1. php中如何过滤用户的输入麻烦告诉我
可以采用以下复几点措施。
(制1)在用户数据进入数据库之前使用addslashes()函数过滤,可以进行一些字符的转义,并过滤掉可能引起数据库问题的字符。可以使用stripslashes()将数据返回到原始形式。
(2)在php.infi中开启magic_quotes_gpc和magic_quotes_runtime指令。它们可以自动的添加和过滤斜杠,前者主要用于格式化GET,POST,和cookie变量,后者用于过滤进出数据库的数据。
(3)当在system()或者exex()函数中使用用户输入数据作为参数时,必须使用escapeshellcmd()。用来避免怀有恶意的用户强迫系统运行某些命令。
(4)可以使用stip_tags()从一个字符串中去掉HTML和PHP标记,这样可以避免用户将恶意节本植入到用户的数据中。
(5)可以使用htmlspecialchars(),可以将字符专程它们的HTML等价实体。例如,<将被转换成< ,该函数可以将任何脚本转换成无害的字符。
总之,在使用用户的数据时,一定要小心,原则即是不要相信用户输入的任何数据,必须要进行过滤和转换。
2. PHP流(Stream)的概述与使用详解
在现代 PHP 特性中,流或许是最出色但使用率最低的。虽然 PHP 4.3 就引入了流,但是很多开发者并不知道流的存在,因为人们很少提及流,而且流的文档也很匮乏。PHP 官方文档对流的解释如下:
可能看完这段解释后还是云里雾里,我们简化一下,流的作用是在出发地和目的地之间传输数据。出发地和目的地可以是文件、命令行进程、网络连接、ZIP 或 TAR 压缩文件、临时内存、标准输入或输出,或者是通过 PHP 流封装协议实现的任何其他资源。
如果你读写过文件,就用过流;如果你从 php://stdin 读取过数据,或者把输入写入 php://stdout ,也用过流。流为 PHP 的很多 IO 函数提供了底层实现,如 file_get_contents、fopn、fread 和 fwrite 等。PHP 的流函数提供了不同资源的统一接口。
我们可以把流比作管道,把水(资源数据)从一个地方引到另一个地方。在水从出发地到目的地的过程中,我们可以过滤水,可以改变水质,可以添加水,也可以排出水。
流式数据的种类各异,每种类型需要独特的协议,以便读写数据,我们称这些协议为 流封装协议 。例如,我们可以读写文件系统,可以通过 HTTP、HTTPS 或 SSH 与远程 Web 服务器通信,还可以打开并读写 ZIP、RAR 或 PHAR 压缩文件。这些通信方式都包含下述相同的过程:
1.开始通信
2.读取数据
3.写入数据
4.结束通信
虽然过程是一样的,但是读写文件系统中文件的方式与收发 HTTP 消息的方式有所不同,流封装协议的作用是使用通用的接口封装这种差异。
每个流都有一个协议和一个目标。指定协议和目标的方法是使用流标识符:<scheme>://<target>,其中 <scheme> 是流的封装协议,<target> 是流的数据源。
http://流封装协议
下面使用 HTTP 流封装协议创建了一个与 Flicker API 通信的 PHP 流:
不要以为这是普通的网页 URL,file_get_contents() 函数的字符串参数其实是一个流标识符。http 协议会让 PHP 使用 HTTP 流封装协议,在这个参数中,http 之后是流的目标。
我们通常使用 file_get_contents()、fopen()、fwrite() 和 fclose() 等函数读写文件系统,因为 PHP 默认使用的流封装协议是 file://,所以我们很少认为这些函数使用的是 PHP 流。下面的示例演示了使用 file:// 流封装协议创建一个读写 /etc/hosts 文件的流:
我们通常会省略掉 file:// 协议,因为这是 PHP 使用的默认值。
php://流封装协议
编写命令行脚本的 PHP 开发者会感激 php:// 流封装协议,这个流封装协议的作用是与 PHP 脚本的标准输入、标准输出和标准错误文件描述符通信。我们可以使用 PHP 提供的文件系统函数打开、读取或写入下面四个流:
1. php://stdin :这是个只读 PHP 流,其中的数据来自标准输入。PHP 脚本可以使用这个流接收命令行传入脚本的信息;
2. php://stdout :把数据写入当前的输出缓冲区,这个流只能写,无法读或寻址;
3. php://memory :从系统内存中读取数据,或者把数据写入系统内存。缺点是系统内存有限,所有使用 php://temp 更安全;
4. php://temp :和 php://memory 类似,不过,没有可用内存时,PHP 会把数据写入这个临时文件。
其他流封装协议
PHP 和 PHP 扩展还提供了很多其他流封装协议,例如,与 ZIP 和 TAR 压缩文件、FTP 服务器、数据压缩库、Amazon API、Dropbox API 等通信的流封装协议。需要注意的是,PHP 中的 fopen()、fgets()、fputs()、feof() 以及 fclose() 等函数不仅可以用来处理文件系统中的文件,还可以在所有支持这些函数的流封装协议中使用。
自定义流封装协议
我们还可以自己编写 PHP 流封装协议。PHP 提供了一个示例 StreamWrapper 类,演示如何编写自定义的流封装协议,支持部分或全部 PHP 文件系统函数。关于如何编写,具体请参考以下文档:
http://php.net/manual/zh/class.streamwrapper.php
http://php.net/manual/zh/stream.streamwrapper.example-1.php
