1. php中如何過濾用戶的輸入麻煩告訴我
可以採用以下復幾點措施。
(制1)在用戶數據進入資料庫之前使用addslashes()函數過濾,可以進行一些字元的轉義,並過濾掉可能引起資料庫問題的字元。可以使用stripslashes()將數據返回到原始形式。
(2)在php.infi中開啟magic_quotes_gpc和magic_quotes_runtime指令。它們可以自動的添加和過濾斜杠,前者主要用於格式化GET,POST,和cookie變數,後者用於過濾進出資料庫的數據。
(3)當在system()或者exex()函數中使用用戶輸入數據作為參數時,必須使用escapeshellcmd()。用來避免懷有惡意的用戶強迫系統運行某些命令。
(4)可以使用stip_tags()從一個字元串中去掉HTML和PHP標記,這樣可以避免用戶將惡意節本植入到用戶的數據中。
(5)可以使用htmlspecialchars(),可以將字元專程它們的HTML等價實體。例如,<將被轉換成< ,該函數可以將任何腳本轉換成無害的字元。
總之,在使用用戶的數據時,一定要小心,原則即是不要相信用戶輸入的任何數據,必須要進行過濾和轉換。
2. PHP流(Stream)的概述與使用詳解
在現代 PHP 特性中,流或許是最出色但使用率最低的。雖然 PHP 4.3 就引入了流,但是很多開發者並不知道流的存在,因為人們很少提及流,而且流的文檔也很匱乏。PHP 官方文檔對流的解釋如下:
可能看完這段解釋後還是雲里霧里,我們簡化一下,流的作用是在出發地和目的地之間傳輸數據。出發地和目的地可以是文件、命令行進程、網路連接、ZIP 或 TAR 壓縮文件、臨時內存、標准輸入或輸出,或者是通過 PHP 流封裝協議實現的任何其他資源。
如果你讀寫過文件,就用過流;如果你從 php://stdin 讀取過數據,或者把輸入寫入 php://stdout ,也用過流。流為 PHP 的很多 IO 函數提供了底層實現,如 file_get_contents、fopn、fread 和 fwrite 等。PHP 的流函數提供了不同資源的統一介面。
我們可以把流比作管道,把水(資源數據)從一個地方引到另一個地方。在水從出發地到目的地的過程中,我們可以過濾水,可以改變水質,可以添加水,也可以排出水。
流式數據的種類各異,每種類型需要獨特的協議,以便讀寫數據,我們稱這些協議為 流封裝協議 。例如,我們可以讀寫文件系統,可以通過 HTTP、HTTPS 或 SSH 與遠程 Web 伺服器通信,還可以打開並讀寫 ZIP、RAR 或 PHAR 壓縮文件。這些通信方式都包含下述相同的過程:
1.開始通信
2.讀取數據
3.寫入數據
4.結束通信
雖然過程是一樣的,但是讀寫文件系統中文件的方式與收發 HTTP 消息的方式有所不同,流封裝協議的作用是使用通用的介面封裝這種差異。
每個流都有一個協議和一個目標。指定協議和目標的方法是使用流標識符:<scheme>://<target>,其中 <scheme> 是流的封裝協議,<target> 是流的數據源。
http://流封裝協議
下面使用 HTTP 流封裝協議創建了一個與 Flicker API 通信的 PHP 流:
不要以為這是普通的網頁 URL,file_get_contents() 函數的字元串參數其實是一個流標識符。http 協議會讓 PHP 使用 HTTP 流封裝協議,在這個參數中,http 之後是流的目標。
我們通常使用 file_get_contents()、fopen()、fwrite() 和 fclose() 等函數讀寫文件系統,因為 PHP 默認使用的流封裝協議是 file://,所以我們很少認為這些函數使用的是 PHP 流。下面的示例演示了使用 file:// 流封裝協議創建一個讀寫 /etc/hosts 文件的流:
我們通常會省略掉 file:// 協議,因為這是 PHP 使用的默認值。
php://流封裝協議
編寫命令行腳本的 PHP 開發者會感激 php:// 流封裝協議,這個流封裝協議的作用是與 PHP 腳本的標准輸入、標准輸出和標准錯誤文件描述符通信。我們可以使用 PHP 提供的文件系統函數打開、讀取或寫入下面四個流:
1. php://stdin :這是個只讀 PHP 流,其中的數據來自標准輸入。PHP 腳本可以使用這個流接收命令行傳入腳本的信息;
2. php://stdout :把數據寫入當前的輸出緩沖區,這個流只能寫,無法讀或定址;
3. php://memory :從系統內存中讀取數據,或者把數據寫入系統內存。缺點是系統內存有限,所有使用 php://temp 更安全;
