PHP 教學

會話注入 一個與會話暴露類似的問題是會話注入。此類攻擊是基於你的WEB伺服器除了對會話儲存目錄有讀取許可權外，還有寫入許可權。因此，存在著編寫一段允許其他使用者添加，編輯或刪除會話的指令碼的可能。下例顯示了一個允許使用者方便地編輯已存在的會話資料的HTML表單： <?php session_start(); ?> <form action="inject.php" method="POST"> <?php

檔案系統瀏覽 除了能在共用伺服器上讀取任意檔案之外，攻擊者還能建立一個可以瀏覽檔案系統的指令碼。由於你的大多數敏感檔案不會儲存在網站主目錄下，此類指令碼一般用於找到你的源檔案的所在位置。請看下例： <pre> <?php if (isset($_GET['dir'])) { ls($_GET['dir']); } elseif (isset($_GET['file'])) { cat($_GET[&#

安全模式 PHP的safe_mode選項的目的是為瞭解決本章所述的某些問題。但是，在PHP層面上去解決這類問題從架構上來看是不正確的，正如PHP手冊所述(http://www.php.cn/)。 當安全模式生效時，PHP會對正在執行的指令碼所讀取（或所操作）檔案的屬主進行檢查，以保證與該指令碼的屬主是相同的。雖然這樣確實可以防範本章中的很多例子，但它不會影響其它語言編寫的程式。例如，使用Bash寫的CGI指令碼： #!/bin/bash echo "Content-Type:

配置選項 儘管本書的焦點是在於應用的安全性，但有一些配置選項是任何關心安全的開發人員必需熟悉的。PHP的配置會影響你所寫代碼的行為以及你使用的技巧，必要時你需要稍稍負責一下應用程式以外的東西。 PHP的配置主要由一個名為php.ini的檔案所指定。該檔案包含很多配置選項，每一項都會對PHP產生非常特定的影響。如果該檔案不存在，或者該檔案中的某選項不存在，則會使用預設值。 如果你不知道php.ini檔案所在的位置，你可以使用phpinfo()來確定PHP中對該檔案路徑的定義： <?php

函數 在我寫作本書的時候，http://www.php.cn/列出了共3917個函數，其中包括一些類似函數的文法結構，在此我不準備把它們從函數中區分開來，而是把它作為函數看待。 由於函數數量很大，一一說明它們的正確及安全用法是不太可能的。在此我選出了我認為最需要注意的函數。選擇的標準包括使用的頻繁度、使用時的危險（安全）度及我本人的經驗。 對於每一個列出的函數，我都會提供推薦的使用方法。在提出這些方法時，我會把安全作為重點考慮。請在實際使用時根據你的需求進行相應調整。

加密 作為一本相關安全方面的書，通常加密是需要提及的話題。我之所以在本書的主體部分忽略了加密問題，是因為它的用途是狹窄的，而開發人員應從大處著眼來考慮安全問題。過分依賴於加密常常會混淆問題的根源。儘管加密本身是有效，但是進行加密並不會神奇地提高一個應用的安全性。 一個PHP開發人員應主要熟悉以下的加密方式： l 對稱式加密l 非對稱式加密（公開金鑰）l Hash函數（資訊摘要）l 資訊驗證碼

關於類大家都有一定的認識這裡只介紹在php中類值得注意的地方----類的建立----php使用關鍵字class建立一個類，並且使用一對大括弧如：class name{ public $n=""; private $u=""; public function name() { $n="233"; $u="23333"; } public function rename($newn){

<?php//產生隨機數 和 時間函數//echo rand();//echo "<br>";//echo rand(0,10);//echo time();//時間戳記//2017-02-10 08:46:12date_default_timezone_set("Asia/Shanghai");//echo date("Y-m-d h:i:s");//預設轉換目前時間//echo date("Y-m-d

數組指標的操作：移動數組指標的操作：Next() 向下 同時會獲得當前元素的值。Prev() 向上同時會獲得當前元素的值。End() 移動到最後一個元素單元 獲得最後一個元素的值Reset() 移動到第一個單元 獲得第一個元素的值。如果移動不成功，返回false。參數都為需要操作的數組，並且是引用傳遞。 獲得指標指向的元素的資訊：Key();//獲得當前數組指標指向的元素下標Current();//獲得當前數組指標指向的元素只擷取資料 不移動指標

把複雜的資料類型壓縮到一個字串中serialize() 把變數和它們的值編碼成文本形式unserialize() 恢複原先變數eg:$stooges = array('Moe','Larry','Curly');$new = serialize($stooges);print_r($new);echo "<br />";print_r(unserialize($new));結果：a:3:{i:0;s:3:"

