爱飞 发表于 2015-2-4 00:22:51

PHP网页编程之(转)用PHP 4.2书写平安的剧本!

虽说不上很好,但至少一般的数据操作,再在原有的SQL语言的基础上,用得还是可以的。平安|剧本   原著:Kevin Yank转自:www.linuxforum.net (祝贺再此守旧)

在很长一段工夫内,PHP作为办事器端剧本言语的最大卖点之一就是会为从表单提交的值主动创立一个全局变量。在PHP 4.1中,PHP的制造者们保举了一个会见提交数据的替换手腕。在PHP 4.2中,他们作废了那种老的做法!正如我将在这篇文章中注释的那样,作出如许的变更的目标是出于平安性的思索。咱们将研讨PHP在处置表单提交及其它数据时的新的做法,并申明为何如许做会进步代码的平安性。

这里有甚么毛病?

看看上面的这段PHP剧本,它用来在输出的用户名及口令阃确时受权会见一个Web页面:
<?php
// 反省用户名及口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
OK,我信任大约对折的读者会不屑的说“太愚昧了-- 我不会犯如许的毛病的!”然而我包管有良多的读者会想“嗨,没甚么成绩啊,我也会这么写的!”固然还会有多数人会对这个成绩感应猜疑(“甚么是PHP?”)。PHP被设计为一个“好的并且轻易的”剧本言语,初学者可以在很短的工夫内学会利用它;它也应当可以防止初学者犯下面的毛病。
再回到方才的成绩,下面的代码中存在的成绩是你可以很轻易地取得会见的权利,而不需求供应准确的用户名和口令。只在要你的阅读器的地址栏的最初添加?authorized=1。由于PHP会主动地为每个提交的值创立一个变量 -- 不管是来主动一个提交的表单、URL查询字符串仍是一个cookie -- 这会将$authorized设置为1,如许一个未受权的用户也能够冲破平安限制。
那末,怎样复杂地处理这个成绩呢?只需在法式的开首将$authorized默许设置为false。这个成绩就不存在了!$authorized是一个完整在法式代码中创立的变量;然而为何开辟者得为每个歹意的用户提交的变量忧虑呢?

PHP 4.2作了甚么改动?

在PHP 4.2中,新装置的PHP中的register_globals选项默许为封闭,因而EGPCS值(EGPCS是Environment、Get、Post、Cookies、Server的缩写 -- 这是PHP中内部变量来历的全体局限)不会被作为全局变量来创立。固然,这个选项还可以经由过程手工来开启,然而PHP的开辟者保举你将其封闭。要贯彻他们的意图,你需求利用其它的办法来获得这些值。
从PHP 4.1入手下手,EGPCS值就能够从一组指定的数组中取得:
$_ENV -- 包括体系情况变量
$_GET -- 包括查询字符串中的变量,和提交办法为GET的表单中的变量
$_POST -- 包括提交体例为POST的表单中的变量
$_COOKIE -- 包括一切cookie变量
$_SERVER -- 包括办事器变量,例如HTTP_USER_AGENT
$_REQUEST -- 包括$_GET、$_POST和$_COOKIE的全体内容
$_SESSION -- 包括一切已注册的session变量
在PHP 4.1之前,当开辟者封闭register_globals选项(这也被思索为进步PHP功能的一种办法)后,必需利用诸如$HTTP_GET_VARS如许的使人厌恶的名字来获得这些变量。这些新的变量名不单单短,并且它们还有其他长处。
起首,让咱们在PHP 4.2中(也就是说封闭register_globals 选项)重写下面提到的代码:
<?php
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];

// 反省用户名和口令
if ($username == 'kevin' and $password == 'secret')
$authorized = true;
?>
<?php if (!$authorized): ?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
正如你看到的,我所需求做的只是在代码的入手下手增添上面两行:
$username = $_REQUEST['username'];
$password = $_REQUEST['password'];
由于咱们但愿用户名和暗码是由用户提交的,所以咱们从$_REQUEST数组中获得这些值。利用这个数组使得用户可以自在选择传递体例:经由过程URL查询字符串(例如答应用户创立书签时主动输出他们的证书)、经由过程一个提交的表单或是经由过程一个cookie。假如你想要限制只能经由过程表单提交证书(更准确地说,是经由过程HTTP POST恳求),你可使用$_POST数组:
$username = $_POST['username'];
$password = $_POST['password'];
除“引入”这两个变量之外,法式代码没有任何改动。复杂地封闭register_globals选项促使开辟者更进一步懂得哪些数据是来自内部的(不成信赖的)资本。
请注重这里还有一个小成绩:PHP中默许的error_reporting设置依然是E_ALL & ~E_NOTICE,因而假如“username”和“password”这两个值没有被提交,试图从$_REQUEST数组或$_POST数组中取得这两个值其实不会招致任何毛病信息。如晨不你的PHP法式需求严厉的毛病反省,你还需求增添一些代码以起首反省这些变量。

然而这是否是意味着更多的输出?

