来源: 互联网  发布时间: 2013-11-30

这可能引起一些问题，有些人可能漫不经心的改变一个全局变量。PHP 中全局变量在函数中使用时必须申明为全局(注意，Global这个关键字在函数中定义才有用)。
1：Global的作用是定义全局变量,但是这个全局变量不是应用于整个网站,而是应用于当前页面,包括include或require的所有文件。

总结:在函数体内定义的global变量,函数体外可以使用,在函数体外定义的global变量不能在函数体内使用,

2：global问题解析：
question：我在 config.inc.php中定义了一些变量（$a），在别的文件中函数外部 include("config.inc.php")，函数内部需要使用这些变量$a，如果没有声明的话，echo $a是打印不出来任何东西的。因此声明global $a，但是有很多函数和很多变量，总不能不断重复的这样声明吧？有什么好的解决办法，请指点。
answer1：先在config.inc.php里定义常量：define(常量名,常量值)
再在其他需要用到的地方require 'config.inc.php'，
然后就能在这个文件里直接使用这个常量了。
answer2：我也有个办法，就是定义数组，如$x[a]，$x，那样就只要声明global $x一个了。
answer3：我试了你的这个方法，不行啊。
answer4：改你的php.ini文件。
3.一些Global和$GLOBALS 数组的例子

例子：使用 global

以上脚本的输出将是“3”。在函数中申明了全局变量 $w3sky 和 $w3sky2，任何变量的所有引用变量都会指向到全局变量。对于一个函数能够申明的全局变量的最大个数，PHP 没有限制。
在全局范围内访问变量的第二个办法，是用特殊的 PHP 自定义 $GLOBALS 数组。前面的例子可以写成：
例子 使用 $GLOBALS 替代 global

在 $GLOBALS 数组中，每一个变量为一个元素，键名对应变量名，值对应变量的内容。$GLOBALS 之所以在全局范围内存在，是因为 $GLOBALS 是一个超全局变量。以下范例显示了超全局变量的用处：
例子 演示超全局变量和作用域的例子

global 也就是说在一个文件里 只要你声明为global $db 那么在声明的下面 你就可以引用这个$db了。
4.原来以为global和$GLOBALS除了写法不一样以为,其他都一样,可是在实际应用中发现,2者的区别还是很大的!
先看下面的例子:

复制代码
执行结果为:
0
5
怎么会这样呢?不应该是2个5吗?怎么会出现1个0和1个5呢?
恩,我们保留以上问题,深入分析$GLOBALS和global的原理!
我们都知道变量其实是相应物理内存在代码中的"代号",假设我们上面声明的3个变量分配的内存如下图表示:
引用php手册的$GLOBALS的解释:
Global 变量：$GLOBALS
注意: $GLOBALS 在 PHP 3.0.0 及以后版本中适用。
由所有已定义全局变量组成的数组。变量名就是该数组的索引。
这是一个“superglobal”，或者可以描述为自动全局变量。
也就是说上面代码中的$var1和$GLOBALS['var1']是指的同一变量，而不是2个不同的变量！
下面来分析global到底做了什么？
我们都知道php中的函数所产生的变量都是函数的私有变量，那么global关键字产生的变量也肯定逃不出这个规则，为什么这么说呢，看下面的代码：

复制代码
执行结果为：
1
为什么会输出1呢？不是已经把$a给unset了吗？unset失灵了？php的bug？
都不是，其实unset起作用了，是把test函数中的$a给unset掉了，可以在函数后面加入
print $a;
复制代码
来测试！也就是说global产生了test函数外部$a的别名变量“$a”,为了和外面的$a区别，我把它成为--test->$a,那么例子1也这么命名的话，可得出下面的图：
而test_globals执行过以后，看变量的变化：
此时，看图，就能理解为什么例子1执行完以后，$var2是0，而$var3是5了！
所以我们得出一个结论，在函数中global和$GLOBALS[]的区别在于：
global在函数产生一个指向函数外部变量的别名变量，而不是真正的函数外部变量，一但改变了别名变量的指向地址，就会发生一些意料不到情况(为什么会打印结果为2呢？其实就是因为$var1的引用指向了$var2的引用地址。导致实质的值没有改变。这时候只是指向$var1的指针指向了$var2的指针，只是指针指向变了一下，但是实质上根本就没有改变$var2的值，因此$var2的值仍旧不会变化)，例如例子1.
$GLOBALS[]确确实实调用是外部的变量，函数内外会始终保持一致！
注：（接着回到上面的例子1，看test_global中的这一代码“$var2 =& $var1;”，上面是一个引用赋值运算，也就是$var2将指向var1所指向的物理内存地址，所以例子1执行过test_global函数以后，变量的变化只在函数的局部产生效应,在函数外部$var2的指向物理内存地址并没有变化,还是它自己.（重点）
接着回到上面的例子1，看test_global中的这一代码“$var2 =& $var1;”，上面是一个引用赋值运算，也就是$var2将指向var1所指向的物理内存地址，所以例子1执行过test_global函数以后，变量的变化由下图可以看出）
这一篇分析的不够透彻，不明白的请看《global和$GLOBALS[]的分析之二》其中举一反三通俗易懂

