标签目录:php

2014
11-07

PHP安全之隐藏PHP脚本扩展名

一般而言,通过隐藏的手段提高安全性被认为是作用不大的做法。但某些情况下,尽可能的多增加一份安全性都是值得的。一些简单的方法可以帮助隐藏PHP,这样做可以提高攻击者发现系统弱点的难度。在 php.ini 文件里设置expose_php=off,可以减少他们能获得的有用信息。另一个策略就是让web服务器用PHP解析不同扩展名。无论是通过 .htaccess 文件还是Apache的配置文件,都可以设置能误导攻击者的文件扩展名:Exampl... 继续阅读 >
2014
11-07

PHP特点之用 PHP 进行 HTTP 认证

PHP特点之用 PHP 进行 HTTP 认证 PHP的 HTTP 认证机制仅在PHP以Apache模块方式运行时才有效,因此该功能不适用于CGI版本。在Apache模块的PHP脚本中,可以用 header() 函数来向客户端浏览器发送“AuthenticationRequired”信息,使其弹出一个用户名/密码输入窗口。当用户输入用户名和密码后,包含有URL的PHP脚本将会加上预定义变量PHP_AUTH_USER,PHP_AUTH_PW 和 AUTH_TYPE 被再次调用,这三个变量分别被设定... 继续阅读 >
2014
11-07

PHP特点之会话机制1——Cookie的使用

PHP透明地支持 HTTP cookie。cookie是一种在远程浏览器端储存数据并以此来跟踪和识别用户的机制。可以用 setcookie() 或 setrawcookie() 函数来设置cookie。cookie是 HTTP 标头的一部分,因此 setcookie() 函数必须在其它信息被输出到浏览器前调用,这和对 header() 函数的限制类似。可以使用输出缓冲函数来延迟脚本的输出,直到按需要设置好了所有的cookie或... 继续阅读 >
2014
11-07

PHP特点之会话机制2——Session及其使用

会话机制(Session)在PHP中用于保存并发访问中的一些数据。这使可以帮助创建更为人性化的程序,增加站点的吸引力。一个访问者访问你的web网站将被分配一个唯一的id,就是所谓的会话id.这个id可以存储在用户端的一个cookie中,也可以通过URL进行传递.会话支持允许你将请求中的数据保存在超全局数组$_SESSION中.当一个访问者访问你的网站,PHP将自动检查(如果 session.auto_start被设置为1)或者在你要求下... 继续阅读 >
2014
11-07

PHP特点之文件上传1——使用POST方法上传单文件和多文件

本特性可以使用户上传文本和二进制文件。用PHP的认证和文件操作函数,可以完全控制允许哪些人上传以及文件上传后怎样处理。PHP能够接受任何来自符合RFC-1867标准的浏览器(包括 NetscapeNavigator3 及更高版本,打了补丁的 MicrosoftInternetExplorer3 或者更高版本)上传的文件。Note: 相关的设置请参阅 php.ini 的 file_uploads,upload_max_filesize,upload_tmp_dirpost_max_size 以及 max_input_time... 继续阅读 >
2014
11-07

PHP特点之文件上传2——错误信息说明

从PHP4.2.0开始,PHP将随文件信息数组一起返回一个对应的错误代码。该代码可以在文件上传时生成的文件数组中的 error 字段中被找到,也就是 $_FILES['userfile']['error']。UPLOAD_ERR_OK其值为0,没有错误发生,文件上传成功。UPLOAD_ERR_INI_SIZE其值为1,上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值。UPLOAD_ERR_FORM_SIZE其值为2,上传文件的大小超过了HTML表单中 MAX_FILE_SIZE ... 继续阅读 >
2014
11-07

PHP特点之文件上传3——常见缺陷

对 MAX_FILE_SIZE 设置的值,不能大于ini设置中 upload_max_filesize 选项设置的值。其默认值为2M字节。如果内存限制设置被激活,可能需要将 memory_limit 设置的更大些,请确认 memory_limit 的设置足够的大。如果 max_execution_time 设置的值太小,脚本运行的时间可能会超过该设置。因此,也请保证 max_execution_time 足够的大。Note: max_execution_time 仅仅只影响脚本本身运行的时间。任何其它花费在... 继续阅读 >
2014
11-07

PHP特点之文件上传4——多文件上传

可以对 input 域使用不同的 name 来上传多个文件。PHP支持同时上传多个文件并将它们的信息自动以数组的形式组织。要完成这项功能,需要在HTML表单中对文件上传域使用和多选框与复选框相同的数组式提交语法。Note:对多文件上传的支持是在PHP3.0.10版本添加的。Example#1上传多个文件<formaction="file-upload.php"method="post"enctype="multipart/form-data">Sendthesefiles:<br/><inputname="user... 继续阅读 >
2014
11-07