有些 PHP 流能够接受一系列可选的参数,这些参数叫流上下文,用于定制流的行为。不同的流封装协议使用的流上下文有所不同,流上下文使用 stream_context_create() 函数创建,这个函数返回的上下文对象可以传入大多数文件系统函数。
例如,你知道可以使用 file_get_contents() 发送 HTTP POST 请求吗?使用一个流上下文对象即可实现:
流过滤器
目前为止我们讨论了如何打开流,读取流中的数据,以及把数据写入流。不过,PHP 流真正强大的地方在于过滤、转换、添加或删除流中传输的数据,例如,我们可以打开一个流处理 Markdown 文件,在把文件内容读入内存的过程中自动将其转化为 HTML。
运行该脚本,输出的都是大写字母:
我们还可以使用 php://filter 流封装协议把过滤器附加到流上,不过,使用这种方式之前必须先打开 PHP 流:
这个方式实现效果和 stream_filter_append() 函数一样,但是相比之下更为繁琐。不过,PHP 的某些文件系统函数在调用后无法附加过滤器,例如 file() 和 fpassthru(),使用这些函数时只能使用 php://filter 流封装协议附加流过滤器。
自定义流过滤器
我们还可以编写自定义的流过滤器。其实,大多数情况下都要使用自定义的流过滤器,自定义的流过滤器是个 PHP 类,继承内置的 php_user_filter 类( http://php.net/manual/zh/class.php-user-filter.php ),且必须实现 filter()、onCreate() 和 onClose() 方法,最后,必须使用 stream_filter_register() 函数注册自定义的流过滤器。
然后,我们必须使用 stream_filter_register() 函数注册这个自定义的 DirtyWordsFilter 流过滤器:
第一个参数用于标识这个自定义过滤器的过滤器名,第二个参数是这个自定义过滤器的类名。接下来就可以使用这个自定义的流过滤器了:
修改 test.txt 内容如下:
运行上面的自定义过滤器脚本,结果如下:
stream_bucket_append函数:为队列添加数据
stream_bucket_make_writeable函数:从操作的队列中返回一个数据对象
stream_bucket_new函数:为当前队列创建一个新的数据
stream_bucket_prepend函数:预备数据到队列
stream_context_create函数:创建数据流上下文
stream_context_get_default函数:获取默认的数据流上下文
stream_context_get_options函数:获取数据流的设置
stream_context_set_option函数:对数据流、数据包或者上下文进行设置
stream_context_set_params函数:为数据流、数据包或者上下文设置参数
stream__to_stream函数:在数据流之间进行复制操作
stream_filter_append函数:为数据流添加过滤器
stream_filter_prepend函数:为数据流预备添加过滤器
stream_filter_register函数:注册一个数据流的过滤器并作为PHP类执行
stream_filter_remove函数:从一个数据流中移除过滤器
stream_get_contents函数:读取数据流中的剩余数据到字符串
stream_get_filters函数:返回已经注册的数据流过滤器列表
stream_get_line函数:按照给定的定界符从数据流资源中获取行
stream_get_meta_data函数:从封装协议文件指针中获取报头/元数据
stream_get_transports函数:返回注册的Socket传输列表
stream_get_wrappers函数:返回注册的数据流列表
stream_register_wrapper函数:注册一个用PHP类实现的URL封装协议
stream_select函数:接收数据流数组并等待它们状态的改变
stream_set_blocking函数:将一个数据流设置为堵塞或者非堵塞状态
stream_set_timeout函数:对数据流进行超时设置
stream_set_write_buffer函数:为数据流设置缓冲区
stream_socket_accept函数:接受由函数stream_ socket_server()创建的Socket连接
stream_socket_client函数:打开网络或者UNIX主机的Socket连接
stream_socket_enable_crypto函数:为一个已经连接的Socket打开或者关闭数据加密
stream_socket_get_name函数:获取本地或者网络Socket的名称
stream_socket_pair函数:创建两个无区别的Socket数据流连接
stream_socket_recvfrom函数:从Socket获取数据,不管其连接与否
stream_socket_sendto函数:向Socket发送数据,不管其连接与否
stream_socket_server函数:创建一个网络或者UNIX Socket服务端
stream_wrapper_restore函数:恢复一个事先注销的数据包
stream_wrapper_unregister函数:注销一个URL地址包
整合资料
本文整合于以下两篇文章
https://blog.csdn.net/qq756684177/article/details/81518647
https://xueyuanjun.com/post/7459.html
3. php采集程序的过滤功能怎么写
<?php
/*
* 先不要管以//开头的 那是给你拓展知识面的
* 匹配模板需要写在 # #中间(也可以写在/ /中间)