    

    来源: 互联网  发布时间: 2013-11-30

1.使用MyISAM而不是InnoDB

　　完全错误，反驳理由：

　　首先原文说MyISAM是默认使用的，而实际上到了MySQL 5.5.x，InnoDB已经成为了默认的表引擎。

　　另外，简单的使用InnoDB不是解决所有问题的方法，盲目的使用甚至会使应用性能下降10%乃至40%。

　　最佳方法还是针对具体业务具体处理，例如论坛中版块表，新闻分类表，各种码表等长时间不操作的表，还是要用性能优异的MyISAM引擎。

　　而需要用到事务处理的例如用户、账目、流水等严格要求数据完整性和时序性的，则需要用InnoDB引擎，并且应用也要用好事务处理机制。当然，事务处理必然要带来大量的性能损耗，但是这在简单高并发应用上是必须的。

　　最后，外键约束在公共web互联网应用上一般是不用的，因为他会严重影响性能。数据完整性还是靠程序员或者应用架构本身的健壮来维护。而正规的第三范式只是在企业内部MIS系统和12306这种网站上使用。

　　2.使用PHP的mysql方法

　　不完全错，但要酌情选用：

　　mysqli固然好，但是不是所有的服务器都为PHP编译了mysqli的支持。

　　当你的应用如果是能确定只用自己部署的服务器，而应用也是完全自己开发，则mysqli是最好的选择。

　　但是一旦你的应用有可能部署在虚拟主机或者由其他人部署(例如分布式项目)，还是老老实实使用mysql函数集吧，好好封装一下或者使用成熟框架杜绝sql注入。

　　3.不过滤用户输入

　　这一点不用说了，要么MagicQuote，要么选用成熟框架。sql注入老话题了。

　　4.不使用UTF-8

　　大部分情况下对，但也要认真考虑：

　　要知道，一个UTF-8字符占3个字节，所以比GBK等其他编码的文件大33%。换句话说，相同的网页用UTF-8编码如果是100KB，那么换成GBK编码则只有66KB。所以即便你的PHP确定要用UTF-8，那么前端页面也要根据情况选择需要的编码。但是，如果PHP用UTF-8，前端模版是GBK，再加上模版引擎不强大，那么转码工作够你受的。所以尽可能的选用自己需要的编码，而不是简单的选择UTF-8了事。

　　最后啰嗦一句：UTF-8下：strlen("我")=3，而GBK下：strlen("我")=2

　　5.该用SQL的地方使用PHP

　　同样酌情考虑：

　　例如，有些人习惯在建表时，默认值填写CURRENT_TIMESTAMP，用来达到注册时间、发帖时间的效果。 或者在时间判断的SQL语句中，写类似SELECT x FROM tab1 WHERE regdate 正确做法是：不要使用MySQL的任何时间函数，而是在应用里计算时间。如果是分布式应用，一定要有时间服务器来统一管理时间。

　　而文中说的一些MySQL数学函数 ，也是要慎用。因为在大型应用中，数据库的负担往往是最大的，而复杂的WHERE语句又是造成慢查询的元凶。所以，要把计算尽可能的放在廉价的、不影响全局稳定的应用服务器上，而不是核心数据库上。

　　6.不优化查询

　　这点也不用说了，大型应用上甚至不允许使用各种JOIN，哪怕生写两条查询，查回来在用PHP合并数据。

　　7.使用错误的数据类型

　　INT，TinyINT，VARCHAR，CHAR，TEXT这些字段类型的合理选用无可厚非。

　　而Date、DateTime、TIMESTAMP这三种类型，在大型应用中是绝对不可以使用的，而是要用INT(10) UNSIGNED代替。

　　一个是性能，另外就是应用中尤其是PHP对UNIX_TIMESTAMP时间戳的转化实在太方便了。用Date要输出各种时间格式反而麻烦。

　　8.在SELECT查询中使用*

　　共勉

　　9.索引不足或者过度索引

　　索引是必须的，但是如果索引都解决不了的查询，考虑memcache或者nosql解决方案吧。

　　10.不备份

　　这条是作者凑数么?

