PHP

廢話不多說，直接上代碼：  if(move_uploaded_file($arrFile['tmp_name'], $strPicName)){ switch ($FileExt)    {     case ".gif": //gif     $im = imagecreatefromgif($strPicName);     break;     case ".png": //png         $im = imagecreatefrompng($strPicName);

花生殼，是一款動態網域名稱解析的軟體，可以利用他為自己架設一台本機伺服器，可以作為自己的版本庫或在公司遠端控制家裡的電腦，總之還是比較有用的一款東東。花生殼廢話不多，第一步當然是安裝花生殼，自己去下載安裝吧，這個就不多說了，記得註冊個免費的次層網域，或者可以把你自己的網域名稱綁定過來，安裝完成後，顯示如下畫面：很明顯，我們申請的網域名稱是：zhangyue0503.gicp.net，目前電腦的IP地址是：123.114.214.17，這樣，花生殼就算安裝完成。伺服器配置接下來配置PHP，安裝一個

7.4. 永久登入  永久登入指的是在瀏覽器會話間進行持續驗證的機制。換句話說，今天已登入的使用者明天依然是處於登入狀態，即使在多次訪問之間的使用者會話到期的情況下也是這樣。  永久登入的存在降低了你的驗證機制的安全性，但它增加了可用性。不是在使用者每次訪問時麻煩使用者進行身分識別驗證，而是提供了記住登入的選擇。 圖7-2. 攻擊者通過重播使用者的cookie進行未授權訪問  

8.1. 源碼暴露  你的WEB伺服器必須要能夠讀取你的源確並執行它，這就意味著任意人所寫的代碼被伺服器運行時，它同樣可以讀取你的源碼。在一個共用主機上，最大的風險是由於WEB伺服器是共用的，因此其它開發人員所寫的PHP代碼可以讀取任意檔案。   <?php   header('Content-Type: text/plain');  readfile($_GET['file']);   ?>  

文章目錄 文法文法 簡介：這是【php數組函數序列】之shuffle()和array_rand()的詳細頁面，介紹了和php,有關的知識、技巧、經驗，和一些php源碼等。 class='pingjiaF' frameborder='0' src='http://biancheng.dnbcw.info/pingjia.php?id=361701' scrolling='no'>shuffle()定義和用法shuffle()

原文地址：7 種流行 PHP IDE 的比較 發掘整合式開發環境（IDE）的所有用途，並比較 7 種流行的 IDE 的成本和優勢。編寫關於 PHP 的系列文章讓我更加深刻地瞭解了 PHP 開發人員的世界。我和許多 PHP 程式員交談過，最令我驚奇的是只有很少的人使用 IDE。大多數程式員使用文字編輯器，比如 Microsoft Windows 上的記事本、Emacs 或者 Vim。我提到的這些文字編輯器（以及我沒提到）都是很不錯的 ——

原文地址：http://www.toplee.com/blog/265.html熟悉Java的淫都知道FrameWork的好處，對我們來說，最重要的一點就是能夠大大提高開發效率，PHP作為web應用開發語言以來，已經受到全球範圍內的廣泛使用，各種資源也是相當豐富，我這幾年也一直使用PHP來作為主要的web項目開發語言，期間逐漸的接觸到了PHP的幾個FrameWork，我目前知道的不錯的有這麼幾個，其中大部分我都還只是瞭解皮毛，有空了一定要好好研究研究。 Zend FrameWork

最近PHP又出了新版本5.3.1，趁著有空也更新到自己的機器上。版本選擇PHP 5.3 For Windows有4個版本:VC9 x86 Non Thread Safe VC9 x86 Thread Safe VC6 x86 Non Thread Safe VC6 x86 Thread Safe 官網已經註明，VC9的版本是給IIS用的，VC6的版本是給Apache用的。之所以要這樣區分，是因為VC9版本是用Visual Studio

附錄B. 函數  在我寫作本書的時候，http://php.net/quickref.php列出了共3917個函數，其中包括一些類似函數的文法結構，在此我不準備把它們從函數中區分開來，而是把它作為函數看待。  由於函數數量很大，一一說明它們的正確及安全用法是不太可能的。在此我選出了我認為最需要注意的函數。選擇的標準包括使用的頻繁度、使用時的危險（安全）度及我本人的經驗。 

附錄C. 加密  作為一本相關安全方面的書，通常加密是需要提及的話題。我之所以在本書的主體部分忽略了加密問題，是因為它的用途是狹窄的，而開發人員應從大處著眼來考慮安全問題。過分依賴於加密常常會混淆問題的根源。儘管加密本身是有效，但是進行加密並不會神奇地提高一個應用的安全性。  一個PHP開發人員應主要熟悉以下的加密方式： l        對稱式加密l        非對稱式加密（公開金鑰）l        Hash函數（資訊摘要）l        資訊驗證碼  