4. php://temp :和 php://memory 類似,不過,沒有可用內存時,PHP 會把數據寫入這個臨時文件。
其他流封裝協議
PHP 和 PHP 擴展還提供了很多其他流封裝協議,例如,與 ZIP 和 TAR 壓縮文件、FTP 伺服器、數據壓縮庫、Amazon API、Dropbox API 等通信的流封裝協議。需要注意的是,PHP 中的 fopen()、fgets()、fputs()、feof() 以及 fclose() 等函數不僅可以用來處理文件系統中的文件,還可以在所有支持這些函數的流封裝協議中使用。
自定義流封裝協議
我們還可以自己編寫 PHP 流封裝協議。PHP 提供了一個示例 StreamWrapper 類,演示如何編寫自定義的流封裝協議,支持部分或全部 PHP 文件系統函數。關於如何編寫,具體請參考以下文檔:
http://php.net/manual/zh/class.streamwrapper.php
http://php.net/manual/zh/stream.streamwrapper.example-1.php
有些 PHP 流能夠接受一系列可選的參數,這些參數叫流上下文,用於定製流的行為。不同的流封裝協議使用的流上下文有所不同,流上下文使用 stream_context_create() 函數創建,這個函數返回的上下文對象可以傳入大多數文件系統函數。
例如,你知道可以使用 file_get_contents() 發送 HTTP POST 請求嗎?使用一個流上下文對象即可實現:
流過濾器
目前為止我們討論了如何打開流,讀取流中的數據,以及把數據寫入流。不過,PHP 流真正強大的地方在於過濾、轉換、添加或刪除流中傳輸的數據,例如,我們可以打開一個流處理 Markdown 文件,在把文件內容讀入內存的過程中自動將其轉化為 HTML。
運行該腳本,輸出的都是大寫字母:
我們還可以使用 php://filter 流封裝協議把過濾器附加到流上,不過,使用這種方式之前必須先打開 PHP 流:
這個方式實現效果和 stream_filter_append() 函數一樣,但是相比之下更為繁瑣。不過,PHP 的某些文件系統函數在調用後無法附加過濾器,例如 file() 和 fpassthru(),使用這些函數時只能使用 php://filter 流封裝協議附加流過濾器。
自定義流過濾器
我們還可以編寫自定義的流過濾器。其實,大多數情況下都要使用自定義的流過濾器,自定義的流過濾器是個 PHP 類,繼承內置的 php_user_filter 類( http://php.net/manual/zh/class.php-user-filter.php ),且必須實現 filter()、onCreate() 和 onClose() 方法,最後,必須使用 stream_filter_register() 函數注冊自定義的流過濾器。
然後,我們必須使用 stream_filter_register() 函數注冊這個自定義的 DirtyWordsFilter 流過濾器:
第一個參數用於標識這個自定義過濾器的過濾器名,第二個參數是這個自定義過濾器的類名。接下來就可以使用這個自定義的流過濾器了:
修改 test.txt 內容如下:
運行上面的自定義過濾器腳本,結果如下:
stream_bucket_append函數:為隊列添加數據
stream_bucket_make_writeable函數:從操作的隊列中返回一個數據對象
stream_bucket_new函數:為當前隊列創建一個新的數據
stream_bucket_prepend函數:預備數據到隊列
stream_context_create函數:創建數據流上下文
stream_context_get_default函數:獲取默認的數據流上下文
stream_context_get_options函數:獲取數據流的設置
stream_context_set_option函數:對數據流、數據包或者上下文進行設置
stream_context_set_params函數:為數據流、數據包或者上下文設置參數
stream__to_stream函數:在數據流之間進行復制操作
stream_filter_append函數:為數據流添加過濾器
stream_filter_prepend函數:為數據流預備添加過濾器
stream_filter_register函數:注冊一個數據流的過濾器並作為PHP類執行
stream_filter_remove函數:從一個數據流中移除過濾器