　　11.另外：不考虑其他数据库

　　这条相当正确。应用中不仅要针对应用选择其他数据库，甚至还要针对具体的业务类型，在同一套应用中并行使用多种数据库。哪怕不是数据库，而是其他各种缓存、内存存储等解决方案。

    

    来源: 互联网  发布时间: 2013-11-30

一、 引言

　　PHP是一种力量强大但相当容易学习的服务器端脚本语言，即使是经验不多的程序员也能够使用它来创建复杂的动态的web站点。然而，它在实现因特网服务的秘密和安全方面却常常存在许多困难。在本系列文章中，我们将向读者介绍进行web开发所必需的安全背景以及PHP特定的知识和代码-你可以借以保护你自己的web应用程序的安全性和一致性。首先，我们简单地回顾一下服务器安全问题-展示你如何存取一个共享宿主环境下的私人信息，使开发者脱离开生产服务器，维持最新的软件，提供加密的频道，并且控制对你的系统的存取。

　　然后，我们讨论PHP脚本实现中的普遍存在的脆弱性。我们将解释如何保护你的脚本免于SQL注入，防止跨站点脚本化和远程执行，并且阻止对临时文件及会话的"劫持"。

　　在最后一篇中，我们将实现一个安全的Web应用程序。你将学习如何验证用户身份，授权并跟踪应用程序使用，避免数据损失，安全地执行高风险性的系统命令，并能够安全地使用web服务。无论你是否有足够的PHP安全开发经验，本系列文章都会提供丰富的信息来帮助你构建更为安全的在线应用程序。

　　二、 什么是SQL注入

　　如果你打算永远不使用某些数据的话，那么把它们存储于一个数据库是毫无意义的;因为数据库的设计目的是为了方便地存取和操作数据库中的数据。但是，如果只是简单地这样做则有可能会导致潜在的灾难。这种情况并不主要是因为你自己可能偶然删除数据库中的一切;而是因为，当你试图完成某项"无辜"的任务时，你有可能被某些人所"劫持"-使用他自己的破坏性数据来取代你自己的数据。我们称这种取代为"注入"。

　　其实，每当你要求用户输入构造一个数据库查询，你是在允许该用户参与构建一个存取数据库服务器的命令。一位友好的用户可能对实现这样的操作感觉很满意;然而，一位恶意的用户将会试图发现一种方法来扭曲该命令，从而导致该被的扭曲命令删除数据，甚至做出更为危险的事情。作为一个程序员，你的任务是寻找一种方法来避免这样的恶意攻击。

　　三、 SQL注入工作原理

　　构造一个数据库查询是一个非常直接的过程。典型地，它会遵循如下思路来实现。仅为说明问题，我们将假定你有一个葡萄酒数据库表格"wines"，其中有一个字段为"variety"(即葡萄酒类型)：

　　1. 提供一个表单-允许用户提交某些要搜索的内容。让我们假定用户选择搜索类型为"lagrein"的葡萄酒。

　　2. 检索该用户的搜索术语，并且保存它-通过把它赋给一个如下所示的变量来实现：

　　以下是代码片段：

　　$variety = $_POST['variety'];

　　因此，变量$variety的值现在为：

　　lagrein

　　3. 然后，使用该变量在WHERE子句中构造一个数据库查询：

　　以下是代码片段：

　　$query = "SELECT * FROM wines WHERE variety='$variety'";

　　所以，变量$query的值现在如下所示：

　　以下是代码片段：

　　SELECT * FROM wines WHERE variety='lagrein'

　　4. 把该查询提交给MySQL服务器。

　　5. MySQL返回wines表格中的所有记录-其中，字段variety的值为"lagrein"。

　　到目前为止，这应该是一个你所熟悉的而且是非常轻松的过程。遗憾的是，有时我们所熟悉并感到舒适的过程却容易导致我们产生自满情绪。现在，让我们再重新分析一下刚才构建的查询。

　　1. 你创建的这个查询的固定部分以一个单引号结束，你将使用它来描述变量值的开始：

　　以下是代码片段：

　　$query = " SELECT * FROM wines WHERE variety = '";

　　2. 使用原有的固定不变的部分与包含用户提交的变量的值：

　　以下是代码片段：

　　$query .= $variety;

　　3. 然后，你使用另一个单引号来连接此结果-描述该变量值的结束：

　　以下是代码片段：

　　$ query .= "'";

　　于是，$query的值如下所示：

　　以下是代码片段：

　　SELECT * FROM wines WHERE variety = 'lagrein'

　　这个构造的成功依赖用户的输入。在本文示例中，你正在使用单个单词(也可能是一组单词)来指明一种葡萄酒类型。因此，该查询的构建是无任何问题的，并且结果也会是你所期望的-一个葡萄酒类型为"lagrein"的葡萄酒列表。现在，让我们想象，既然你的用户不是输入一个简单的类型为"lagrein"的葡萄酒类型，而是输入了下列内容(注意包括其中的两个标点符号)：

　　lagrein' or 1=1;