儘管本書的焦點是在於應用的安全性，但有一些配置選項是任何關心安全的開發人員必需熟悉的。PHP的配置會影響你所寫代碼的行為以及你使用的技巧，必要時你需要稍稍負責一下應用程式以外的東西。  PHP的配置主要由一個名為php.ini的檔案所指定。該檔案包含很多配置選項，每一項都會對PHP產生非常特定的影響。如果該檔案不存在，或者該檔案中的某選項不存在，則會使用預設值。  如果你不知道php.ini檔案所在的位置，你可以使用phpinfo( )來確定PHP中對該檔案路徑的定義：   <?php  

1.3. 方法      就像上一節中的原則一樣，開發安全應用時，還有很多方法可以使用。下面提到的所有方法同樣是我認為比較重要的。      某些方法是抽象的，但每一個都有執行個體說明如何應用及其目的。1.3.1. 平衡風險與可用性      使用者操作的友好性與安全措施是一對矛盾，在提高安全性的同時，通常會降低可用性。在你為不合邏輯的使用者寫代碼時，必須要考慮到符合邏輯的正常使用者。要達到適當的平衡的確很難，但是你必須去做好它，沒有人能替代你，因為這是你的軟體。     

製造一個欺騙表單幾乎與假造一個URL一樣簡單。畢竟，表單的提交只是瀏覽器發出的一個HTTP請求而已。請求的部分格式取決於表單，某些請求中的資料來自於使用者。  大多數表單用一個相對URL地址來指定action屬性：  <form action="process.php" method="POST">  

一：php功能：        PHP有許多適合於WEB開發的功能。一些在其它語言中很難實現的普通工作在PHP中變得易如反掌，這有好處也有壞處。有一個功能比其它功能來更引人注目，這個功能就是register_globals。1.1.1. 全域變數註冊     

2.1. 表單與資料       在典型的PHP應用開發中，大多數的邏輯涉及資料處理任務，例如確認使用者是否成功登入，在購物車中加入商品及處理信用卡交易。       資料可能有無數的來源，做為一個有安全意識的開發人員，你需要簡單可靠地區分兩類資料： l        已過濾資料l        被汙染資料        所有你自己設定的資料可信資料，可以認為是已過濾資料。一個你自己設定的資料是任何的寫入程式碼資料，例如下面的email地址資料：   $email =

2.4. 跨站指令碼攻擊  跨站指令碼攻擊是眾所周知的攻擊方式之一。所有平台上的Web應用都深受其擾，PHP應用也不例外。  所有有輸入的應用都面臨著風險。Webmail，論壇，留言本，甚至是Blog。事實上，大多數Web應用提供輸入是出於更吸引人氣的目的，但同時這也會把自己置於危險之中。如果輸入沒有正確地進行過濾和轉義，跨站指令碼漏洞就產生了。  以一個允許在每個頁面上錄入評論的應用為例，它使用了下面的表單協助使用者進行提交：CODE:   <form

本章主要討論會話和有狀態的Web應用的內在風險。你會首先學習狀態、cookies、與會話；然後我會討論關於cookie盜竊、會話資料暴露、會話固定、及工作階段劫持的問題及防範它們的方法。  正如大家知道的，HTTP是一種無狀態的協議。這說明了兩個HTTP請求之間缺乏聯絡。由於協議中未提供任何讓用戶端標識自己的方法，因此伺服器也就無法區分用戶端。 

1.2.原則     你可以列出一大堆開發安全應用的原則，但在本處我選取了我認為對PHP開發人員最重要的幾個原則。     這些原則有意的寫得抽象和理論化。這樣做的目的是協助你從大處著眼，不拘泥於細節。你需要把它們看成是你行動的指南。1.2.1. 深度防範       深度防範原則是安全專業人員人人皆知的原則，它說明了冗餘安全措施的價值，這是被曆史所證明的。     

2.5. 跨站請求偽造  跨站請求偽造(CSRF)是一種允許攻擊者通過受害者發送任意HTTP請求的一類攻擊方法。此處所指的受害者是一個不知情的同謀，所有的偽造請求都由他發起，而不是攻擊者。這樣，很你就很難確定哪些請求是屬於跨站請求偽造攻擊。事實上，如果沒有對跨站請求偽造攻擊進行特意防範的話，你的應用很有可能是有漏洞的。   請看下面一個簡單的應用，它允許使用者購買鋼筆或鉛筆。介面上包含下面的表單：CODE:   <form action="buy.php"

2.3. 檔案上傳攻擊  有時在除了標準的表單資料外，你還需要讓使用者進行檔案上傳。由於檔案在表單中傳送時與其它的表單資料不同，你必須指定一個特別的編碼方式multipart/form-data：CODE: <form action="upload.php" method="POST" enctype="multipart/form-data">一個同時有普通表單資料和檔案的表單是一個特殊的格式，而指定編碼方式可以使瀏覽器能按該可格式的要求去處理。