stream_get_contents函數:讀取數據流中的剩餘數據到字元串
stream_get_filters函數:返回已經注冊的數據流過濾器列表
stream_get_line函數:按照給定的定界符從數據流資源中獲取行
stream_get_meta_data函數:從封裝協議文件指針中獲取報頭/元數據
stream_get_transports函數:返回注冊的Socket傳輸列表
stream_get_wrappers函數:返回注冊的數據流列表
stream_register_wrapper函數:注冊一個用PHP類實現的URL封裝協議
stream_select函數:接收數據流數組並等待它們狀態的改變
stream_set_blocking函數:將一個數據流設置為堵塞或者非堵塞狀態
stream_set_timeout函數:對數據流進行超時設置
stream_set_write_buffer函數:為數據流設置緩沖區
stream_socket_accept函數:接受由函數stream_ socket_server()創建的Socket連接
stream_socket_client函數:打開網路或者UNIX主機的Socket連接
stream_socket_enable_crypto函數:為一個已經連接的Socket打開或者關閉數據加密
stream_socket_get_name函數:獲取本地或者網路Socket的名稱
stream_socket_pair函數:創建兩個無區別的Socket數據流連接
stream_socket_recvfrom函數:從Socket獲取數據,不管其連接與否
stream_socket_sendto函數:向Socket發送數據,不管其連接與否
stream_socket_server函數:創建一個網路或者UNIX Socket服務端
stream_wrapper_restore函數:恢復一個事先注銷的數據包
stream_wrapper_unregister函數:注銷一個URL地址包
整合資料
本文整合於以下兩篇文章
https://blog.csdn.net/qq756684177/article/details/81518647
https://xueyuanjun.com/post/7459.html
3. php採集程序的過濾功能怎麼寫
<?php
/*
* 先不要管以//開頭的 那是給你拓展知識面的
* 匹配模板需要寫在 # #中間(也可以寫在/ /中間)
* (.*)表示匹配所有 具體正則表達式語法參照其他資料(PHP100 視頻教程 有正則語法 和一個例子 小偷程序)
* 電驢 迅雷 www.PHP100.com 有該系列視頻
*/
$url="http://www..com";//目標網站 $url也可以為本地一個文件(txt,html,xml等)如"readme.txt"(同目錄下)
$content=file_get_contents($url,r);//讀取文件全部內容
//eregi("<title>(.*)</title>",$content,$arr);eregi為正則函數
$mode="#<title>(.*)</title>#";//匹配模板 以<title>開頭 以<title>結尾
preg_match($mode,$content,$arr);//匹配結果返回在數組$arr里 若匹配失敗返回false
print_r($arr);//輸出數組所有內容 也可以輸出一部分print_r($arr[1])
//echo $content;//你自己測試一下效果---網路首頁
/*
* 把<title>換做<div> </title>換做</div> //a 同理
* 網址或文件路徑改一下即可
*/
?>
4. php如何向JavaWeb一樣定義過濾器
$url = $_SERVER["PHP_SELF"];
$url = substr($url,strlen($url)-8,2);
//echo $url;
if(($_SERVER["PHP_SELF"] == '/miaomi/index.php/Index/login')||($_SERVER["PHP_SELF"] == '/miaomi/index.php')||$url=='In')
{
}
else{
SESSION_START();
if((!isset($_SESSION['username'])))
{
echo "<script language='javascript'>window.location.href='/miaomi/index.php';</script>";