是的,在象下面如许的复杂法式中,利用PHP 4.2经常会增添输出量。然而,仍是看看光亮的一面吧 -- 你的法式毕竟是更平安了!
不外仔细的说,PHP的设计者并没有完整无视你的疾苦。在这些新数组中有一个特别的其它所PHP变量都不具有的特点,它们是完整的全局变量。这对你有甚么匡助呢?让咱们先对咱们的示例停止一下扩大。
为了使得站点中的多个页面可使用用户名/口令论证,咱们将咱们用户认证法式写到一个include文件(protectme.php)中:
<?php /* protectme.php */
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];
// 反省用户名和口令
if ($username != $authuser or $password != $authpass):
?>
<!-- 未受权的用户将在这里赐与提醒 -->
<p>Please enter your username and password:</p>
<form action="<?=$PHP_SELF?>" method="POST">
<p>Username: <input type="text" name="username" /><br />
Password: <input type="password" name="password" /><br />
<input type="submit" /></p>
</form>
<?php
exit();
endif;
}
?>
如今,咱们方才的页面看上去将是如许的:
<?php
require('protectme.php');
authorize_user('kevin','secret');
?>
<!-- 有平安请求的HTML内容 -->
很复杂,很明晰了然,对不合错误?如今是考验你的目力眼光和经历的时分了 -- 在authorize_user 函数中少了甚么?
在函数中没有声名$_POST是一个全局变量!在php 4.0中,当register_globals开启时,你需求增添一行代码以在函数中获得$username和$password变量:
function authorize_user($authuser, $authpass)
{
global $username, $password;
...
在PHP中,和其它具有相似语法的言语分歧,函数外的变量在函数中不克不及主动取得,你需求象下面所申明的那样增添一行以指定其来自global局限。
在PHP 4.0中,当封闭register_globals以供应平安性时,你可使用$HTTP_POST_VARS数组以取得你的表单提交的值,然而你仍是需求从全局局限导入这个数组:
function authorize_user($authuser, $authpass)
{
global $HTTP_POST_VARS;
$username = $HTTP_POST_VARS['username'];
$password = $HTTP_POST_VARS['password'];
然而在PHP 4.1及今后的版本中,特别的$_POST变量(和下面提到的其它变量)可以在一切局限内利用。这就是不需求在函数中声名$_POST变量是一个全局变量的缘由:
function authorize_user($authuser, $authpass)
{
$username = $_POST['username'];
$password = $_POST['password'];

这对session有甚么影响?

特别的$_SESSION数组的引入实践上有助于简化session代码。你不需求将session变量声名为全局变量,然后再去寄望哪些变量被注册了,你如今可以复杂地从$_SESSION['varname']中援用你一切的session变量。
如今让咱们来看看另外一个用户认证的例子。这一次,咱们利用sessions以标记一个在你的网站持续勾留的用户已经由了用户认证。起首,咱们来看看PHP 4.0版本(开启register_globals):
<?php
session_start();
if ($username == 'kevin' and $password == 'secret')
{
$authorized = true;
session_register('authorized');
}
?>
<?php if (!$authorized): ?>
<!-- 显示HTML表单以提醒用户登录 -->
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
和刚入手下手的法式一样,这个法式也存在平安破绽,在URL的最初加上?authorized=1可以绕过平安办法直接会见页面内容。开辟者可以将$authorized视为一个session变量而无视了可以很轻易地经由过程用户输出设置一样的变量。
当咱们增添了咱们的特别的数组(PHP 4.1)并封闭register_globals(PHP 4.2)后,咱们的法式将是如许的:
<?php
session_start();
if ($username == 'kevin' and $password == 'secret')
$_SESSION['authorized'] = true;
?>
<?php if (!$_SESSION['authorized']): ?>
<!-- 显示HTML表单以提醒用户登录 -->
<?php else: ?>
<!-- 有平安请求的HTML内容 -->
<?php endif; ?>
是否是加倍复杂了?你不再需求再将通俗的变量注册为一个session变量,你只需求直接设置session变量(在$_SESSION数组中),然后用一样的办法利用它。法式变得更短了,并且关于甚么变量是session变量也不会引发凌乱!

