简单的cookie计数器实现源码-深入eAccelerator与memcached的区别...-基于PHP开发中的安全防范知识详解

当前位置: 编程技术>php

本页文章导读:

▪简单的cookie计数器实现源码代码如下:<?php if (!empty ($_COOKIE['example'] )) $example = ++$_COOKIE['example'] ; else $example = 1 ; setcookie("example",$example,time()+54000);?> 代码如下:<html&g.........

▪深入eAccelerator与memcached的区别详解 eAccelerator和memcached，是目前较为主流的两个可使用在PHP之中的缓存加速工具.eAccelerator专门为PHP开发，而memcached不仅仅用在PHP之中，其他所有的语言都可以使用. eAccelerator的主要功能：1. 缓存P.........

▪基于PHP开发中的安全防范知识详解 PHP代码安全和XSS，SQL注入等对于各类网站的安全非常中用，尤其是UGC(User Generated Content)网站，论坛和电子商务网站，常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统.........

[1]简单的cookie计数器实现源码

来源: 互联网发布时间: 2013-11-30

代码如下:

<?php if (!empty ($_COOKIE['example'] ))
             $example = ++$_COOKIE['example'] ;
        else $example = 1 ;
            setcookie("example",$example,time()+54000);
?>

代码如下:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>简单的COOKIE计数器</title>
<style type="text/css">

</style>
</head>
<body>
<table width="350" height="208" border="0" cellpadding="0" cellspacing="0">
<tr>
    <td background="images/136.JPG">
      <table width="240" height="208" border="0" align="center" cellpadding="0" cellspacing="0">
      <tr>
        <td height="30" align="center" > </td>
      </tr>
      <tr>
        <td height="25" align="center" >欢迎光临</td>
      </tr>
      <tr>
        <td height="30" align="center" valign="top">
          <span >本页已经被访问:</span>
          <span > <?php echo "$example";?>次</span>
        </td>
      </tr>
      <tr>
        <td height="18" align="center" valign="top">
          <span >简单的COOKIE计数器</span>
        </td>
      </tr>
      <tr>
        <td height="30" align="center"> </td>
      </tr>
    </table> </td>
</tr>
</table>
</body>
</html>

[2]深入eAccelerator与memcached的区别详解

来源: 互联网发布时间: 2013-11-30

eAccelerator和memcached，是目前较为主流的两个可使用在PHP之中的缓存加速工具.
eAccelerator专门为PHP开发，而memcached不仅仅用在PHP之中，其他所有的语言都可以使用.

eAccelerator的主要功能：

1. 缓存PHP文件的执行代码：在被缓存的代码再次被调用时，将直接从内存读取，从而在很大程度了PHP运行的速度.

2. 提供了共享内存操作函数：用户可以将自己的常见非资源对像，保存到内存之中，并可以随时读取出来.

memcached的主要功能：

提供共享内存操作函数，可以保存和读取数据

两者的共同点：

共同点：都提供了共享内存操作函数，可以用来保存和读取自己的数据

两者的区别：
eAccelerator作为PHP的扩展库存在，那么仅在PHP运行时，可以操作和读写共享内存，一般情况，只能由操作共享内存的程序自己调用.

同时，eAccelerator可以缓存PHP程序的执行代码，提升程序的调入和执行速度.

memcached主要作为一个共享内存服务器，其PHP扩展库仅仅作为PHP到memcached的连接库存在，类似MySQL扩展库.因而，memcached可以完全脱离PHP，其共享的数据，可以被不同的程序调用.

根据两者的不同，我们将他们使用在真真需要的地方：

eAccelerator主要用于单机PHP提速，缓存中间数据.对于实时性高，但数据操作量小的情况下，非常实用.

memcached用于分布式或者集群系统，多台服务器可以共享数据.对于实时性高，同时数据操作量大的情况下，非常实用.

对MemCached的正确认识

刚开始,听说用MemCached来缓存数据到内存，然后对数据进行操作，(这里的操作包括了，查询和更新)，听起来真是太棒了。这样，一定时间内不用操作数据库。真是太好了。

然后我一直在想一个问题，查询确实可以，可是更新内存要怎么处理并发?难道，我们的MemCached 来有这般功能，如果这样，那真是太神了。

可是事情，并不是像说的那样。对MemCached的这样认识是不正确的。

MemCache和其他的cache是一样的，当数据更新之后，cached 的东西，也就是 out date 的东西了。

在网上看了，前辈们对MemCached的阐述，更是说明了这点。

所以，不应该指望，直接更新MemCached，而省略了数据库这一环节。

这前认为他提供的set方法是用来更新数据库的，那时自己的痴心妄想。

其实这个方法是将数据库中的记录缓存到MemCached中，同时指定它的有效期是多长。

现在我想到了，为什么，我们的MemCached中的内容一直都没变化，即使我已经删除了该条记录。

我们在set()的时候，并没有设置它的过期时间，也就默认是0，即永不过期。只要MemCached服务器没有重起，它就一直存在。

这样说来，我们的ROR项目中，使用缓存来减少数据库的检索，而不能指望让MemCached可以让我们连更新数据库也免了。

如果真的连更新数据库也免了，就真的跨入了非数据库时代，哈哈。估计不太可能。如果我们能保证用户是以队列的方式，一个接着一个来的话。

还是另想办法来减轻更新带来的压力。

[3]基于PHP开发中的安全防范知识详解

来源: 互联网发布时间: 2013-11-30

PHP代码安全和XSS，SQL注入等对于各类网站的安全非常中用，尤其是UGC(User Generated Content)网站，论坛和电子商务网站，常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说，php安全防范更多要求编程人员对用户输入的各种参数能更细心.

php编译过程中的安全

建议安装Suhosin补丁，必装安全补丁
php.ini安全设置

代码如下:

register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处理
mysql_real_escape_string (很多PHPer仍在依靠addslashes防止SQL注入，但是这种方式对中文编码仍然是有问题的。addslashes的问题在于黑客可以用 0xbf27来代替单引号，GBK编码中0xbf27不是一个合法字符，因此addslashes只是将0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，具体见这篇文章)。用mysql_real_escape_string函数也需要指定正确的字符集，否则依然可能有问题。

prepare + execute(PDO)
ZendFramework可以用DB类的quote或者quoteInto, 这两个方法是根据各种数据库实施不用方法的，不会像mysql_real_escape_string只能用于mysql

用户输入的处理
无需保留HTML标签的可以用以下方法
strip_tags, 删除string中所有html标签
htmlspecialchars，只对”<”,”>”,”;”,”'”字符进行转义
htmlentities，对所有html进行转义
必须保留HTML标签情况下可以考虑以下工具：

代码如下:

HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数，使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传php脚本。
ZF框架下可以考虑使用File_upload模块
Session，Cookie和Form的安全处理
不要依赖Cookie进行核心验证，重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的form元素如下:

代码如下:

<input type="hidden" name="H[name]" value="<?php echo $Oname?>"/> <input type="hidden" name="H[age]" value="<?php echo $Oage?>"/> <?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?> <input type="hidden" name="hash" value="<?php echo $sign?>"" />
POST回来之后对参数进行验证
$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "Hidden form data modified"; exit;
}

PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL injection/XSS攻击检查工具)

安裝/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺陷分析工具)
安裝: apt-get install default-jdk