}
5. php中數據過濾的問題
我來解釋一下吧
preg_replace('/[\\x00-\\x08\\x0B\\x0C\\x0E-\\x1F]/','',$string);
去掉控制字元,你google一下ascii table就知道了,php裡面 - 代表范圍,比如\x00-\x08指的是ASCII代碼在\x00到\x08范圍的字元,\x0A和\x0D代表回車換行,所以沒包含在這個裡面,否則直接\x00-\x1F了,
$string = str_replace(array("\0","%00","\r"),'',$string);
\0表示ASCII 0x00的字元,通常作為字元串結束標志
$string = preg_replace("/&(?!(#[0-9]+|[a-z]+);)/si",'&',$string);
我們知道HTML裡面可以用&#xxx;來對一些字元進行編碼,比如 (空格), ߷ Unicode字元等,A(?!B) 表示的是A後面不是B,所以作者想保留 ߷類似的 HTML編碼字元,去掉其他的問題字元,比如 &123; &#nbsp;
str_replace(array("%3C",'<'),'<',$string);
第一個'<'多餘吧,%3C是編碼以後的 <, 一般用在URL編碼里
str_replace(array("%3E",'>'),'>',$string);
str_replace(array('"',"'","\t",' '),array('"',"'",'',''),$string);
略過
有問題再追問
6. 經過相應php過濾器過濾後的數據是不是足夠安全 可以直接存入資料庫啊
還要過濾一下SQL注入。判斷一下E-mail的長度,不能超過資料庫欄位設定的長度..
7. php引用函數的使用方法
php引用函數的使用方法
在技術學習的道路上,能掌握一些有用的技巧,對於初學者是非常有幫助的,下面是php引用函數的使用方法,希望大家會喜歡。
1.不要在你的應用程序中gzip輸出,讓apache來做
考慮使用ob_gzhandler?不,別這樣做。它沒有任何意義。PHP應該是來寫應用程序的。不要擔心PHP中有關如何優化在伺服器和瀏覽器之間傳輸的數據。
使用apache mod_gzip/mod_deflate通過.htaccess文件壓縮內容。
2.從php echo javascript代碼時使用json_encode
有些時候一些JavaScript代碼是從php動態生成的。
$images = array( 'myself.png' , 'friends.png' , 'colleagues.png');
$js_code = '';foreach($images as $image)
{
$js_code .= "'$image' ,";
}
$js_code = 'var images = [' . $js_code . ']; ';echo $js_code;//Output is var images = ['myself.png' ,'friends.png' ,'colleagues.png' ,];
放聰明點。使用json_encode:
$images = array( 'myself.png' , 'friends.png' , 'colleagues.png');
$js_code = 'var images = ' . json_encode($images);
echo $js_code;//Output is : var images = ["myself.png","friends.png","colleagues.png"]
這不是很整潔?
3.在寫入任何文件之前檢查目錄是否可寫
在寫入或保存任何文件之前,請務必要檢查該目錄是否是可寫的,如果不可寫的話,會閃爍錯誤消息。這將節省你大量的「調試」時間。當你工作於Linux時,許可權是必須要處理的,並且會有很多很多的許可權問題時,當目錄不可寫,文件無法讀取等的時候。
請確保你的應用程序盡可能智能化,並在最短的時間內報告最重要的信息。
$contents = "All the content";
$file_path = "/var/www/project/content.txt";
file_put_contents($file_path , $contents);
這完全正確。但有一些間接的問題。file_put_contents可能會因為一些原因而失敗:
父目錄不存在
目錄存在,但不可寫
鎖定文件用於寫入?
