简单封装PHP操作MySQL的类

<?php

/*

    类的名称:Model

    类的作用:连接数据库执行sql语句

    作  者:lim

    更新时间:20170812

*/  

class Model{

    //存放连接数据库的资源

    private $link; 

    //构造连接数据库

    public function __construct(){

        $link = mysqli_connect(HOST,USER,PWD,DBNAME) or die('数据库连接失败');

        $this->link = $link;

        mysqli_set_charset($this->link,'utf8'); 

    }

    /*

        函数名称:query()

        函数作用:处理查询

        参  数:$sql: 提交的sql语句

        返 回 值:返回一个二维数组

    */

    public function query($sql){

        //过滤sql

        $sql=$this->CheckSql($sql);

        $res = mysqli_query($this->link,$sql);

        $list = array();

        if($res){

            while($row=mysqli_fetch_assoc($res)){

                $list[] = $row;

            }

            return $list;

        }

        return "sql语句出错=> {$sql} ";

    }

    /*

        函数名称:execute()

        函数作用:处理增删改

        参  数:$sql: 提交的sql语句

        返 回 值:如果是添加返回id 如果是删除和修改返回影响行数

    */

    public function execute($sql){

        //过滤sql

        $sql=$this->CheckSql($sql,"addupddel");

        $res = mysqli_query($this->link,$sql);

        if($res){

            return (mysqli_insert_id($this->link))?mysqli_insert_id($this->link):mysqli_affected_rows($this->link);

        }

          return "sql语句出错=> {$sql} ";

    }

    /*

        函数名称:CheckSql()

        函数作用:SQL语句过滤程序,由80sec提供,这里作了适当的修改

        参  数:$sql: 处理的sql语句

        参  数:$querytype: 类型

        返 回 值:返回处理后的sql语句

    */

    private function CheckSql($sql, $querytype='select')

    {

        $clean   = '';

        $error   = '';

        $pos     = -;

        $old_pos = ;

        //如果是普通查询语句,直接过滤一些特殊语法

        if($querytype == 'select')

        {

            if(preg_match('/[^0-9a-z@\._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@\.-]{1,}/', $sql))

            {

                die('sql非法!');

            }

        }

        //完整的SQL检查

        while(true)

        {

            $pos = strpos($sql, '\'', $pos + );

            if($pos === false)

            {

                break;

            }

            $clean .= substr($sql, $old_pos, $pos - $old_pos);

            while(true)

            {

                $pos1 = strpos($sql, '\'', $pos + );

                $pos2 = strpos($sql, '\\', $pos + );

                if($pos1 === false)

                {

                    break;

                }

                else if($pos2 == false || $pos2 > $pos1)

                {

                    $pos = $pos1;

                    break;

                }

                $pos = $pos2 + ;

            }

            $clean .= '$s$';

            $old_pos = $pos + ;

        }

        $clean .= substr($sql, $old_pos);

        $clean  = trim(strtolower(preg_replace(array('~\s+~s' ), array(' '), $clean)));

        //老版本的Mysql并不支持union,常用的程序里也不使用union,但是一些黑客使用它,所以检查它

        if(strpos($clean, 'union') !== false && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'union detect';

        }

        //发布版本的程序可能比较少包括--,#这样的注释,但是黑客经常使用它们

        else if(strpos($clean, '/*') >  || strpos($clean, '--') !== false || strpos($clean, '#') !== false)

        {

            $fail  = true;

            $error = 'comment detect';

        }

        //这些函数不会被使用,但是黑客会用它来操作文件,down掉数据库

        else if(strpos($clean, 'sleep') !== false && preg_match('~(^|[^a-z])sleep($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'slown down detect';

        }

        else if(strpos($clean, 'benchmark') !== false && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'slown down detect';

        }

        else if(strpos($clean, 'load_file') !== false && preg_match('~(^|[^a-z])load_file($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'file fun detect';

        }

        else if(strpos($clean, 'into outfile') !== false && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~s', $clean) != )

        {

            $fail  = true;

            $error = 'file fun detect';

        }

        //老版本的MYSQL不支持子查询,我们的程序里可能也用得少,但是黑客可以使用它来查询数据库敏感信息

        else if(preg_match('~\([^)]*?select~s', $clean) != )

        {

            $fail  = true;

            $error = 'sub select detect';

        }

        if(!empty($fail))

        {

            die('sql非法!!');

        }

        else

        {

            return $sql;

        }

    } 

}

PHP数据库类的更多相关文章

  1. PHP用单例模式实现一个数据库类

    使用单例模式的出发点: 1.php的应用主要在于数据库应用, 所以一个应用中会存在大量的数据库操作, 使用单例模式, 则可以避免大量的new 操作消耗的资源. 2.如果系统中需要有一个类来全局控制某些 ...

