PHP最初是被称作Personal Home Page，后来随着PHP成为一种非常流行的脚本语言，名称也随之改变了，叫做Professional HyperText PreProcessor。以PHP4.2为例支持它的WEB服务器有：Apache, Microsoft Internet information Sereve, Microsoft Personal web Server,AOLserver,Netscape Enterprise 等等。

PHP是一种功能强大的语言和解释器，无论是作为模块方式包含到web服务器里安装的还是作为单独的CGI程序程序安装的，都能访问文件、执行命令或者在服务器上打开链接。而这些特性都使得PHP运行时带来安全问题。虽然PH P是特意设计成一种比用Perl或C语言所编写的CGI程序要安全的语言，但正确使用编译时和运行中的一些配置选项以及恰当的应用编码将会保证其运行的安全性。

一、安全从开始编译PHP开始。

在编译PHP之前，首先确保操作系统的版本是最新的，必要的补丁程序必须安装过。另外使用编译的PHP也应当是最新的版本，关于PHP的安全漏洞也常有发现，请使用最新版本，如果已经安装过PHP请升级为最新版本：4.2.3

相关链接：http://security.e-matters.de/advisories/012002.html

安装编译PHP过程中要注意的3个问题：

1、只容许CGI文件从特定的目录下执行：首先把处理CGI脚本的默认句柄删除，然后在要执行CGI脚本的目录在http.conf 文件中加入ScriptAlias指令。

#Addhadler cgi-script .cgi

ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

<Directory "/usr/local/apache/cgi-bin'>

AllowOverride None

Options None

Order allow,deny

Allow from all

</Directory>

<Directory "/home/*/public_html/cgi-bin">

AllowOverride None

Options ExecCGI

Order allow,deny

Allow from all

</Directory>
 

SriptAlias的第一个参数指明在Web中的可用相对路径，第二个参数指明脚本放在服务器的目录。应该对每个目录

别名都用Directory，这样可使得除系统管理员之外的人不知道Web服务器上CGI脚本的清单。

Directory允许用户创建自己的CGI脚本。也可用SriptAliasMatch，但Directory更容易使用。 允许用户创建自己

CGI脚本可能会导致安全问题，你可能不希望用户创建自己的CGI。 Apache默认配置是注释掉cgi—script的处理句柄，但有／cgi-bin目录使用SriptAlias和Directory指令。 你也可禁止CGI执行，但仍允许执行PHP脚本。

2．把PHP解析器放在web目录外

把PHP解析器放在Web目录树外是非常重要的做法。这样可以防止web服务器对PHP的解析器的滥用。特别是

不要把PHP解析器放在cgi－bin或允许执行CGI程序的目录下。然而，使用Action解析脚本是不可能的，因为用Action指令时，PHP解析器大多数要放在能够执行CGI的目录下只有当PHP脚本作为CGI程序执行时，才能把PHP解析器放在Web目录树之外。

如果希望PHP脚本作为CGI程序执行(这们可以把PHP解析器放在Web目录树之外)，可以这样：

( 1)所有的PHP脚本必须位于能执行CGI程序的目录里。

( 2)脚本必须是可执行的(仅在UNIX/Linux机器里)。

(3)脚本必须在文件头包括PHP解析器的路径。

你可用下面命令使PHP脚本为可执行：

#chmod +x test.php4

这样使在当前目录下的文件名为test．PhP4的脚本变为可执行。 下面是一个能作为CGI程序运行的PHP脚的小例子。

#!/usr/local/bin/php

echo "This is a  my small cgi program”
 

3. 按Apache模块方式安装:

当将PHP作为Apache模块使用时，它将继承Apche的用户权限(一般情况下用户为“nobody”)。这一点对于安全性和

验证有不少影响。例如，使用PHP访问数据库，除非数据库支持内建的访问控制，将不得不设置数据库对于用户“nobody”

的可访问权限。这将意味着恶意的脚本在没有访问用户名和密码，也能访问并修改数据库。通过Apache验证来保护数据不被暴露，或者也可使用LDAP、．htaccess文件等设计自己的访问控制模型，并在PHP脚本中将此代码作为其中部分引入。 通常，一旦安全性建立，此处PHP用户(此情形即Apache用户)就风险大大降低了，会发现PHP护现在已被封禁了将可能的染毒文件写入用户目录的能力。 此处最常犯的安全性错误是赋予Apache服务器根(root)权限。 将Apache用户权限提升到根权限是极端危险的。可能会危及整个系统，因此要小心使用sudo，chroot安全隐患大的命令等。除非你对安全有绝对的掌握，否则不要让其以ROOT权限运行。