因此,在寫入文件之前最好能夠一切都弄明確。
$contents = "All the content";
$dir = '/var/www/project';
$file_path = $dir . "/content.txt";if(is_writable($dir))
{
file_put_contents($file_path , $contents);
}else{ die("Directory $dir is not writable, or does not exist. Please check");
}
通過這樣做,你就能得到哪裡文件寫入失敗以及為什麼失敗的准確信息。
4.改變應用程序創建的文件的許可權
當在Linux環境下工作時,許可權處理會浪費你很多時間。因此,只要你的php應用程序創建了一些文件,那就應該修改它們的許可權以確保它們在外面「平易近人」。否則,例如,文件是由「php」用戶創建的,而你作為一個不同的用戶,系統就不會讓你訪問或打開文件,然後你必須努力獲得root許可權,更改文件許可權等等。
// Read and write for owner, read for everybody elsechmod("/somedir/somefile", 0644);// Everything for owner, read and execute for otherschmod("/somedir/somefile", 0755);
5.不要檢查提交按鈕值來檢查表單提交
if($_POST['submit'] == 'Save')
{ //Save the things}
以上代碼在大多數時候是正確的,除了應用程序使用多語言的情況。然後「Save」可以是很多不同的東西。那麼你該如何再做比較?所以不能依靠提交按鈕的值。相反,使用這個:
if( $_SERVER['REQUEST_METHOD'] == 'POST' and isset($_POST['submit']) )
{ //Save the things}
現在你就可以擺脫提交按鈕的值了。
6.在函數中總是有相同值的地方使用靜態變數
//Delay for some timefunction delay(){
$sync_delay = get_option('sync_delay'); echo "
Delaying for $sync_delay seconds...";
sleep($sync_delay); echo "Done
";
}
相反,使用靜態變數:
//Delay for some timefunction delay(){ static $sync_delay = null; if($sync_delay == null)
{
$sync_delay = get_option('sync_delay');
} echo "
Delaying for $sync_delay seconds...";
sleep($sync_delay); echo "Done
";
}
7.不要直接使用$ _SESSION變數
一些簡單的例子是:
$_SESSION['username'] = $username;
$username = $_SESSION['username'];
但是這有一個問題。如果你正在相同域中運行多個應用程序,會話變數會發生沖突。2個不同的應用程序在會話變數中可能會設置相同的鍵名。舉個例子,一個相同域的前端門戶和後台管理應用程序。
因此,用包裝函數使用應用程序特定鍵:
define('APP_ID' , 'abc_corp_ecommerce');//Function to get a session variablefunction session_get($key){
$k = APP_ID . '.' . $key; if(isset($_SESSION[$k]))
{ return $_SESSION[$k];
} return false;
}//Function set the session variablefunction session_set($key , $value){
$k = APP_ID . '.' . $key;
$_SESSION[$k] = $value; return true;
}
8.封裝實用輔助函數到一個類中
所以,你必須在一個文件中有很多實用函數:
function utility_a(){ //This function does a utility thing like string processing}function utility_b(){ //This function does nother utility thing like database processing}function utility_c(){ //This function is ...}
自由地在應用程序中使用函數。那麼你或許想要將它們包裝成一個類作為靜態函數:
class Utility{ public static function utility_a()
{
} public static function utility_b()
{
} public static function utility_c()
{
}
}//and call them as $a = Utility::utility_a();
$b = Utility::utility_b();
這里你可以得到的一個明顯好處是,如果php有相似名稱的內置函數,那麼名稱不會發生沖突。
從另一個角度看,你可以在相同的應用程序中保持多個版本的相同類,而不會發生任何沖突。因為它被封裝了,就是這樣。
9.一些傻瓜式技巧
使用echo代替print
使用str_replace代替preg_replace,除非你確定需要它
不要使用short tags
對於簡單的'字元串使用單引號代替雙引號
