PHP读取txt文件的内容并赋值给...-PHP支持多种格式图片上传(支...-PHP安全防范技巧分享

当前位置: 编程技术>php

本页文章导读:

▪PHP读取txt文件的内容并赋值给数组的代码 2010-12-15.txt的文件内容如下：代码如下: 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 T01 T02 T03 T04 T05 T06 T07 T08 T09 T10 T11 T12 T13 T14 T15 T16 思路如下：使用file_get_contents()获取txt文件的.........

▪PHP支持多种格式图片上传(支持jpg、png、gif) 此处一次支持上传2个图片，上传后生成原图和质量较差的图，原图用于保存质量高的图片，质量差的图用于网页显示。 PHP Code 代码如下: <?php include_once("db.php"); include_once("dbinfo.php"); $conne.........

▪PHP安全防范技巧分享 PHP代码安全和XSS，SQL注入等对于各类网站的安全非常中用，尤其是UGC(User Generated Content)网站，论坛和电子商务网站，常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统.........

[1]PHP读取txt文件的内容并赋值给数组的代码

来源: 互联网发布时间: 2013-11-30

2010-12-15.txt的文件内容如下：

代码如下:

01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
T01
T02
T03
T04
T05
T06
T07
T08
T09
T10
T11
T12
T13
T14
T15
T16

思路如下：使用file_get_contents()获取txt文件的内容，然后通过explode()把获得的字符串转化为数组。获得数组长度可以使用count()函数。

PHP Code

代码如下:

$file = '2010-12-15.txt';
$content = file_get_contents($file);
//echo $content;

$array = explode("\r\n", $content);
//print_r($array);

for($i=0; $i〈count($array); $i++)
{
echo $array[$i].'〈br /〉';
}

关于txt文档中的换行符
在正则表达式中，有一个\n是newline的意思，又有一个\r是carriage return(就是这个导致了白痴中文翻译"回车")的意思。在处理String或者console输出的时候，无论带上哪个都能换行。

但是偏偏在txt中，哪个都不是标准的换行，只有合起来的\r\n才是换行(对于整个windows默认的换行来说，都是这样)。

意思是\r敲个回车，表明这行结束了，光标回到头去，然后再\n下移一行来个新行。

就因为这个，我用scanner()带正则表达式搜索txt文档时，一度一筹莫展，根本找不到问题在哪。

关于file_get_contents()
file_get_contents() 函数把整个文件读入一个字符串中。

file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法。如果操作系统支持，还会使用内存映射技术来增强性能。

[2]PHP支持多种格式图片上传(支持jpg、png、gif)

来源: 互联网发布时间: 2013-11-30

此处一次支持上传2个图片，上传后生成原图和质量较差的图，原图用于保存质量高的图片，质量差的图用于网页显示。
PHP Code

代码如下:

<?php
include_once("db.php");
include_once("dbinfo.php");
$connector = new nmdb($host, $username, $password);
$connector -> select_db($database);
$work_group = check_input($_POST['work_group']);
$name = check_input($_POST['name']);
$tel = check_input($_POST['tel']);
$id_card = check_input($_POST['id_card']);
$work_name = check_input($_POST['work_name']);
$place = check_input($_POST['place']);
$work1 = check_input($_POST['work1']);
date_default_timezone_set('PRC');
$date = date("Y-m-d H:i:s");
$quality = 100;
$quality2 = 70;
$quality_png = 9;
$quality2_png = 7;
if(isset($_FILES['work1']) && $_FILES['work1']['error']==0)
{
$size = getimagesize($_FILES['work1']['tmp_name']);
$original = $_FILES['work1']['tmp_name'];
$type = $_FILES['work1']['type'];
//echo $type;
$target_name = date('YmdHis').'_'.preg_replace('`[^a-z0-9-_.]`i','',$_FILES['work1']['name']);
$work1 = $target_name;
$target = dirname(__FILE__).'/uploads/'.$target_name;
switch($type)
{
case "image/jpeg":
$resultImage = imagecreatefromjpeg($original);
imagejpeg($resultImage, $target, $quality);
break;
case "image/png":
$resultImage = imagecreatefrompng($original);
imagepng($resultImage, $target, $quality_png);
break;
case "image/gif":
$resultImage = imagecreatefromgif($original);
imagegif($resultImage, $target, $quality);
break;
default :
die("不支持此文件类型");
exit;
}
$work1_small = $target_name;
$target = dirname(__FILE__).'/uploads/small/'.$target_name;
switch($type)
{
case "image/jpeg":
$resultImage = imagecreatefromjpeg($original);
imagejpeg($resultImage, $target, $quality2);
break;
case "image/png":
$resultImage = imagecreatefrompng($original);
imagepng($resultImage, $target, $quality2_png);
break;
case "image/gif":
$resultImage = imagecreatefromgif($original);
imagegif($resultImage, $target, $quality2);
break;
default :
die("不支持此文件类型");
exit;
}
}
if(isset($_FILES['work2']) && $_FILES['work2']['error']==0)
{
$size = getimagesize($_FILES['work2']['tmp_name']);
$original = $_FILES['work2']['tmp_name'];
$type = $_FILES['work2']['type'];
$target_name = date('YmdHis').'_'.preg_replace('`[^a-z0-9-_.]`i','',$_FILES['work2']['name']);
$work2 = $target_name;
$target = dirname(__FILE__).'/uploads/'.$target_name;
switch($type)
{
case "image/jpeg":
$resultImage = imagecreatefromjpeg($original);
imagejpeg($resultImage, $target, $quality);
break;
case "image/png":
$resultImage = imagecreatefrompng($original);
imagepng($resultImage, $target, $quality_png);
break;
case "image/gif":
$resultImage = imagecreatefromgif($original);
imagegif($resultImage, $target, $quality);
break;
default :
die("不支持此文件类型");
exit;
}
$work2_small = $target_name;
$target = dirname(__FILE__).'/uploads/small/'.$target_name;
switch($type)
{
case "image/jpeg":
$resultImage = imagecreatefromjpeg($original);
imagejpeg($resultImage, $target, $quality2);
break;
case "image/png":
$resultImage = imagecreatefrompng($original);
imagepng($resultImage, $target, $quality2_png);
break;
case "image/gif":
$resultImage = imagecreatefromgif($original);
imagegif($resultImage, $target, $quality2);
break;
default :
die("不支持此文件类型");
exit;
}
}
$sql="insert into photo(work_group,name,tel,id_card,work_name,place,work,work_small,date) values('$work_group','$name','$tel','$id_card','$work_name','$place','$work1','$work1_small','$date')";
//echo $sql;
$result = $connector -> query($sql) or die(mysql_error());
if($work2 != "" && $work2_small != null)
{
$sql2="insert into photo(work_group,name,tel,id_card,work_name,place,work,work_small,date) values('$work_group','$name','$tel','$id_card','$work_name','$place','$work2','$work2_small','$date')";
$result2 = $connector -> query($sql2) or die(mysql_error());
}
$connector -> close($connector);
$page="../upload.php";
echo "<script>alert('上传成功！'); window.location = \"".$page."\";</script>";
?>