重寫Overriding是父類與子類之間多態性的一種表現，重載Overloading是一個類中多態性的一種表現。Overloaded的方法是可以改變傳回值的類型。也就是說，重載的傳回值類型可以相同也可以不同。重載(Overloading)a、方法重載是讓類以統一的方式處理不同類型資料的一種手段。多個同名函數同時存在，具有不同的參數個數/類型。重載Overloading是一個類中多態性的一種表現。b、Java的方法重載，就是在類中可以建立多個方法，它們具有相同的名字，但具有不同的參數和不同的定義。

靜態成員：靜態類中的成員加入static修飾符,即是靜態成員.可以直接使用類名+靜態成員名訪問此靜態成員,因為靜態成員存在於記憶體,非靜態成員需要執行個體化才會分配記憶體,所以靜態成員不能訪問非靜態成員..因為靜態成員存在於記憶體,所以非靜態成員可以直接存取類中靜態成員.1、靜態全域變數 定義：在全域變數前，加上關鍵字 static 該變數就被定義成為了一個靜態全域變數。 特點： 　　A、該變數在全域資料區分配記憶體。 　　B、初始化：如果不顯式初始化，那麼將被隱式初始化為0(自動變數是隨機的,

1、什麼是抽象方法？ 我們在類裡面定義的沒有方法提的方法就是抽象方法。所謂的沒有方法體指的是，在聲明的時候沒有大括弧以及其中的內容，而是直接在聲明時在方法名後加上分號結束，另外在聲明抽象方法時方法還要加一個關鍵字"abstract"來修飾。例如： abstract function fun1(); abstract function fun2(); 2、什麼是抽象類別？

問題想知道一個字串是否包含一個特定的子串。例如，想查看一個email地址是否包含一個 @ 。解決if(strpos($_POST['email'],'@') === false) { echo 'There was no @ in the e-mail address!';}討論strpos()的傳回值是子串在字串中出現的第一個位置如果字串中根本沒有子串， strpos() 將返回 false如果子串位於這個字串的起始位置，strpos()

　　閑來無事，研究了與java、c#完全不同的領域php，php即（外文名:PHP: Hypertext Preprocessor，中文名：“超文本前置處理器”），對於學習php的初學者，不得不掌握apache的部署，apache的部署，後面會講到，當然對php、apache、mysql現在也有比較多一鍵式部署工具，例如WAMP（windows、apache、mysql、php）；資源網上比較多，這裡就不講相關的資源連結發出來了，為避免出現擷取積分的嫌疑；言歸正傳，下面就講講php的基礎知識吧。

單例模式概念單例模式是指整個應用中類只有一個對象執行個體的設計模式。單例模式的特點　　一個類在整個應用中只有一個執行個體　　類必須自行建立這個執行個體　　必須自行向整個系統提供這個執行個體php中使用單例模式的原因我用php大部分操作都是和各種資料庫打交道，包括mysql,redis,memcache等各種關係型和非關係型資料庫，所以一個應用中會 存在大量串連資料庫的操作，如果不用單例模式，那每次都要new操作，但是每次new都會消耗大量的記憶體資源和系統資源，而且每次開啟和關閉資料庫連接都

在thinkphp架構下我們經常會用到狀態值的判斷：但是這樣寫會引起語法錯誤。<p> <if condition="{$res.status} eq '0'">測試</if></p>2.正確寫法：因為在thinkphp在不能使用“.”文法<if condition="$res['status'] eq

本文為大家介紹常用的三種php設計模式：單例模式、原廠模式、觀察者模式，有需要的朋友可以參考下。一、首先來看，單例模式所謂單例模式，就是確保某個類只有一個執行個體，而且自行執行個體化並向整個系統提供這個執行個體，即在應用程式中只會有這個類的一個執行個體存在。通常單例模式用在僅允許資料庫訪問對象的執行個體中，從而防止開啟多個資料庫連接，單例模式是一種常見的設計模式，在電腦系統中，線程池、緩衝、日誌對象、對話方塊、印表機、資料庫操作、顯卡的驅動程式常被設計成單例。一個單例類應包括以下幾點：和普通類不

<?php/*** 檔案上傳類* @author lijiamin* @time 2017-02-17* @email 1195989301@qq.com*/class Upload{private $allowExt = array('gif','jpg','jpeg','bmp','png','swf');//限制檔案上傳的尾碼名private $maxSize =

bool in_array ( mixed $needle , array $haystack [, bool $strict ] ) 傳回值為直或假 var_dump(in_array(0, array('s' )); 這句話的結果是bool(true)。 因為in_array會將0 和's' 進行比較，0是number類型，'s'是string類型，根據 manual 中“comparison