冷月葬花魂 发表于 2015-2-4 00:01:50

PHP网站制作之平安技能:用PHP 4.2书写平安的剧本

咱们就开始学习动态语言的概念吧,刚一接触动态语言,可能很多人都会蒙了,怎么这乱七八糟的东西,在网页里显示的时候却是另外一码事?其实这并不算乱七八糟,你写的HTML代码不也一样是一堆堆的字符吗?毕竟,代码并不是作为直接输出的,而是经过处理的,说白了,HTML是经过HTML解析器,而PHP当然也就通过PHP解析器了,跟学习HTML一样的道理,想让任何的解析器完成操作,就必须使用它们专用的语法结构,所以PHP长相奇怪也就不足为奇了。   在很长一段工夫内,PHP作为办事器端剧本言语的最大卖点之一就是会为从表单提交的值主动创立一个全局变量。在PHP 4.1中,PHP的制造者们保举了一个会见提交数据的替换手腕。在PHP 4.2中,他们作废了那种老的做法!正如我将在这篇文章中注释的那样,作出如许的变更的目标是出于平安性的思索。咱们将研讨PHP在处置表单提交及其它数据时的新的做法,并申明为何如许做会进步代码的平安性。
这里有甚么毛病?
看看上面的这段PHP剧本,它用来在输出的用户名及口令阃确时受权会见一个Web页面:
<?php
// 反省用户名及口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
OK,我信任大约对折的读者会不屑的说“太愚昧了-- 我不会犯如许的毛病的!”然而我包管有良多的读者会想“嗨,没甚么成绩啊,我也会这么写的!”固然还会有多数人会对这个成绩感应猜疑(“甚么是PHP?”)。PHP被设计为一个“好的并且轻易的”剧本言语,初学者可以在很短的工夫内学会利用它;它也应当可以防止初学者犯下面的毛病。
再回到方才的成绩,下面的代码中存在的成绩是你可以很轻易地取得会见的权利,而不需求供应准确的用户名和口令。只在要你的阅读器的地址栏的最初添加?authorized=1。由于PHP会主动地为每个提交的值创立一个变量 -- 不管是来主动一个提交的表单、URL查询字符串仍是一个cookie -- 这会将$authorized设置为1,如许一个未受权的用户也能够冲破平安限制。
那末,怎样复杂地处理这个成绩呢?只需在法式的开首将$authorized默许设置为false。这个成绩就不存在了!$authorized是一个完整在法式代码中创立的变量;然而为何开辟者得为每个歹意的用户提交的变量忧虑呢?
PHP 4.2作了甚么改动?
在PHP 4.2中,新装置的PHP中的register_globals选项默许为封闭,因而EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的缩写 -- 这是PHP中内部变量来历的全体局限)不会被作为全局变量来创立。固然,这个选项还可以经由过程手工来开启,然而PHP的开辟者保举你将其封闭。要贯彻他们的意图,你需求利用其它的办法来获得这些值。
从PHP 4.1入手下手,EGPCS值就能够从一组指定的数组中取得:
$_ENV -- 包括体系情况变量
$_GET -- 包括查询字符串中的变量,和提交办法为GET的表单中的变量
$_POST -- 包括提交体例为POST的表单中的变量
$_COOKIE -- 包括一切cookie变量
$_SERVER -- 包括办事器变量,例如HTTP_USER_AGENT
$_REQUEST -- 包括$_GET、$_POST和$_COOKIE的全体内容
$_SESSION -- 包括一切已注册的session变量
在PHP 4.1之前,当开辟者封闭register_globals选项(这也被思索为进步PHP功能的一种办法)后,必需利用诸如$HTTP_GET_VARS如许的使人厌恶的名字来获得这些变量。这些新的变量名不单单短,并且它们还有其他长处。
起首,让咱们在PHP 4.2中(也就是说封闭register_globals 选项)重写下面提到的代码:
<?php
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
// 反省用户名和口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
正如你看到的,我所需求做的只是在代码的入手下手增添上面两行:
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
由于咱们但愿用户名和暗码是由用户提交的,所以咱们从$_REQUEST数组中获得这些值。利用这个数组使得用户可以自在选择传递体例:经由过程URL查询字符串(例如答应用户创立书签时主动输出他们的证书)、经由过程一个提交的表单或是经由过程一个cookie。假如你想要限制只能经由过程表单提交证书(更准确地说,是经由过程HTTP POST恳求),你可使用$_POST数组:
$username = $_POST['username'];
$password = $_POST['password'];
除“引入”这两个变量之外,法式代码没有任何改动。复杂地封闭register_globals选项促使开辟者更进一步懂得哪些数据是来自内部的(不成信赖的)资本。
请注重这里还有一个小成绩:PHP中默许的error_reporting设置依然是E_ALL & ~E_NOTICE,因而假如“username”和“password”这两个值没有被提交,试图从$_REQUEST数组或$_POST数组中取得这两个值其实不会招致任何毛病信息。如晨不你的PHP法式需求严厉的毛病反省,你还需求增添一些代码以起首反省这些变量。
然而这是否是意味着更多的输出?