有些问题需要说明下：
JPEG图像生成的图像的质量的是一个范围从0（最低质量，最小的文件大小）到100（最高质量，最大文件大小）。而ImagePNG生成图像的质量范围从0到9的，传入的这个范围以外的参数则该函数不会工作。
判断上传文件的类型，$type = $_FILES['work1']['type'];。
创建各种格式的图片可以使用这些函数：imagecreatefromjpeg()、imagecreatefrompng()、imagecreatefromgif()。

[3]PHP安全防范技巧分享

来源: 互联网发布时间: 2013-11-30

PHP代码安全和XSS，SQL注入等对于各类网站的安全非常中用，尤其是UGC(User Generated Content)网站，论坛和电子商务网站，常常是XSS和SQL注入的重灾区。这里简单介绍一些基本编程要点, 相对系统安全来说，php安全防范更多要求编程人员对用户输入的各种参数能更细心.

php编译过程中的安全
建议安装Suhosin补丁，必装安全补丁

php.ini安全设置
register_global = off
magic_quotes_gpc = off
display_error = off
log_error = on
# allow_url_fopen = off
expose_php = off
open_basedir =
safe_mode = on
disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var
safe_mode_include_dir =

DB SQL预处理
mysql_real_escape_string （很多PHPer仍在依靠addslashes防止SQL注入，但是这种方式对中文编码仍然是有问题的。addslashes的问题在于黑客可以用0xbf27来代替单引号，GBK编码中0xbf27不是一个合法字符，因此addslashes只是将0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，具体见这篇文章）。用mysql_real_escape_string函数也需要指定正确的字符集，否则依然可能有问题。
prepare + execute(PDO)
ZendFramework可以用DB类的quote或者quoteInto, 这两个方法是根据各种数据库实施不用方法的，不会像mysql_real_escape_string只能用于mysql

用户输入的处理
无需保留HTML标签的可以用以下方法

strip_tags, 删除string中所有html标签
htmlspecialchars，只对”<”,”>”,”;”,”'”字符进行转义
htmlentities，对所有html进行转义

必须保留HTML标签情况下可以考虑以下工具：
HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP.
PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code
htmLawed: PHP code to purify & filter HTML

上传文件
用is_uploaded_file和move_uploaded_file函数，使用HTTP_POST_FILES[]数组。并通过去掉上传目录的PHP解释功能来防止用户上传php脚本。
ZF框架下可以考虑使用File_upload模块

Session，Cookie和Form的安全处理
不要依赖Cookie进行核心验证，重要信息需要加密, Form Post之前对传输数据进行哈希, 例如你发出去的form元素如下:

程序代码

<pre lang="php"><input type="hidden" name="H[name]" value="<?php echo $Oname?>"/>
<input type="hidden" name="H[age]" value="<?php echo $Oage?>"/>
<?php $sign = md5('name'.$Oname.'age'.$Oage.$secret); ?>
<input type="hidden" name="hash" value="<?php echo $sign?>"" />

POST回来之后对参数进行验证

程序代码

代码如下:

$str = "";
foreach($_POST['H'] as $key=>$value) {
$str .= $key.$value;
}
if($_POST['hash'] != md5($str.$secret)) {
echo "Hidden form data modified"; exit;
}

PHP安全检测工具(XSS和SQL Insertion)
Wapiti - Web application security auditor(Wapiti - 小巧的站点漏洞检测工具) (SQL injection/XSS攻击检查工具)
安裝/使用方法:
apt-get install libtidy-0.99-0 python-ctypes python-utidylib
python wapiti.py http://Your Website URL/ -m GET_XSS
Pixy: XSS and SQLI Scanner for PHP( Pixy - PHP 源码缺陷分析工具)
安裝: apt-get install default-jdk
Remote PHP Vulnerability Scanner(自动化 PHP页面缺陷分析, XSS检测功能较强)
PHPIDS - PHP 入侵检测系統