二、让PHP的使用更安全。

1、以安全模式运行PHP

以安全模式运行PHP是使PHP脚本安全使用的好方法，特别是在允许用户使用自己开发的PHP脚本时。使用安全模式会使PHP在运行函数时检查是否存在安全问题。 include、readfile、fopen、file、unlink、rmdir等等：被包含的文件或者该文件所在目录的所有者必须是正在运行的脚本的所有者； Exec、System、Passthm等等：要执行的程序必须位于特定的目录(默认为／usr/local／php/bin)。编译PHP时可以用—with-exe-dir选项设定这个值。

Mysql—Connect：这个函数用可选的用户名连接MySQL数据库。在安全模式下，用户名必须是当前被执行的脚本的所有者，或运行httpd的用户名(通常是nobody)。

HTTP Authentication：包含HTTP验证代码脚本所有者的用户ID(数字型)会自动加到验证域。这样可以防止有人通过抓取密码的程序来欺骗同一个服务器上的HTTP验证脚本。

2、使用 用户识别和验证

有时需要唯一地确认一个用户。用户通常由请求和响应系统确认。用户名／口令组合就是这种系统的一个很好的例子，比如系统要求给出A1i的口令，响应的是Ali的口令。这样验证是因为只有Ali才知道这个口令。

（1）服务器端用户验征

这是用于服务端上对PHP程序要求最小的验证方法。只要让Apache来管理对用户的验证就行了。

AuthName      "Secret page"      # The realm

AuthType      Basic

# The password file has been placed outside the web tree

AuthUserFile   /home/car2002/website.pw

<LIMIT GET POST>

require      valid-user

</LIMIT>
 

你需要把上述文件(文件名为.htaccess)放在需要保护的地方。用Apache的htpasswd程序，可以建立包含用户名和口令组合的文件。把这个文件放在Web目录树之外，只让该文件的拥有者查看和修改这个文件。当然，Web服务器必须能够读取这个文件。

如果想读取被保护的目录，Web服务器要求浏览器提供用户名和密码。浏览器弹出对话框，用户可以输入他们的用户名和密码。如果用户名和密码与口令文件中相符合，就允许用户读取被保护的页面；反之，将得到错误页面，告诉用户没有通过验证。被保护的域会显示出来以便用户知道输入那个用户名和密码。

（2）在PHP中进行用户识别和验证

和在Apache服务器端进行用户识别和验证相比，在PHP进行用户识别和验证有以下优点：

A、可注销。

B、可失效。如用户登录后40分钟没有浏览你的网站，你可强制他们重新通过验证。

C、可定制。

D、可基于数据库。你可以用保存在各种各样的数据库里的数据来验证用户，并且记录访问者访问网站的详细日志。

E、可用于每个页面。你可在每个页面上决定是否需要验证。

F、你也可以使浏览器弹出对话框。下面的例子显示了怎样从，MySQL数据库中检索用名和口令：让用户填人用户名和口令。

<?

if(!isset($PHP_AUTH_USER)) {

Header("WWW-authenticate: basic realm=\"restricted area\"");

Header( "HTTP/I.0 401 Unauthorized");

echo "You failed to provide the correct password...\n";

exit;

} else {

mysql_select_db("users") ;

$user_id = strtolower($PHP^AUTH_USER);

$result = mysql_query("SELECT password FROM users " .

