愤怒的大鸟 发表于 2015-2-4 00:20:46

PHP网站制作之用PHP 4.2书写平安的剧本

会PHP吗?会,我会把一加一的运算写在函数里,然后调用啦!平安|剧本   在很长一段工夫内,PHP作为办事器端剧本言语的最大卖点之一就是会为从表单提交的值主动创立一个全局变量。在PHP 4.1中,PHP的制造者们保举了一个会见提交数据的替换手腕。在PHP 4.2中,他们作废了那种老的做法!正如我将在这篇文章中注释的那样,作出如许的变更的目标是出于平安性的思索。咱们将研讨PHP在处置表单提交及其它数据时的新的做法,并申明为何如许做会进步代码的平安性。

这里有甚么毛病?

看看上面的这段PHP剧本,它用来在输出的用户名及口令阃确时受权会见一个Web页面:

<?php
// 反省用户名及口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
OK,我信任大约对折的读者会不屑的说“太愚昧了-- 我不会犯如许的毛病的!”然而我包管有良多的读者会想“嗨,没甚么成绩啊,我也会这么写的!”固然还会有多数人会对这个成绩感应猜疑(“甚么是PHP?”)。PHP被设计为一个“好的并且轻易的”剧本言语,初学者可以在很短的工夫内学会利用它;它也应当可以防止初学者犯下面的毛病。
再回到方才的成绩,下面的代码中存在的成绩是你可以很轻易地取得会见的权利,而不需求供应准确的用户名和口令。只在要你的阅读器的地址栏的最初添加?authorized=1。由于PHP会主动地为每个提交的值创立一个变量 -- 不管是来主动一个提交的表单、URL查询字符串仍是一个cookie -- 这会将$authorized设置为1,如许一个未受权的用户也能够冲破平安限制。
那末,怎样复杂地处理这个成绩呢?只需在法式的开首将$authorized默许设置为false。这个成绩就不存在了!$authorized是一个完整在法式代码中创立的变量;然而为何开辟者得为每个歹意的用户提交的变量忧虑呢?

PHP 4.2作了甚么改动?

在PHP 4.2中,新装置的PHP中的register_globals选项默许为封闭,因而EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的缩写 -- 这是PHP中内部变量来历的全体局限)不会被作为全局变量来创立。固然,这个选项还可以经由过程手工来开启,然而PHP的开辟者保举你将其封闭。要贯彻他们的意图,你需求利用其它的办法来获得这些值。
从PHP 4.1入手下手,EGPCS值就能够从一组指定的数组中取得:

$_ENV -- 包括体系情况变量
$_GET -- 包括查询字符串中的变量,和提交办法为GET的表单中的变量
$_POST -- 包括提交体例为POST的表单中的变量
$_COOKIE -- 包括一切cookie变量
$_SERVER -- 包括办事器变量,例如HTTP_USER_AGENT
$_REQUEST -- 包括$_GET、$_POST和$_COOKIE的全体内容
$_SESSION -- 包括一切已注册的session变量
在PHP 4.1之前,当开辟者封闭register_globals选项(这也被思索为进步PHP功能的一种办法)后,必需利用诸如$HTTP_GET_VARS如许的使人厌恶的名字来获得这些变量。这些新的变量名不单单短,并且它们还有其他长处。
起首,让咱们在PHP 4.2中(也就是说封闭register_globals 选项)重写下面提到的代码: <?php
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
// 反省用户名和口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
正如你看到的,我所需求做的只是在代码的入手下手增添上面两行:
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
由于咱们但愿用户名和暗码是由用户提交的,所以咱们从$_REQUEST数组中获得这些值。利用这个数组使得用户可以自在选择传递体例:经由过程URL查询字符串(例如答应用户创立书签时主动输出他们的证书)、经由过程一个提交的表单或是经由过程一个cookie。假如你想要限制只能经由过程表单提交证书(更准确地说,是经由过程HTTP POST恳求),你可使用$_POST数组:
$username = $_POST['username'];
$password = $_POST['password'];
除“引入”这两个变量之外,法式代码没有任何改动。复杂地封闭register_globals选项促使开辟者更进一步懂得哪些数据是来自内部的(不成信赖的)资本。
请注重这里还有一个小成绩:PHP中默许的error_reporting设置依然是E_ALL & ~E_NOTICE,因而假如“username”和“password”这两个值没有被提交,试图从$_REQUEST数组或$_POST数组中取得这两个值其实不会招致任何毛病信息。如晨不你的PHP法式需求严厉的毛病反省,你还需求增添一些代码以起首反省这些变量。

然而这是否是意味着更多的输出?