PHP特点之使用远程HTTP文件及FTP文件操作

PHP特点之使用远程HTTP文件及FTP文件操作 只要在 php.ini 文件中激活了 allow_url_fopen 选项,就可以在大多数需要用文件名作为参数的函数中使用 HTTP 和 FTP 的URL来代替文件名。同时,也可以在 include、include_once、 require 及 require_once 语句中使用URL。PHP所支持协议的更多信息参见支持的协议和封装协议。注意:要在PHP4.0.3及其更早的版本中使用URL封装协议,需要在编译时... 继续阅读 >
2014
11-07

PHP特点之三种连接状态的处理——normal、aborted、timeout

在PHP内部,系统维护着连接状态,其状态有三种可能的情况:0-NORMAL(正常)1-ABORTED(异常退出)2-TIMEOUT(超时)当PHP脚本正常地运行NORMAL状态时,连接为有效。当远程客户端中断连接时,ABORTED状态的标记将会被打开。远程客户端连接的中断通常是由用户点击STOP按钮导致的。当连接时间超过PHP的时限时,TIMEOUT状态的标记将被打开。可以决定脚本是否需要在客户端中断连接时退出。有时候让脚本完整地... 继续阅读 >
2014
11-07

PHP特点之数据库永久连接

永久的数据库连接是指在脚本结束运行时不关闭的连接。当收到一个永久连接的请求时。PHP将检查是否已经存在一个(前面已经开启的)相同的永久连接。如果存在,将直接使用这个连接;如果不存在,则建立一个新的连接。所谓“相同”的连接是指用相同的用户名和密码到相同主机的连接。对web服务器的工作和分布负载没有完全理解的读者可能会错误地理解永久连接的作用。特别的,永久连接不会在相同的连接上提供建立“用户会话”的能力... 继续阅读 >
2014
11-07

PHP特点之安全模式1——保安措施和安全模式

PHP的安全模式是为了试图解决共享服务器(shared-server)安全问题而设立的。在结构上,试图在PHP层上解决这个问题是不合理的,但修改web服务器层和操作系统层显得非常不现实。因此许多人,特别是ISP,目前使用安全模式。以下是php.ini中关于安全模式的设置:safe_mode   boolean是否启用PHP的安全模式。safe_mode_gid   boolean默认情况下,安全模式在打开文件时会做UID比较检查。如果想将其放宽到GID... 继续阅读 >
2014
11-07

PHP特点之安全模式2——被安全模式限制或屏蔽的函数

安全模式限制函数大全dbmopen:检查被操作的文件或目录是否与被执行的脚本有相同的UID(所有者)。dbase_open:检查被操作的文件或目录是否与被执行的脚本有相同的UID(所有者)。filepro:检查被操作的文件或目录是否与被执行的脚本有相同的UID(所有者)。filepro_rowcount:检查被操作的文件或目录是否与被执行的脚本有相同的UID(所有者)。filepro_retrieve:检查被操作的文件或目录是否与被执行的脚本有相同的UID... 继续阅读 >
2014
11-07

PHP特点之命令行模式

从版本4.3.0开始,PHP提供了一种新类型的 CLI SAPI(ServerApplicationProgrammingInterface,服务端应用编程端口)支持,名为 CLI,意为 CommandLineInterface,即命令行接口。顾名思义,该 CLI SAPI 模块主要用作PHP的开发外壳应用。CLISAPI 和其它 CLI SAPI 模块相比有很多的不同之处,我们将在本章中详细阐述。值得一提的是,CLI 和 CGI 是不同的SAPI,尽管它们之间有很多共同的行为。CLISAPI 最... 继续阅读 >
2014
11-07

PHP特点之垃圾回收机制1——引用计数的基本知识

每个php变量存在一个叫"zval"的变量容器中。一个zval变量容器,除了包含变量的类型和值,还包括两个字节的额外信息。第一个是"is_ref",是个bool值,用来标识这个变量是否是属于引用集合(referenceset)。通过这个字节,php引擎才能把普通变量和引用变量区分开来,由于php允许用户通过使用&来使用自定义引用,zval变量容器中还有一个内部引用计数机制,来优化内存使用。第二个额外字节是"refcount",用以表示指向这个zval变量容器... 继续阅读 >
2014
11-07

PHP特点之垃圾回收机制2——回收周期

PHP特点之垃圾回收机制2——回收周期 传统上,像以前的php用到的引用计数内存机制,无法处理循环的引用内存泄漏。然而5.3.0PHP使用文章» 引用计数系统中的同步周期回收(ConcurrentCycleCollectioninReferenceCountedSystems)中的同步算法,来处理这个内存泄漏问题。对算法的完全说明有点超出这部分内容的范围,将只介绍其中基础部分。首先,我们先要建立一些基本规则,如果一个引用计数增加,它将继续被使用,当然就不再在垃圾中。如果引用计数减少... 继续阅读 >