"WHERE username = '$username'") ;

$row = mysql_fetch_array($result) ;

if ($PHP_AUTH_PW != $row["password"]) {

Header( "WWW-authenticate: basic realm=\"restricted area\"

Header( "HTTP/I.0 401 Unauthorized");

echo "You failed to provide the correct password...\n" ;

exit;

}

  }

?>

Only users with a working username/password combination can see this
 

(3) 检测IP地址

一般人们普遍认为一个IP地址唯一地确定一个访问者。但实际上并不是这样的。代理服务器可用相同的IP地址发送不同用户的请求。另外IP地址的盗用也普遍存在。检测 IP地址有它们的用处，但相当有限。例如你是一个论坛版主，你发现某个用户粘贴一些不健康的、违法的内容。你可以找到他的IP地址，把从这个IP连进来的用户逐出论坛。使用下面一行命令将会得到某个特定请求的源IP地址：

# ip = $REMOTE_ADDR

4、使用PHP加密技术

在PHP中，加密技术主要用来加密信息、产生校验和和摘要。使用加密技术可大大地增强安全性能。 这里只讲述使用加密技术的一些概念。如果你想进一步了解，应参考一些好的加密技术资料。加密技术的标准是Bmce Schneier的应用加密技术，非常值得一读。他的网站(www.counterpane.com/labs.html )是在互联网上查找加密技术资料的好起点。数据加密是一个非常复杂的话题，这里只简单介绍一下。

PHP中大多数的加密函数由mcrypt库和mhash库提供。你需要在系统中装上这两个库，在编译时加上--ith-mcrypt和--ith-hash选项。PHP从 3．013版本开始支持mcrypt库。

5、使用具有SSL技术

SSI是英文Server Side Includes的缩写。使用具有SSL(安全套接字协议层)功能的web服务器，可以不用改变一行代码而提高网站的安全性能。SSI使用加密方法来保护web服务器和浏览器之间的信息流。SSL不仅用于加密在互联网上传递的数据流，而且还提供双方身份验证。这样，你就可以安全地在线购物而不必担心别人矢随你的信用卡的信息。这种特性使得SSL适用于那些交换重要信息的地方，像电子商务和基于Web的邮件。

SSL使用公共密钥加密技术，服务器在连接结束时给客户端发送公用密钥用来加密信息，而加密的信息只有服务器用它自己持有的专用密钥才能解开。客户端用公用密钥加密数据，并且发送给服务端自己的密钥，以唯一确定自己，防止在系统两端之间有人冒充服务端或客户端进行欺骗。

加密的HTTP连接用443端口号代替80端口号，以区别于普通的不加密的HTTP。客户端使用加密HTTP连接时会自动使用443端口而不是80端口。这使得服务端更容易作出相应的响应。

在Apache服务器下，可以通过直接编辑服务器配置文件或者在需要使用SSI的目录中创建.htaccess文件来启动SSI。登录到服务器，找到配置文件的存放目录，使用文字编辑器打开文件srm.conf，找到以下几行： 

# If you want to use server side includes, or CGI outside
# ScriptAliased directories, uncomment the following lines.
#AddType text/x-server-parsed-html .shtml
#AddType application/x-httpd-CGI .CGI
 

将以AddType开头的两行并且去掉每一行最前面的"#"符号即可。保存所做的修改，然后再打开文件access.conf。

　　　　＜Directory /usr/local/etc/httpd/htdocs＞
　　　　# This may also be "None", "All", or any combination of "Indexes",
　　　　# "Includes", or "FollowSymLinks"
　　　　Options Indexes FollowSymLinks
　　　　＜/Directory＞

　　　　将其中的Options Indexes FollowSymLinks改为:Options Indexes FollowSymLinks Includes 即可。
 

6、使用Apache的suEXEC机制

通常CGI程序或PHP脚本只能以启动web服务器的用户权限来运行(通常为www或nobody)，这样会出现的情况之一是可以读写和修改由另一个用户的CGI和PHP脚本生成的文件(如脚本和密码文件)。也可能使用户可以连接到其他用户的数据库，但这与数据库的配置有关。如MySQL的默认配置便是允许的，但可以通过强制数据库进行口令验证来弥补此不足。PHP的safe—mode减少了这些问题，但所有的脚本仍然以相同的用户标识运行。Apache可以解决这个问题。suEXEC(在执行前改变用户标识)是一个小工具，允许以任意用户标识运行CGI程序，当然也包括PHP脚本，但根用户除外。而且可以和UseDir和VirtualHost项一起使用。