是的,在象下面如许的复杂法式中,利用PHP 4.2经常会增添输出量。然而,仍是看看光亮的一面吧 -- 你的法式毕竟是更平安了!
不外仔细的说,PHP的设计者并没有完整无视你的疾苦。在这些新数组中有一个特别的其它所PHP变量都不具有的特点,它们是完整的全局变量。这对你有甚么匡助呢?让咱们先对咱们的示例停止一下扩大。
为了使得站点中的多个页面可使用用户名/口令论证,咱们将咱们用户认证法式写到一个include文件(protectme.php)中:

<?php

/* protectme.php */
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
// 反省用户名和口令
if ($username != $authuser or $password != $authpass):
?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php
exit();
endif;
}
?>
如今,咱们方才的页面看上去将是如许的: <?php
require('protectme.php');
authorize_user('kevin','secret');
?>
<!-- 有平安请求的HTML内容 -->
很复杂,很明晰了然,对不合错误?如今是考验你的目力眼光和经历的时分了 -- 在authorize_user 函数中少了甚么?
在函数中没有声名$_POST是一个全局变量!在php 4.0中,当register_globals开启时,你需求增添一行代码以在函数中获得$username和$password变量:
function authorize_user($authuser, $authpass)
{
global $username, $password;
...
在PHP中,和其它具有相似语法的言语分歧,函数外的变量在函数中不克不及主动取得,你需求象下面所申明的那样增添一行以指定其来自global局限。
在PHP 4.0中,当封闭register_globals以供应平安性时,你可使用$HTTP_POST_VARS数组以取得你的表单提交的值,然而你仍是需求从全局局限导入这个数组: function authorize_user($authuser, $authpass)
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
$password = $HTTP_POST_VARS['password'];
然而在PHP 4.1及今后的版本中,特别的$_POST变量(和下面提到的其它变量)可以在一切局限内利用。这就是不需求在函数中声名$_POST变量是一个全局变量的缘由: function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
这对session有甚么影响?

特别的$_SESSION数组的引入实践上有助于简化session代码。你不需求将session变量声名为全局变量,然后再去寄望哪些变量被注册了,你如今可以复杂地从$_SESSION['varname']中援用你一切的session变量。
如今让咱们来看看另外一个用户认证的例子。这一次,咱们利用sessions以标记一个在你的网站持续勾留的用户已经由了用户认证。起首,咱们来看看PHP 4.0版本(开启register_globals):

<?php
session_start();
if ($username == 'kevin' and $password == 'secret')
{
$authorized = true;
session_register('authorized');
}
?>
<?php if (!$authorized): ?>
<!-- 显示HTML表单以提醒用户登录 -->
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
和刚入手下手的法式一样,这个法式也存在平安破绽,在URL的最初加上?authorized=1可以绕过平安办法直接会见页面内容。开辟者可以将$authorized视为一个session变量而无视了可以很轻易地经由过程用户输出设置一样的变量。
当咱们增添了咱们的特别的数组(PHP 4.1)并封闭register_globals(PHP 4.2)后,咱们的法式将是如许的: <?php
session_start();
if ($username == 'kevin' and $password == 'secret')
$_SESSION['authorized'] = true;
?>
<?php if (!$_SESSION['authorized']): ?>
<!-- 显示HTML表单以提醒用户登录 -->
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
是否是加倍复杂了?你不再需求再将通俗的变量注册为一个session变量,你只需求直接设置session变量(在$_SESSION数组中),然后用一样的办法利用它。法式变得更短了,并且关于甚么变量是session变量也不会引发凌乱!

