18）添加引号转移函数，防止SQL注入

目录机构：

　　　　

 

 

然后我的改动代码：

　　　　MysqlDB.class.php

　　　　

 

<?php
    
    /**
     * Created by PhpStorm.
     * User: Interact
     * Date: 2017/8/19
     * Time: 19:32
     */
    class MysqlDB {
        private static $link;
        public $host;
        public $port;
        public $username;
        public $passsword;
        public $charset;
        //数据库连接对象
                public $dbname;//防止未接破坏这个连接对象,这个link就是MysqlDB 对象
        private $resourc;
        
        /**
         * @param $config，你的配置数组
         * @return 获取数据库连接对象$link，同时作为返回值
         */
        private function __construct($config) {
            $this->host = isset($config['host']) ? $config['host'] : 'localhost';
            $this->port = isset($config['port']) ? $config['port'] : '3306';
            $this->username = isset($config['username']) ? $config['username'] : 'root';
            $this->password = isset($config['password']) ? $config['password'] : '';
            $this->charset = isset($config['charset']) ? $config['charset'] : 'utf8';
            $this->dbname = isset($config['dbname']) ? $config['dbname'] : '';
            //连接数据库
            $this->connect();
            //设定连接编码
            //$this->setCharset($this->charset);//这个执行不了，可能新的php有了更改
            //选定数据库
            $this->selectDb($this->dbname);
        }
        
        //构造函数，禁止new，这样可以用工厂函数来创造类
        public function connect() {
            $this->resourc = mysqli_connect("$this->host",
                "$this->username", "$this->password") or die("连接数据库失败！");
        }
        
        //禁止克隆
        public function selectDb($dbname) {
            mysqli_select_db($this->resourc, $dbname);
        }
        
        public static function getInstance($config) {
            if (!isset(self::$link)) {
                self::$link = new self($config);
                //或者是  self::$link=$this->__construct($config);
            }
            
            return self::$link;
        }
        
        /**
         * 功能：执行select语句，返回2维数组
         * 参数：$sql 字符串类型 select语句
         */
        public function getAll($sql) {
            $result = $this->query($sql);
            $arr = array();    //空数组
            while ($rec = mysqli_fetch_assoc($result)) {
                $arr[] = $rec;//这样就形成二维数组
            }
            
            return $arr;
        }
        
        /**
         * 功能：执行最基本（任何）sql语句
         * 返回：如果失败直接结束，如果成功，返回执行结果
         */
        public function query($sql) {
            if (!$result = mysqli_query($this->resourc, $sql)) {
                echo("<br />执行失败。");
                echo "<br />失败的sql语句为：".$sql;
                echo "<br />出错信息为：".mysqli_error($this->resourc);
                echo "<br />错误代号为：".mysqli_errno($this->resourc);
                die();
            }
            
            return $result;
        }
        
        public function getRow($sql) {
            $result = $this->query($sql);
            //$rec = array();
            if ($rec2 = mysqli_fetch_assoc($result)) {//返回下标为字段名的数组
                //如果fetch出来有数据（也就是取得了一行数据），结果自然是数组
                return $rec2;
            }
            
            return false;
        }
        
        //返回一行数据（作为一维数组）

        public function getOne($sql) {
            $result = $this->query($sql);
            $rec = mysqli_fetch_row($result);//返回下标为数字的数组,且下标一定是0,1,2, 3.....
            //如果没有数据，返回false
            if ($result === false) {
                return false;
            }
            
            return $rec[0];    //该数组的第一项。
            
        }
        //返回一个数据（select语句的第一行第一列）
        //比如常见的：select count(*) as c from XXX where ...

        private function __clone() {
        }
        /**
         * 转义用户数据，防止SQL注入
         * @param $data string 带转换的字符串
         * @return string
         * 转换后的字符串
         */
        public  function  escapeString($data){
            return mysqli_real_escape_string(self::$link,$data);
        }
    }

 

 

　　　　AdminModel.class.php

　　　　　　

 

<?php
    /**
     * Created by PhpStorm.
     * User: Interact
     * Date: 2017/8/21
     * Time: 8:39
     */
class AdminModel extends Model{
    /**
     * @param $admin_name
     * @param $admin_pass
     *后台登录验证函数
     * @return bool
     */
    public function check($admin_name, $admin_pass) {
        $admin_name=$this->_dao->escapeString($admin_name);
        $admin_pass=$this->_dao->escapeString($admin_pass);
        $sql = "SELECT * FROM `admin` WHERE admin_name='$admin_name' and admin_pass=md5('$admin_pass')";
        $row = $this->_dao->getRow($sql);
        
        return (bool) $row;
    }
}

 

 

　　AdminC.controller.class.php

　　　　

　　　　

<?php
    /**
     * Created by PhpStorm.
     * User: Interact
     * Date: 2017/8/20
     * Time: 14:22
     */
class AdminC extends  Controller{
   
    
    public  function  login(){
//        require
        require APPLICATION_PATH.'back/view/login.html';
    }
    /**
     * 验证管理员是否合法
     */
    public function check() {
//        echo "MC天佑MC天佑MC天佑";
//        echo $_REQUEST['username'];
        // 获得表单数据
        /*echo $_REQUEST['username'];
        echo '\n';
        echo $_REQUEST['password'];*/
        $admin_name = $_REQUEST['username'];
        $admin_pass = $_REQUEST['password'];
        $admin_name=addslashes($admin_name);
        $admin_pass=addslashes($admin_pass);
       
        
        
        //从数据库中验证管理员信息是否存在合法
        $m_admin = Factory::M('AdminModel');
        if ($m_admin->check($admin_name, $admin_pass)) {
//            //验证通过，合法
//            echo '合法，直接跳转到后台首页';
           session_start();
//            $_SESSION['is_login']='yes';
            new SessionDB();
            $this->_jump('index.php?p=back&c=BACkC&a=index');
        } else {
            // 非法
//            echo '非法, 提示，跳转到后台登陆页面index.php?p=back&c=Admin&a=login';
            $this->_jump('index.php?p=back&c=AdminC&a=login','用户名或密码错误');
        }
//
    }
}

 

 

结果展示：