$password=md5($_POST["password"]);
if(empty($_POST["password"]))
{
$sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
}
else
{
$sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "<script language=’javascript’>"; 
echo "alert(‘修改成功！’);";
echo " location=’pass.php’;"; 
echo "</script>";
}
检查内置隐藏变量
我们在表单中内置一个隐藏变量和一个session变量，然后检查这个隐藏变量和session变量是否相等，以此来判断是否同一个网页所调用
<?php
include_once("dlyz.php");
include_once("../conn.php");
if($_GET["act"])
{
if (!isset($_SESSION["post_id"]))
{
         // 生成唯一的ID，并使用MD5来加密
         $post_id = md5(uniqid(rand(), true));
         // 创建Session变量
         $_SESSION["post_id"] = $post_id;
}
// 检查是否相等
if (isset($_SESSION["post_id"]))
{
         // 不相等
         if ($_SESSION["post_id"] != $_POST["post_id"])
         {
                  // 清除POST变量
                  unset($_POST);
                  echo "<script language=’javascript’>"; 
                  echo "alert(‘数据来源异常!’);";
                  echo " location=’index.php’;";         
                  echo "</script>";
         }
}

……

    <input type="reset" name="Submit2" value="重  置">
<input type="hidden" name="post_id" value="<?php echo $_SESSION["post_id"];?>">
</td></tr>
  </table>
</form>
<?php 
} 
mysql_close($conn);
?>
</body>
</html>
使用POST，不要使用GET
传递表单字段时，一定要是用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

 

http响应拆分

 

HTTP请求的格式

1）请求信息：例如“Get /index.php HTTP/1.1”，请求index.php文件

2）表头：例如“Host: localhost”，表示服务器地址

3）空白行

4）信息正文

“请求信息”和“表头”都必须使用换行字符（CRLF）来结尾，空白行只能包含换行符，不可以有其他空格符。

下面例子发送HTTP请求给服务器yhsafe

GET /index.php HTTP/1.1↙        //请求信息   

Host:yhsafe↙      //表头