总结

在这篇文章中,我注释了PHP剧本言语作出改动的深层缘由。在PHP 4.1中,添加了一组特别数据以会见内部数据。这些数组可以在任何局限内挪用,这使得内部数据的会见更便利。在PHP 4.2中,register_globals被默许封闭以勉励利用这些数组以免无经历的开辟者编写出不平安的PHP代码。


--------------------
我信任对人人会有匡助的~终于理解了数据库的概念,而且让你兴奋不已的是你终于可以通过PHP来连接数据库了,这期间你是怎么学会的,我们不去考证了,但是事实证明,你已经可以了。

乐观 发表于 2015-2-4 12:49:28

要进行开发,搭建环境是首先需要做的事,windows下面我习惯把环境那个安装在C盘下面,因为我配的环境经常出现诡异事件,什么事都没做环境有的时候就不能用啦。

柔情似水 发表于 2015-2-6 18:40:56

不禁又想起那些说php是草根语言的人,为什么认得差距这么大呢。

深爱那片海 发表于 2015-2-12 22:39:35

写的比较杂,因为我也是个新手,不当至于大家多多指正。

愤怒的大鸟 发表于 2015-2-17 07:42:56

找到的的资料很多都是在论坛里的,需要注册,所以我一般没到一个论坛都注册一个id,所有的id都注册成一样的,这样下次再进来的时候就不用重复注册啦。当然有些论坛的某些资料是需要的付费的。

莫相离 发表于 2015-2-21 20:23:48

有时候汉字的空格也能导致页面出错,所以在写代码的时候,要输入空格最好用引文模式。

活着的死人 发表于 2015-2-26 09:11:33

刚开始安装php的时候,我图了个省事,把php的扩展全都打开啦(就是把php.ini 那一片 extension 前面的冒号全去掉啦),这样自然有好处,以后不用再需要什么功能再来打开。

因胸联盟 发表于 2015-3-8 13:04:04

写的比较杂,因为我也是个新手,不当至于大家多多指正。

飘飘悠悠 发表于 2015-3-13 06:32:23

我要在声明一下:我是个菜鸟!!我对php这门优秀的语言也是知之甚少。但是我要在这里说一下php在网站开发中最常用的几个功能:

谁可相欹 发表于 2015-3-19 17:06:26

我学习了一段时间后,我发现效果并不好(估计是我自身的问题)。因为一个人的精力总是有限的,同时学习这么多,会导致每个的学习时间都得不到保证。

第二个灵魂 发表于 2015-3-28 22:07:30

在学习的过程中不能怕麻烦,不能有懒惰的思想。学习php首先应该搭建一个lamp环境或者是wamp环境。这是学习php开发的根本。虽然网络上有很多集成的环境,安装很方便,使用起来也很稳定、

变相怪杰 发表于 2015-4-1 08:45:53

说点我烦的低级错误吧,曾经有次插入mysql的时间 弄了300年结果老报错,其实mysql的时间是有限制的,大概是到203X年具体的记不清啦,囧。

只想知道 发表于 2015-4-1 12:15:38

这些都是最基本最常用功能,我们这些菜鸟在系统学习后,可以先对这些功能深入研究。

老尸 发表于 2015-4-2 07:47:32

你很难利用原理去编写自己的代码。对于php来说,系统的学习我认为还是很重要的,当你有一定理解后,你可你针对某种效果研究,我想那时你不会只是复制代码的水平了。

不帅 发表于 2015-4-4 03:28:38

当留言板完成的时候,下步可以把做1个单人的blog程序,做为目标,

兰色精灵 发表于 2015-4-5 13:47:51

我还是强烈建议自己搭建php环境。因为在搭建的过程中你会遇到一些问题,通过搜索或是看php手册解决问题后,你会更加深刻的理解它们的工作原理,了解到php配置文件中的一些选项设置。

爱飞 发表于 2015-4-14 00:07:22

说点我烦的低级错误吧,曾经有次插入mysql的时间 弄了300年结果老报错,其实mysql的时间是有限制的,大概是到203X年具体的记不清啦,囧。

再现理想 发表于 2015-4-21 03:35:29

其实没啥难的,多练习,练习写程序,真正的实践比看100遍都有用。不过要熟悉引擎

冷月葬花魂 发表于 2015-4-22 12:53:15

建议加几个专业的phper的群,当然啦需要说话的人多,一处一点问题能有人回答你的,当然啦要让人回答你的问题,平时就得躲在里面聊天,大家混熟啦,愿意回答你问题的人自然就多啦。
页: [1]
查看完整版本: PHP网页编程之(转)用PHP 4.2书写平安的剧本!