谁能给我解释一下为什么这个模式被识别为字母数字?
' 13 ' ' 13 ' 13 ' ' ' 13 ' ' 13234234 ' 3
请查看此链接的图像在这里输入链接描述
我编写代码只是为了向您展示它可以被识别为字母数字EDIT 15.06.214 21:40
我补充了一些信息,对不起,我忘了。
您看到的变量取自一个输入表单。这是我使用的代码,以便使信息干净,并准备插入到数据库中。
PS:仅供您参考,变量$errform稍后用于"触发"页面上的错误消息
<?php
$username = $password = $fname = $lname = $mail = $id_dept = "";
$usernameERR = $passwordERR = $fnameERR = $lnameERR = $id_deptERR = "";
$errform = 2;
?>
<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$username = clean_data($_POST["username"]);
$password = clean_data($_POST["password"]);
$fname = clean_data($_POST["fname"]);
$lname = clean_data($_POST["lname"]);
$mail = clean_data($_POST["mail"]);
$id_dept = clean_data($_POST["id_dept"]);
if (!preg_match("/^[a-zA-Z0-9]*$/", $username)) {
$usernameERR = "Only letters and numbers allowed";
}
if (!preg_match("/^[a-zA-Z0-9]*$/", $password)) {
$passwordERR = "Only letters and numbers allowed";
}
if (!preg_match("/^[a-zA-Z ]*$/", $fname)) {
$fnameERR = "Only letters and white space allowed";
}
if (!preg_match("/^[a-zA-Z ]*$/", $lname)) {
$lnameERR = "Only letters and white space allowed";
}
}
function clean_data($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
if (isset($_POST['submit'])) {
if ((!preg_match("/^[a-zA-Z0-9]*$/", $username))
|| (!preg_match("/^[a-zA-Z0-9]*$/", $password))
|| (!preg_match("/^[a-zA-Z ]*$/", $fname))
|| (!preg_match("/^[a-zA-Z ]*$/", $lname))) {
$errform = 1;
} else {
$errform = 0;
$con = mysqli_connect($hostdb,$userdb,$passwdb,$dbTEST);
if (mysqli_connect_errno()) {
echo "Impossibile connettersi a MySQL: " . mysqli_connect_error();
}
$username = mysqli_real_escape_string($con, $_POST['username']);
$password = md5(mysqli_real_escape_string($con, $_POST['password']));
$fname = mysqli_real_escape_string($con, $_POST['fname']);
$lname = mysqli_real_escape_string($con, $_POST['lname']);
$mail = mysqli_real_escape_string($con, $_POST['mail']);
$id_dept = mysqli_real_escape_string($con, $_POST['id_dept']);
if (!mysqli_query($con, "INSERT INTO user (id_user, username, password, fname, lname, mail, id_dept) VALUES (NULL, '$username', '$password', '$fname', '$lname', '$mail', '$id_dept')")) {
die ("Error: " . mysqli_error($con));
}
mysqli_close($con);
}
}
?>
编辑15/06/2014 22:41
,
对不起,我明白问题的根源了。
我检查的是
(preg_match("/^[a-zA-Z0-9]*$/", $username))
在我的代码中,$username得到了这种处理
$username = clean_data($_POST["username"]);
if (!preg_match("/^[a-zA-Z0-9]*$/", $username)) {
$usernameERR = "Only letters and numbers allowed";
}
,
function clean_data($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
所以当我发布' ' ' q ' ' ' q ' ' ' q这是剥离和成为qqqqqqqqq
但是,有两个问题。第一个问题是我回显了
echo "post username: " . $_POST["username"];
与
比较echo "preg username " . preg_match("/^[a-zA-Z0-9]*$/", $username);
,很明显$_POST["username"]不是==到$username,因为最后一个得到了clead_data函数的处理,而POST没有。
当我做preg_match的时候,我做的是$username = qqqqqqqqqqq(这是一个字母数字)而我给你看的是$_POST['username'] = 'q'q'q'q'q'q'q'q'q'q'q 'q'q'q'q
第二个问题是我向数据库发送了这个$username = mysqli_real_escape_string($con, $_POST['username']);
而我应该发送这个
$username = mysqli_real_escape_string($con, $username);
所以在数据库上到达了NON - CLEANED数据
因为您允许如果它包含A-Z或A-Z或0-9字符而此字符串包含13…这是RegExp中允许的字符。(/^[a-zA-Z0-9]+&/
)
您可以通过以下模式解决:
用户名: /^[a-zA-Z]+[0-9_]*?[a-zA-Z]*?&/
名称:
/^[a-zA-Z]+[ ]*?[a-zA-Z]&/
我认为您的反斜杠被忽略了,因为它们不被视为文字反斜杠,而是像转义以下字符的反斜杠。由于转义字符对php字符串没有特殊意义,因此反斜杠将被忽略。要获得预期的行为,可以在执行测试之前使用addslashes
。