  2. Dedesql数据库类详解

    今天花点时间讲解下织梦的sql数据库类,近期本来是准备录制一套视频教程的,但由于视频压缩的问题迟迟没有开展工作,如果大家有什么好的视频压缩方式可以通过邮件的方式告诉我:tianya#dedecms.c ...

  3. phpcms 源码分析四: 数据库类实现

    这次是逆雪寒的数据库类分析: <?php /* 这个讲 phpcms 的数据库类 和 phpcms 的文本缓存的实现.看了看 都是很简单的东西.大家看着我注释慢慢看吧.慢慢理解,最好能装了PHP ...

  4. php备份数据库类分享

    本文实例讲述了php实现MySQL数据库备份类.分享给大家供大家参考.具体分析如下:这是一个非常简单的利用php来备份mysql数据库的类文件,我们只要简单的配置好连接地址用户名与数据库即可   ph ...

  5. Python一个简单的数据库类封装

    #encoding:utf-8 #name:mod_db.py '''使用方法:1.在主程序中先实例化DB Mysql数据库操作类.      2.使用方法:db=database()  db.fet ...

  6. dede数据库类使用方法 $dsql(转)

    dede数据库类使用方法 $dsql   dedecms的数据库操作类,非常实用,在二次开发中尤其重要,这个数据库操作类说明算是奉献给大家的小礼物了. 引入common.inc.php文件 ? 1 r ...

  7. Dedesql数据库类详解(二次开发必备教程)(转)

    http://www.dedecms.com/help/development/2009/1028/1076.html 织梦DedeCMS的二次开发不仅仅是会写写织梦的标签,会制作织梦的模板.很多时候 ...

  8. CodeIgniter自带的数据库类使用介绍

    在 CodeIgniter 中,使用数据库是非常频繁的事情.你可以使用框架自带的数据库类,就能便捷地进行数据库操作. 初始化数据库类 依据你的数据库配置载入并初始化数据库类: view source ...

  9. CodeIgniter框架——数据库类(配置+快速入门)

    CodeIgniter用户指南——数据库类 数据库配置 入门:用法举例 连接数据库 查询 生成查询结果 查询辅助函数 Active Record 类 事务 表格元数据 字段元数据 自定义函数调用 查询 ...

  10. Dedesql数据库类详解(二次开发必备教程)

    其实数据库类织梦之前就有一个介绍,http://help.dedecms.com/v53/archives/functions/db/,这篇文章讲解了数据库类的一些常见的使用方法,不过没有结合例子去介 ...

随机推荐

  1. PHP上传文件限制的大小

    修改PHP上传文件大小限制的方法 1. 一般的文件上传,除非文件很小.就像一个5M的文件,很可能要超过一分钟才能上传完.但在php中,默认的该页最久执行时间为 30 秒.就是说超过30秒,该脚本就停止 ...

  2. Apache Hadoop YARN – ResourceManager--转载

    原文地址:http://zh.hortonworks.com/blog/apache-hadoop-yarn-resourcemanager/ ResourceManager (RM) is the ...

  3. Unbuntu+nginx+mysql+php

    1/准备 sudo su --切换到root 2/nginx安装 apt-get update apt-get install nginx 3/mysql 安装 apt-get install mys ...

  4. Flash平台的分析与RIA的趋势

    10月3号,Flash Player 11 和 AIR 3.0正式提供下载,一片安静.最近这两年来,关于Flash的新闻一向是以负面为主,先是 Silverlight 的挑战,然后是 iphone和i ...

  5. 简单shell 编程

    简单shell编程  by  dreamboy #!/bin/bash while true do echo clear echo echo " 系统维护菜单 " echo &qu ...

  6. CDOJ--1404

    原题链接:http://acm.uestc.edu.cn/problem.php?pid=1404 分析:定义dp[i][j]表示i位时最左边为j时的情况,那么dp[i][[j]可以由dp[i-1][ ...

  7. 徒手创建一个 jsp 项目

    在开始之前,先回顾一下 jsp 和 servlet,jsp 和 servlet 本质是一样的,因为 jsp 最终必须编译成 servlet 才能运行. 因为 jsp 的那些标签 jvm 是无法直接运行 ...

  8. 题解【luogu3709 大爷的字符串题】

    Description 个人觉得这是这道题最难的一步...出题人的语文... 每次给出一个区间,求这个区间最少能被多少个单调上升的序列覆盖. Solution 这个东西可以转化为这个区间中出现次数最多 ...

  9. zabbix添加cpu使用率图形监控

    zabbix版本: 3.2.5 zabbix 自带的windows模板中没有监控cpu使用率的,可以在模板里自己添加 1. 配置 ---> 模板---> Template OS Windo ...

  10. Java设计模式の迭代器模式

    迭代器模式定义 迭代器模式(Iterator),提供一种方法顺序访问一个聚合对象中的各种元素,而又不暴露该对象的内部表示. 迭代器模式的角色构成 (1)迭代器角色(Iterator):定义遍历元素所需 ...