* (.*)表示匹配所有 具体正则表达式语法参照其他资料(PHP100 视频教程 有正则语法 和一个例子 小偷程序)
* 电驴 迅雷 www.PHP100.com 有该系列视频
*/
$url="http://www..com";//目标网站 $url也可以为本地一个文件(txt,html,xml等)如"readme.txt"(同目录下)
$content=file_get_contents($url,r);//读取文件全部内容
//eregi("<title>(.*)</title>",$content,$arr);eregi为正则函数
$mode="#<title>(.*)</title>#";//匹配模板 以<title>开头 以<title>结尾
preg_match($mode,$content,$arr);//匹配结果返回在数组$arr里 若匹配失败返回false
print_r($arr);//输出数组所有内容 也可以输出一部分print_r($arr[1])
//echo $content;//你自己测试一下效果---网络首页
/*
* 把<title>换做<div> </title>换做</div> //a 同理
* 网址或文件路径改一下即可
*/
?>
4. php如何向JavaWeb一样定义过滤器
$url = $_SERVER["PHP_SELF"];
$url = substr($url,strlen($url)-8,2);
//echo $url;
if(($_SERVER["PHP_SELF"] == '/miaomi/index.php/Index/login')||($_SERVER["PHP_SELF"] == '/miaomi/index.php')||$url=='In')
{
}
else{
SESSION_START();
if((!isset($_SESSION['username'])))
{
echo "<script language='javascript'>window.location.href='/miaomi/index.php';</script>";
}
5. php中数据过滤的问题
我来解释一下吧
preg_replace('/[\\x00-\\x08\\x0B\\x0C\\x0E-\\x1F]/','',$string);
去掉控制字符,你google一下ascii table就知道了,php里面 - 代表范围,比如\x00-\x08指的是ASCII代码在\x00到\x08范围的字符,\x0A和\x0D代表回车换行,所以没包含在这个里面,否则直接\x00-\x1F了,
$string = str_replace(array("\0","%00","\r"),'',$string);
\0表示ASCII 0x00的字符,通常作为字符串结束标志
$string = preg_replace("/&(?!(#[0-9]+|[a-z]+);)/si",'&',$string);
我们知道HTML里面可以用&#xxx;来对一些字符进行编码,比如 (空格), ߷ Unicode字符等,A(?!B) 表示的是A后面不是B,所以作者想保留 ߷类似的 HTML编码字符,去掉其他的问题字符,比如 &123; &#nbsp;
str_replace(array("%3C",'<'),'<',$string);
第一个'<'多余吧,%3C是编码以后的 <, 一般用在URL编码里
str_replace(array("%3E",'>'),'>',$string);
str_replace(array('"',"'","\t",' '),array('"',"'",'',''),$string);
略过
有问题再追问
6. 经过相应php过滤器过滤后的数据是不是足够安全 可以直接存入数据库啊
还要过滤一下SQL注入。判断一下E-mail的长度,不能超过数据库字段设定的长度..
7. php引用函数的使用方法
php引用函数的使用方法
在技术学习的道路上,能掌握一些有用的技巧,对于初学者是非常有帮助的,下面是php引用函数的使用方法,希望大家会喜欢。
1.不要在你的应用程序中gzip输出,让apache来做
考虑使用ob_gzhandler?不,别这样做。它没有任何意义。PHP应该是来写应用程序的。不要担心PHP中有关如何优化在服务器和浏览器之间传输的数据。
使用apache mod_gzip/mod_deflate通过.htaccess文件压缩内容。
2.从php echo javascript代码时使用json_encode
有些时候一些JavaScript代码是从php动态生成的。
$images = array( 'myself.png' , 'friends.png' , 'colleagues.png');
$js_code = '';foreach($images as $image)
{
$js_code .= "'$image' ,";
}
$js_code = 'var images = [' . $js_code . ']; ';echo $js_code;//Output is var images = ['myself.png' ,'friends.png' ,'colleagues.png' ,];
放聪明点。使用json_encode:
$images = array( 'myself.png' , 'friends.png' , 'colleagues.png');
$js_code = 'var images = ' . json_encode($images);
echo $js_code;//Output is : var images = ["myself.png","friends.png","colleagues.png"]
这不是很整洁?