所以suEXEC也叫CGI封装。这意味着在脚本运行之前它需要通过一系列规定的安全检查。随Apache2。0版发布的suEXEC有26个检查点。suEXEC能解决一些安全问题，同时允许用户开发和更安全地执行自己的脚本。但是suEXEC会降低服务性能，因为suEXEC只能运行在CGI版本的PHP上，而CGI版本比模块版本运行速度慢。原因是模块版本使用了线程，而使用CGI版本的是进程。在不同线程之间的环境转换和访问公用的存储区域显然要比在不同的进程之间要快得多。使用suEXEC的另外一个问题是它增加了编写和使用PHP脚本的难度。你要确保脚本能通过suEXEC的检验。否则，你的脚本不会被执行。我们建议在你对安全性能要求比较高时使用suEXEC ,为此你还要以牺牲速度为代价。

7、创建安全的PHP脚本

有很多编程技巧使PHP脚本更安全地运行。其中最重要的一条是使用一些安全常识。运行PHP比运行CGI脚本更安全，但它仍然有许多出现错误的地方。转换到安全运行模式能够限制出错所产生的结果。如果你的PHP脚本中有错误，可能会被人找到并且利用它来破坏站点甚至数据库。所以经常备份也是必要的。

（1）安全设置软件

基于Web的应用程序，如在线目录，通常都在无人密切监视的情况下运行。如果发生错误时，你不可能立即采取行动。通常访问者最先注意到所发生的问题，你应该使他们很容易地报告所发生的问题。更进一步，可以由构成这个网站的脚本来跟踪这些问题。例如，你的访问者可能做一些你想不到的事情。也可能你对于重要函数所返回值没有检查，脚本可能会以不可预料的方式运行。

写出更加安全的程序，就可以避免这些问题。例如你应该检查数据库函数的返回值，如果数据库崩溃，显示给用户的应该是出错的信息页面而不是满屏幕的错误。你甚至可以让脚本在发生严重问题，如数据库崩溃、硬盘空间已满的时候自动通知你。你也应该检查从用户传来的所有数据。显然后者更重要。 如果你的程序能够应付各种错误，那么你的程序不仅更加可靠，而且可以花更少的时间来维护。这些时间可大大弥补你开发程序时所花的额外时间。

（2）存储和交换敏感信息

显然，你应尽量避免在互联网上以GET、POST、cookie或URL编码的形式传递敏感信息，这样使信息很容易被窃取。使用支持SSL的web服务器能够做到这一点，因为它加密站点和访问者浏览器之间所有的信息流。

如果你没有支持SSL的Web服务器，那么你需要其他的办法。比如没有必要总是发送数据到浏览器；把数据保存在数据库中，只向浏览器发送关键字，这样也很容易查找到所需要的数据；并以加密的形式发送所有的数据等等。实现这种功能的最简单的办法是使用Session。 PHP4支持本地化的Session功能，PHP3则要使用PHPMB库。

HTTP 协议是一种无状态协议，它不负责为好连接的状态信息，因此无法跟踪客户端的各种信息，Session的出现改变这一状况。当用户浏览一个支持Session功能的CGI脚本时，在他离开这个网页前可以将用户信息保存在同意Session ID之下，也就是可以在不同的网页之间偕同存取用户信息。

如果不使用PHP的安全模式或在suEXEC下以CGI方式运行PHP，那么监视你的文件的内容就不可能实现。此时唯一防止别人读取数据的方法是尽快把数据保存到数据库中。

（3）检查用户输入

Per1语言有个特性叫污点检测(taint checking)。当污点检测生效时，即使没有发生重大错误，你也不能运行含有可疑变量的函数。一个变量，当它的值是用户提供数据的一部分或全部时就变成可疑的了，因为这些数据被认为是不安全的。这样可提高系统安性。 PHP没有这个特性，但PHP有escapeshellcmd函数，可以达到同样的效果。另一个不让用户滥用脚本的方法是只允许使用经过严格检查的输入。

（4）使用最新的PHP版本 4.2.xx

在很长一段时间内，PHP作为服务器端脚本语言的最大卖点之一就是会为从表单提交的值自动建立一个全局变量。在PHP 4.1中，PHP的制作者们推荐了一个访问提交数据的替代手段。在PHP 4.2中，他们取消了那种老的做法。在PHP 4.1中，添加了一组特殊数据以访问外部数据。这些数组可以在任何范围内调用，这使得外部数据的访问更方便。在PHP 4.2中，register_globals被默认关闭以鼓励使用这些数组以避免无经验的开发者编写出不安全的PHP代码。作出这样的变化是出于安全性的考虑的。