是的,在象下面如许的复杂法式中,利用PHP 4.2经常会增添输出量。然而,仍是看看光亮的一面吧 -- 你的法式毕竟是更平安了!
不外仔细的说,PHP的设计者并没有完整无视你的疾苦。在这些新数组中有一个特别的其它所PHP变量都不具有的特点,它们是完整的全局变量。这对你有甚么匡助呢?让咱们先对咱们的示例停止一下扩大。
为了使得站点中的多个页面可使用用户名/口令论证,咱们将咱们用户认证法式写到一个include文件(protectme.php)中:
<?php /* protectme.php */
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
// 反省用户名和口令
if ($username != $authuser or $password != $authpass):
?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php
exit();
endif;
}
?>
如今,咱们方才的页面看上去将是如许的:
<?php
require('protectme.php');
authorize_user('kevin','secret');
?>
<!-- 有平安请求的HTML内容 -->
很复杂,很明晰了然,对不合错误?如今是考验你的目力眼光和经历的时分了 -- 在authorize_user 函数中少了甚么?
在函数中没有声名$_POST是一个全局变量!在php 4.0中,当register_globals开启时,你需求增添一行代码以在函数中获得$username和$password变量:
function authorize_user($authuser, $authpass)
{
global $username, $password;
...
在PHP中,和其它具有相似语法的言语分歧,函数外的变量在函数中不克不及主动取得,你需求象下面所申明的那样增添一行以指定其来自global局限。
在PHP 4.0中,当封闭register_globals以供应平安性时,你可使用$HTTP_POST_VARS数组以取得你的表单提交的值,然而你仍是需求从全局局限导入这个数组:
function authorize_user($authuser, $authpass)
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
$password = $HTTP_POST_VARS['password'];
然而在PHP 4.1及今后的版本中,特别的$_POST变量(和下面提到的其它变量)可以在一切局限内利用。这就是不需求在函数中声名$_POST变量是一个全局变量的缘由:
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
这对session有甚么影响?
特别的$_SESSION数组的引入实践上有助于简化session代码。你不需求将session变量声名为全局变量,然后再去寄望哪些变量被注册了,你如今可以复杂地从$_SESSION['varname']中援用你一切的session变量。
如今让咱们来看看另外一个用户认证的例子。这一次,咱们利用sessions以标记一个在你的网站持续勾留的用户已经由了用户认证。起首,咱们来看看PHP 4.0版本(开启register_globals):
<?php
session_start();
if ($username == 'kevin' and $password == 'secret')
{
$authorized = true;
session_register('authorized');
}
?>
<?php if (!$authorized): ?>
<!-- 显示HTML表单以提醒用户登录 -->
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
和刚入手下手的法式一样,这个法式也存在平安破绽,在URL的最初加上?authorized=1可以绕过平安办法直接会见页面内容。开辟者可以将$authorized视为一个session变量而无视了可以很轻易地经由过程用户输出设置一样的变量。
当咱们增添了咱们的特别的数组(PHP 4.1)并封闭register_globals(PHP 4.2)后,咱们的法式将是如许的:
<?php
session_start();
if ($username == 'kevin' and $password == 'secret')
$_SESSION['authorized'] = true;
?>
<?php if (!$_SESSION['authorized']): ?>
<!-- 显示HTML表单以提醒用户登录 -->
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
是否是加倍复杂了?你不再需求再将通俗的变量注册为一个session变量,你只需求直接设置session变量(在$_SESSION数组中),然后用一样的办法利用它。法式变得更短了,并且关于甚么变量是session变量也不会引发凌乱!
总结
在这篇文章中,我注释了PHP剧本言语作出改动的深层缘由。在PHP 4.1中,添加了一组特别数据以会见内部数据。这些数组可以在任何局限内挪用,这使得内部数据的会见更便利。在PHP 4.2中,register_globals被默许封闭以勉励利用这些数组以免无经历的开辟者编写出不平安的PHP代码。
php   manual(PHP手册)肯定是要从网上下载一个的,它很权威,也很全面,我自己认为它是一本很好的参考书,但是不适合新手当教材使用。