总结

在这篇文章中,我注释了PHP剧本言语作出改动的深层缘由。在PHP 4.1中,添加了一组特别数据以会见内部数据。这些数组可以在任何局限内挪用,这使得内部数据的会见更便利。在PHP 4.2中,register_globals被默许封闭以勉励利用这些数组以免无经历的开辟者编写出不平安的PHP代码。
在学习中,我也一直这样要求着自己。

冷月葬花魂 发表于 2015-2-4 12:02:06

本人接触php时间不长,算是phper中的小菜鸟一只吧。由于刚开始学的时候没有名师指,碰过不少疙瘩,呗很多小问题卡过很久,白白浪费不少宝贵的时间,在次分享一些子的学习的心得。

愤怒的大鸟 发表于 2015-2-9 22:31:24

真正的方向了,如果将来要去开发团队,你一定要学好smarty ,phplib这样的模板引擎,

海妖 发表于 2015-2-28 02:28:08

我学习了一段时间后,我发现效果并不好(估计是我自身的问题)。因为一个人的精力总是有限的,同时学习这么多,会导致每个的学习时间都得不到保证。

不帅 发表于 2015-3-9 18:36:25

说php的话,首先得提一下数组,开始的时候我是最烦数组的,总是被弄的晕头转向,不过后来呢,我觉得数组里php里最强大的存储方法,所以建议新手们要学好数组。

小魔女 发表于 2015-3-11 09:05:26

首先我是坚决反对新手上来就用框架的,因为对底层的东西一点都不了解,造成知识上的真空,会对以后的发展不利。我的观点上手了解下框架就好,代码还是手写。当然啦如果是位别的编程语言的高手的话,这个就另当别论啦。

精灵巫婆 发表于 2015-3-17 07:08:30

不禁又想起那些说php是草根语言的人,为什么认得差距这么大呢。

飘飘悠悠 发表于 2015-3-19 02:23:27

其实没啥难的,多练习,练习写程序,真正的实践比看100遍都有用。不过要熟悉引擎

兰色精灵 发表于 2015-3-19 21:46:14

这些中手常用的知识,当你把我说的这些关键字都可以熟练运用的时候,你可以选择自己

小女巫 发表于 2015-3-20 10:34:09

写js我最烦的就是 ie 和 firefox下同样的代码 结果显示的结果千差万别,还是就是最好不要用遨游去调试,因为有时候遨游是禁用js的,有可能代码是争取结果被遨游折腾的认为是代码写错。

爱飞 发表于 2015-3-20 16:44:14

为了以后维护的方便最好是代码上都加上注释,“予人方便,自己方便”。此外开发文档什么的最好都弄齐全。我觉得这是程序员必备的素质。虽然会消耗点很多的时间。但是确实是非常有必要的。

分手快乐 发表于 2015-4-12 13:29:49

曾经犯过一个很低级的错误,我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号,结果找了好几个小时的错误,事实是命名的时候 是不能用横线 \\\\\\\'-\\\\\\\' 的,应该用的是下划线\\\\\\\'_\\\\\\\' ;

莫相离 发表于 2015-4-12 15:47:35

我学习了一段时间后,我发现效果并不好(估计是我自身的问题)。因为一个人的精力总是有限的,同时学习这么多,会导致每个的学习时间都得不到保证。

乐观 发表于 2015-4-14 14:43:36

要进行开发,搭建环境是首先需要做的事,windows下面我习惯把环境那个安装在C盘下面,因为我配的环境经常出现诡异事件,什么事都没做环境有的时候就不能用啦。

再现理想 发表于 2015-4-21 19:13:10

先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。

第二个灵魂 发表于 2015-4-23 07:23:21

环境搭建好,当你看见你的浏览器输出“it works\\\\\\\"时你一定是喜悦的。在你解决问题的时候,我强烈建议多读php手册。

深爱那片海 发表于 2015-4-27 08:41:23

对于初学者来说不推荐去拿钱买的。当然如果一个网站你经常去用,而且里面的资料也比较有用,最好还是买个会员比较好,毕竟那些也是别人的工作成果。

admin 发表于 2015-6-5 18:38:04

最后祝愿,php会给你带来快乐的同时 你也会给他带来快乐。

柔情似水 发表于 2015-6-27 12:55:20

有位前辈曾经跟我说过,phper 至少要掌握200个函数 编起程序来才能顺畅点,那些不熟悉的函数记不住也要一拿手册就能找到。所以建议新手们没事就看看php的手册(至少array函数和string函数是要记牢的)。

山那边是海 发表于 2015-7-10 19:16:07

Apache不是非得用80或者8080端口的,我刚开始安得时候就是80端口老占用,就用了个 81端口,结果照常,就是输localhost的时候,应该输入为 localhost:81
页: [1]
查看完整版本: PHP网站制作之用PHP 4.2书写平安的剧本