3.在写入任何文件之前检查目录是否可写
在写入或保存任何文件之前,请务必要检查该目录是否是可写的,如果不可写的话,会闪烁错误消息。这将节省你大量的“调试”时间。当你工作于Linux时,权限是必须要处理的,并且会有很多很多的权限问题时,当目录不可写,文件无法读取等的时候。
请确保你的应用程序尽可能智能化,并在最短的时间内报告最重要的信息。
$contents = "All the content";
$file_path = "/var/www/project/content.txt";
file_put_contents($file_path , $contents);
这完全正确。但有一些间接的问题。file_put_contents可能会因为一些原因而失败:
父目录不存在
目录存在,但不可写
锁定文件用于写入?
因此,在写入文件之前最好能够一切都弄明确。
$contents = "All the content";
$dir = '/var/www/project';
$file_path = $dir . "/content.txt";if(is_writable($dir))
{
file_put_contents($file_path , $contents);
}else{ die("Directory $dir is not writable, or does not exist. Please check");
}
通过这样做,你就能得到哪里文件写入失败以及为什么失败的准确信息。
4.改变应用程序创建的文件的权限
当在Linux环境下工作时,权限处理会浪费你很多时间。因此,只要你的php应用程序创建了一些文件,那就应该修改它们的权限以确保它们在外面“平易近人”。否则,例如,文件是由“php”用户创建的,而你作为一个不同的用户,系统就不会让你访问或打开文件,然后你必须努力获得root权限,更改文件权限等等。
// Read and write for owner, read for everybody elsechmod("/somedir/somefile", 0644);// Everything for owner, read and execute for otherschmod("/somedir/somefile", 0755);
5.不要检查提交按钮值来检查表单提交
if($_POST['submit'] == 'Save')
{ //Save the things}
以上代码在大多数时候是正确的,除了应用程序使用多语言的情况。然后“Save”可以是很多不同的东西。那么你该如何再做比较?所以不能依靠提交按钮的值。相反,使用这个:
if( $_SERVER['REQUEST_METHOD'] == 'POST' and isset($_POST['submit']) )
{ //Save the things}
现在你就可以摆脱提交按钮的值了。
6.在函数中总是有相同值的地方使用静态变量
//Delay for some timefunction delay(){
$sync_delay = get_option('sync_delay'); echo "
Delaying for $sync_delay seconds...";
sleep($sync_delay); echo "Done
";
}
相反,使用静态变量:
//Delay for some timefunction delay(){ static $sync_delay = null; if($sync_delay == null)
{
$sync_delay = get_option('sync_delay');
} echo "
Delaying for $sync_delay seconds...";
sleep($sync_delay); echo "Done
";
}
7.不要直接使用$ _SESSION变量
一些简单的例子是:
$_SESSION['username'] = $username;
$username = $_SESSION['username'];
但是这有一个问题。如果你正在相同域中运行多个应用程序,会话变量会发生冲突。2个不同的应用程序在会话变量中可能会设置相同的键名。举个例子,一个相同域的前端门户和后台管理应用程序。
因此,用包装函数使用应用程序特定键:
define('APP_ID' , 'abc_corp_ecommerce');//Function to get a session variablefunction session_get($key){
$k = APP_ID . '.' . $key; if(isset($_SESSION[$k]))
{ return $_SESSION[$k];
} return false;
}//Function set the session variablefunction session_set($key , $value){
$k = APP_ID . '.' . $key;
$_SESSION[$k] = $value; return true;
}
8.封装实用辅助函数到一个类中
所以,你必须在一个文件中有很多实用函数:
function utility_a(){ //This function does a utility thing like string processing}function utility_b(){ //This function does nother utility thing like database processing}function utility_c(){ //This function is ...}
自由地在应用程序中使用函数。那么你或许想要将它们包装成一个类作为静态函数:
class Utility{ public static function utility_a()
{
} public static function utility_b()
{
} public static function utility_c()
{
}
}//and call them as $a = Utility::utility_a();
$b = Utility::utility_b();