在header重定向之後要記得做一個exit
千萬不要把函數調用放到for循環控制行中。
isset比strlen快
正確和一致地格式化你的代碼
不要丟失循環或if-else塊的括弧。
不要寫這樣的代碼:
if($a == true) $a_count++;
這絕對是一種浪費。
這樣寫
if($a == true)
{
$a_count++;
}
不要通過吃掉語法縮短你的代碼。而是要讓你的邏輯更簡短。使用具有代碼高亮功能的文本編輯器。代碼高亮有助於減少錯誤。
10. 使用array_map快速處理數組
比方說,你要trim一個數組的所有元素。新手會這樣做:
foreach($arr as $c => $v)
{
$arr[$c] = trim($v);
}
但它可以使用array_map變得更整潔:
$arr = array_map('trim' , $arr);
這適用於trim數組$arr的所有元素。另一個類似的函數是array_walk。
11.使用php過濾器驗證數據
你是不是使用正則表達式來驗證如電子郵件,IP地址等值?是的,每個人都是這樣做的。現在,讓我們試試一個不同的東西,那就是過濾器。
php過濾器擴展程序將提供簡單的方法來有效驗證或校驗值。
12.強制類型檢查
$amount = intval( $_GET['amount'] );
$rate = (int) $_GET['rate'];
這是一種好習慣。
13.使用set_error_handler()將Php錯誤寫入到文件
set_error_handler()可以用來設置自定義的錯誤處理程序。在文件中編寫一些重要的錯誤用於日誌是個好主意。
14.小心處理大型數組
大型的數組或字元串,如果一個變數保存了一些規模非常大的東西,那麼要小心處理。常見錯誤是創建副本,然後耗盡內存,並得到內存溢出的致命錯誤:
$db_records_in_array_format; //This is a big array holding 1000 rows from a table each having 20 columns , every row is atleast 100 bytes , so total 1000 * 20 * 100 = 2MB$cc = $db_records_in_array_format; //2MB moresome_function($cc); //Another 2MB ?
當導入csv文件或導出表到csv文件時,上面這樣的代碼很常見。
像上面這樣做可能經常會由於內存限制而讓腳本崩潰。對於小規模的變數它不會出現問題,但當處理大型數組時一定要對此加以避免。
考慮通過引用傳遞它們,或者將它們存儲在一個類變數中:
$a = get_large_array();
pass_to_function(&$a);
這樣一來,相同的變數(並非其副本)將用於該函數。
class A{ function first()
{ $this->a = get_large_array(); $this->pass_to_function();
} function pass_to_function()
{ //process $this->a
}
}
盡快復原它們,這樣內存就能被釋放,並且腳本的其餘部分就能放鬆。
下面是關於如何通過引用來賦值從而節省內存的一個簡單示例。
<?phpini_set('display_errors' , true);
error_reporting(E_ALL);
$a = array();for($i = 0; $i < 100000 ; $i++)
{
$a[$i] = 'A'.$i;
}echo 'Memory usage in MB : '. memory_get_usage() / 1000000 . '
';
$b = $a;
$b[0] = 'B';echo 'Memory usage in MB after 1st : '. memory_get_usage() / 1000000 . '
';
$c = $a;
$c[0] = 'B';echo 'Memory usage in MB after 2st : '. memory_get_usage() / 1000000 . '
';
$d =& $a;
$d[0] = 'B';echo 'Memory usage in MB after 3st (reference) : '. memory_get_usage() / 1000000 . '
';
一個典型php 5.4機器上的輸出是:
Memory usage in MB : 18.08208Memory usage in MB after 1st : 27.930944Memory usage in MB after 2st : 37.779808Memory usage in MB after 3st (reference) : 37.779864
因此可以看出,內存被保存在第3份通過引用的副本中。否則,在所有普通副本中內存將被越來越多地使用。
15.在整個腳本中使用單一的資料庫連接
請確保你在整個腳本使用單一的資料庫連接。從一開始就打開連接,使用至結束,並在結束時關閉它。不要像這樣在函數內打開連接:
function add_to_cart(){
$db = new Database();
$db->query("INSERT INTO cart .....");
}function empty_cart(){
$db = new Database();
$db->query("DELETE FROM cart .....");
}
有多個連接也不好,會因為每個連接都需要時間來創建和使用更多的內存,而導致執行減緩。
在特殊情況下。例如資料庫連接,可以使用單例模式。
;8. php 過濾器用在過濾用戶訪問的url上
求大神大牛指導哇!!