乐观 发表于 2015-2-4 08:03:04

说php的话,首先得提一下数组,开始的时候我是最烦数组的,总是被弄的晕头转向,不过后来呢,我觉得数组里php里最强大的存储方法,所以建议新手们要学好数组。

小女巫 发表于 2015-2-5 04:53:56

,熟悉html,能用div+css,还有javascript,优先考虑linux。我在开始学习的时候,就想把这些知识一起学习,我天真的认为同时学习能够互相呼应,因为知识是相通的。

莫相离 发表于 2015-2-6 07:51:31

写js我最烦的就是 ie 和 firefox下同样的代码 结果显示的结果千差万别,还是就是最好不要用遨游去调试,因为有时候遨游是禁用js的,有可能代码是争取结果被遨游折腾的认为是代码写错。

第二个灵魂 发表于 2015-2-7 13:14:06

你很难利用原理去编写自己的代码。对于php来说,系统的学习我认为还是很重要的,当你有一定理解后,你可你针对某种效果研究,我想那时你不会只是复制代码的水平了。

冷月葬花魂 发表于 2015-2-21 22:34:26

使用zendstdio 写代码的的时候,把tab 的缩进设置成4个空格是很有必要的

变相怪杰 发表于 2015-2-28 14:50:01

做为1门年轻的语言,php一直很努力。

分手快乐 发表于 2015-3-8 04:00:05

在我安装pear包的时候老是提示,缺少某某文件,才发现 那群extension 的排列是应该有一点的顺序,而我安装的版本的排序不是正常的排序。没办法我只好把那群冒号加了上去,只留下我需要使用的扩展。

小魔女 发表于 2015-3-15 20:19:18

Apache不是非得用80或者8080端口的,我刚开始安得时候就是80端口老占用,就用了个 81端口,结果照常,就是输localhost的时候,应该输入为 localhost:81

admin 发表于 2015-3-19 01:13:43

如果你已经到这种程度了,那么你已经可以做我的老师了。其实php也分很多的区域,

谁可相欹 发表于 2015-3-24 17:59:40

再就是混迹于论坛啦,咱们的phpchina的论坛就很强大,提出的问题一般都是有达人去解答的,以前的帖子也要多看看也能学到不少前辈们的经验。别的不错的论坛例如php100,javaeye也是很不错的。

活着的死人 发表于 2015-3-30 15:36:40

爱上php,他也会爱上你。

小妖女 发表于 2015-4-7 19:50:39

,熟悉html,能用div+css,还有javascript,优先考虑linux。我在开始学习的时候,就想把这些知识一起学习,我天真的认为同时学习能够互相呼应,因为知识是相通的。

简单生活 发表于 2015-4-16 05:20:59

使用 jquery 等js框架的时候,要随时注意浏览器的更新情况,不然很容易发生框架不能使用。

只想知道 发表于 2015-4-17 14:48:51

Apache不是非得用80或者8080端口的,我刚开始安得时候就是80端口老占用,就用了个 81端口,结果照常,就是输localhost的时候,应该输入为 localhost:81

仓酷云 发表于 2015-4-17 23:46:46

曾经犯过一个很低级的错误,我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号,结果找了好几个小时的错误,事实是命名的时候 是不能用横线 \\\\\\\'-\\\\\\\' 的,应该用的是下划线\\\\\\\'_\\\\\\\' ;

再现理想 发表于 2015-5-1 20:52:54

有位前辈曾经跟我说过,phper 至少要掌握200个函数 编起程序来才能顺畅点,那些不熟悉的函数记不住也要一拿手册就能找到。所以建议新手们没事就看看php的手册(至少array函数和string函数是要记牢的)。

不帅 发表于 2015-5-6 04:11:23

装在C盘下面可以利用windows的ghost功能可以还原回来(顺便当做是重转啦),当然啦我的编译目录要放在别的盘下,不然自己的劳动成果就悲剧啦。

灵魂腐蚀 发表于 2015-6-10 23:19:51

首先我是坚决反对新手上来就用框架的,因为对底层的东西一点都不了解,造成知识上的真空,会对以后的发展不利。我的观点上手了解下框架就好,代码还是手写。当然啦如果是位别的编程语言的高手的话,这个就另当别论啦。

飘飘悠悠 发表于 2015-7-1 13:19:44

遇到出错的时候,我经常把错误信息直接复制到 google的搜索栏,一般情况都是能搜到结果的,不过有时候会搜出来一大片英文的出来,这时候就得过滤一下,吧中文的弄出来,挨着式方法。
页: [1]
查看完整版本: PHP网站制作之平安技能:用PHP 4.2书写平安的剧本