的轨道和N个轨道之间的交点(同时也是景点),而且每个景点都有一编号i(1<=i<=N)和一高度Hi. ...

  4. Ckeditor与Ckfinder(java)整合实现富媒体内容编辑(支持文件上传)

    先来看一下最终的效果图 一.编辑器界面 二.上传图片界面 <!-------------------------------------------------------> 一.安装包下 ...

  5. 【BZOJ4004】装备购买(线性基)

    [BZOJ4004]装备购买(线性基) 题面 BZOJ 洛谷 Description 脸哥最近在玩一款神奇的游戏,这个游戏里有 n 件装备,每件装备有 m 个属性,用向量zi(aj ,.....,am ...

  6. [ZJOI2007]棋盘制作 【最大同色矩形】

    题目描述 国际象棋是世界上最古老的博弈游戏之一,和中国的围棋.象棋以及日本的将棋同享盛名.据说国际象棋起源于易经的思想,棋盘是一个8*8大小的黑白相间的方阵,对应八八六十四卦,黑白对应阴阳. 而我们的 ...

  7. python实现RSA加解密

    # coding=utf-8 """ @author:Eleven created on:2018年10月30日 """ import bi ...

  8. redis 命令行客户端utf8中文乱码问题

    只需要你在启动redis-cli时在其后面加上--raw参数即可启动后 再显示就正常了

  9. Linux (四)其他一些服务的实现

    一.防火墙 防火墙根据配置文件/etc/sysconfig/iptables 来控制本机的“出.入”网络访问行为 其对行为的配置策略有四个策略表 1. 基础必备技能           查看防火墙状态 ...

  10. C++中Vector求最大值最小值

    vector<int> v: 最大值: int max = *max_element(v.begin(),v.end()); 最小值: int min = *min_element(v.b ...