　　现在，你继续使用前面固定的部分来构造你的查询(在此，我们仅显示$query变量的结果值)：

　　SELECT * FROM wines WHERE variety = '

　　然后，你使用包含用户输入内容的变量的值与之进行连接(在此，以粗体显示)：

　　SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;

　　最后，添加上下面的下引号：

　　SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'

　　于是，这个查询结果与你的期望会相当不同。事实上，现在你的查询包含的不是一条而是两条指令，因为用户输入的最后的分号已经结束了第一条指令(进行记录选择)从而开始了一条新的指令。在本例中，第二条指令，除了一个简单的单引号之外别无意义;但是，第一条指令也不是你所想实现的。当用户把一个单引号放到他的输入内容的中间时，他结束了期望的变量的值，并且引入了另一个条件。因此，不再是检索那些variety为"lagrein"的记录，而是在检索那些满足两个标准中任何一个(第一个是你的，而第二个是他的-variety为"lagrein"或1等于1)的记录。既然1总是1，因此，你会检索到所有的记录!

　　你可能反对：我不会使用双引号来代替单引号来描述用户提交的变量吗?不错，这至少可以减慢恶意用户的攻击。(在以前的文章中，我们提醒过你：应该禁止所有对用户的错误通知信息。如果在此生成一条错误消息，那么，它有可能恰恰帮助了攻击者-提供一个关于他的攻击为什么失败的具体的解释。)

　　在实践中，使你的用户能够看到所有的记录而不只是其中的一部分乍看起来似乎不太费事，但实际上，这的确费事不少;看到所有的记录能够很容易地向他提供有关于该表格的内部结构，从而也就向他提供了使其以后实现更为恶毒目的的一个重要参考。如果你的数据库中不是包含显然无害的酒之类信息而是包含例如一个含有雇员年收入的列表，那么，刚才描述情形会是特别真实的。

　　而从理论角度分析，这种攻击也的确是一件很可怕的事情。由于把意外的内容注入到你的查询中，所以，此用户能够实现把你的数据库存取转化为用于实现他自己的目的。因此现在，你的数据库已经对他打开-正如对你敞开一样。

　　四、 PHP和MySQL注入

　　如我们前面所描述的，PHP，从本身设计来说，并没有做什么特别的事情-除了按照你的指示操作之外。因此，如果为恶意用户所用，它也只是按照要求"允许"特别设计的攻击-例如我们前面所描述的那样。

　　我们将假定，你不会故意地或甚至是偶然地构造一个具有破坏性效果的数据库查询-于是，我们假定问题出在来自你的用户的输入方面。现在，让我们来更为细致地分析一下用户可能向你的脚本提供信息的各种途径。

　　五、 用户输入的类型

　　如今，用户能够影响你的脚本的行为已变得越来越复杂。

　　用户输入最明显的来源当然是表单上的一个文本输入域。使用这样的一个域，你简直是在故意教唆一个用户输入任意数据。而且，你向用户提供了一个很大的输入范围;没有什么办法能够使你提前限制一个用户能够输入的数据类型(尽管你能够选择限制它的长度)。这正是绝大多数的注入式攻击源主要来自于无防备的表单域的原因。

　　但是，还存在其它的攻击源，并且稍加思考你就会想到的一种潜于表单后台的技术-POST方法!通过简单地分析显示在浏览器的导航工具栏中的URI，一个善于观察的用户能够很容易地看出是什么信息传递到了一个脚本。尽管典型情况下这样的URI是以编程方式生成的，但是，没有什么办法能够阻止一个恶意的用户简单地把一个带有一个不适当的变量值的URI输入到一个浏览器中-而这样潜在地打开一个可能会被其滥用的数据库。

　　限制用户输入内容的一个常用策略是在一个表单中提供一个选择框，而不是一个输入框。这种控件能够强制用户从一组预定义的值中进行选择，并且能够在一定程度上阻止用户输入期望不到的内容。但是正如一个攻击者可能"哄骗"一个URI(也即是，创建一个能够模仿一个可信任的却无效的URI)一样，他也可能模仿创建你的表单及其自己的版本，并因此在选项框中使用非法的而不是预定义的安全选择。要实现这点是极其简单的;他仅需要观察源码，然后剪切并且粘贴该表单的源代码-然后一切为他敞开大门。

　　在修改该选择之后，他就能够提交表单，并且他的无效的指令就会被接受，就象它们是原始的指令一样。因此，该用户可以使用许多不同的方法试图把恶意的代码注入到一个脚本中。