这里你可以得到的一个明显好处是,如果php有相似名称的内置函数,那么名称不会发生冲突。
从另一个角度看,你可以在相同的应用程序中保持多个版本的相同类,而不会发生任何冲突。因为它被封装了,就是这样。
9.一些傻瓜式技巧
使用echo代替print
使用str_replace代替preg_replace,除非你确定需要它
不要使用short tags
对于简单的'字符串使用单引号代替双引号
在header重定向之后要记得做一个exit
千万不要把函数调用放到for循环控制行中。
isset比strlen快
正确和一致地格式化你的代码
不要丢失循环或if-else块的括号。
不要写这样的代码:
if($a == true) $a_count++;
这绝对是一种浪费。
这样写
if($a == true)
{
$a_count++;
}
不要通过吃掉语法缩短你的代码。而是要让你的逻辑更简短。使用具有代码高亮功能的文本编辑器。代码高亮有助于减少错误。
10. 使用array_map快速处理数组
比方说,你要trim一个数组的所有元素。新手会这样做:
foreach($arr as $c => $v)
{
$arr[$c] = trim($v);
}
但它可以使用array_map变得更整洁:
$arr = array_map('trim' , $arr);
这适用于trim数组$arr的所有元素。另一个类似的函数是array_walk。
11.使用php过滤器验证数据
你是不是使用正则表达式来验证如电子邮件,IP地址等值?是的,每个人都是这样做的。现在,让我们试试一个不同的东西,那就是过滤器。
php过滤器扩展程序将提供简单的方法来有效验证或校验值。
12.强制类型检查
$amount = intval( $_GET['amount'] );
$rate = (int) $_GET['rate'];
这是一种好习惯。
13.使用set_error_handler()将Php错误写入到文件
set_error_handler()可以用来设置自定义的错误处理程序。在文件中编写一些重要的错误用于日志是个好主意。
14.小心处理大型数组
大型的数组或字符串,如果一个变量保存了一些规模非常大的东西,那么要小心处理。常见错误是创建副本,然后耗尽内存,并得到内存溢出的致命错误:
$db_records_in_array_format; //This is a big array holding 1000 rows from a table each having 20 columns , every row is atleast 100 bytes , so total 1000 * 20 * 100 = 2MB$cc = $db_records_in_array_format; //2MB moresome_function($cc); //Another 2MB ?
当导入csv文件或导出表到csv文件时,上面这样的代码很常见。
像上面这样做可能经常会由于内存限制而让脚本崩溃。对于小规模的变量它不会出现问题,但当处理大型数组时一定要对此加以避免。
考虑通过引用传递它们,或者将它们存储在一个类变量中:
$a = get_large_array();
pass_to_function(&$a);
这样一来,相同的变量(并非其副本)将用于该函数。
class A{ function first()
{ $this->a = get_large_array(); $this->pass_to_function();
} function pass_to_function()
{ //process $this->a
}
}
尽快复原它们,这样内存就能被释放,并且脚本的其余部分就能放松。
下面是关于如何通过引用来赋值从而节省内存的一个简单示例。
<?phpini_set('display_errors' , true);
error_reporting(E_ALL);
$a = array();for($i = 0; $i < 100000 ; $i++)
{
$a[$i] = 'A'.$i;
}echo 'Memory usage in MB : '. memory_get_usage() / 1000000 . '
';
$b = $a;
$b[0] = 'B';echo 'Memory usage in MB after 1st : '. memory_get_usage() / 1000000 . '
';
$c = $a;
$c[0] = 'B';echo 'Memory usage in MB after 2st : '. memory_get_usage() / 1000000 . '
';
$d =& $a;
$d[0] = 'B';echo 'Memory usage in MB after 3st (reference) : '. memory_get_usage() / 1000000 . '
';
一个典型php 5.4机器上的输出是:
Memory usage in MB : 18.08208Memory usage in MB after 1st : 27.930944Memory usage in MB after 2st : 37.779808Memory usage in MB after 3st (reference) : 37.779864
因此可以看出,内存被保存在第3份通过引用的副本中。否则,在所有普通副本中内存将被越来越多地使用。
15.在整个脚本中使用单一的数据库连接
请确保你在整个脚本使用单一的数据库连接。从一开始就打开连接,使用至结束,并在结束时关闭它。不要像这样在函数内打开连接:
function add_to_cart(){
$db = new Database();
$db->query("INSERT INTO cart .....");
}function empty_cart(){
$db = new Database();
$db->query("DELETE FROM cart .....");
}
有多个连接也不好,会因为每个连接都需要时间来创建和使用更多的内存,而导致执行减缓。
在特殊情况下。例如数据库连接,可以使用单例模式。
;8. php 过滤器用在过滤用户访问的url上
求大神大牛指导哇!!