三、总结

彻底安全的系统从理论上讲不可能，因此我们所指安全性只是在代价与可用性间作平衡。若是用户提交的每一个变量都要求有生物学验证(如指纹鉴定)，则将获得极高水平的可靠性。但是也会造成用户填写一个表格就要几十分钟。这时用户就会采取绕过安全验证的方法。一个系统的可靠性只能由整个链条中最薄弱的环节来决定。在任何安全系统里面，人是最脆弱的连接，单单技术本身不能让系统安全。

PHP 还处在不断发展的过程中，你需要经常关注他的安全信息。这里笔者推荐你经常关注安全焦点(www.security-focus.com )和Packetstorm(www.packetstorm.com )。 
 

作者:Harry Fuecks 翻译：Easy Chen 
MVC模式在网站架构中十分常见。它允许我们建立一个三层结构的应用程式，从代码中分离出有用的层，帮助设计师和开发者协同工作以及提高我们维护和扩展既有程式的能力。

视图（View）

“视图”主要指我们送到Web浏览器的最终结果——比如我们的脚本生成的HTML。当说到视图时，很多人想到的是模版，但是把模板方案叫做视图的正确性是值得怀疑的。

对视图来说，最重要的事情可能是它应该是“自我意识（self aware）”的，视图被渲染（render）时，视图的元素能意识到自己在更大框架中的角色。

以XML为例，可以说XML在被解析时，DOM API有着这样的认知——一个DOM树里的节点知道它在哪里和它包含了什么。 （当一个XML文档中的节点用SAX解析时只有当解析到该节点时它才有意义。）

绝大多数模板方案使用简单的过程语言和这样的模板标签：

<p>{some_text}</p>
<p>{some_more_text}</p>

它们在文档中没有意义，它们代表的意义只是PHP将用其他的东西来替换它。

如果你同意这种对视图的松散描述，你也就会同意绝大多数模板方案并没有有效的分离视图和模型。模板标签将被替换成什么存放在模型中。

在你实现视图时问自己几个问题：“全体视图的替换容易吗？”“实现一个新视图要多久？” “能很容易的替换视图的描述语言吗？（比如在同一个视图中用SOAP文档替换HTML文档）”

模型（Model）

模型代表了程序逻辑。（在企业级程序中经常称为业务层（business layer））

总的来说，模型的任务是把原有数据转换成包含某些意义的数据，这些数据将被视图所显示。通常，模型将封装数据查询，可能通过一些抽象数据类（数据访问层）来实现查询。举例说，你希望计算英国年度降雨量（只是为了给你自己找个好点的度假地），模型将接收十年中每天的降雨量，计算出平均值，再传递给视图。

控制器（controller）

简单的说控制器是Web应用中进入的HTTP请求最先调用的一部分。它检查收到的请求，比如一些GET变量，做出合适的反馈。在写出你的第一个控制器之前，你很难开始编写其他的PHP代码。最常见的用法是index.php中像switch语句的结构：

<?php
switch ($_GET['viewpage']) {
case "news":
$page=new NewsRenderer;
break;
case "links":
$page=new LinksRenderer;
break;
default:
$page=new HomePageRenderer;
break;
}
$page->display();
?>

这段代码混用了面向过程和对象的代码，但是对于小的站点来说，这通常是最好的选择。虽然上边的代码还可以优化。

控制器实际上是用来触发模型的数据和视图元素之间的绑定的控件。

例子

这里是一个使用MVC模式的简单例子。
首先我们需要一个数据库访问类，它是一个普通类。

<?php
/**
* A simple class for querying MySQL
*/
class DataAccess {
/**
* Private
* $db stores a database resource
*/
var $db;
/**
* Private
* $query stores a query resource
*/
var $query; // Query resource

//! A constructor.
/**
* Constucts a new DataAccess object
* @param $host string hostname for dbserver
* @param $user string dbserver user
* @param $pass string dbserver user password
* @param $db string database name
*/
function DataAccess ($host,$user,$pass,$db) {
$this->db=mysql_pconnect($host,$user,$pass);
mysql_select_db($db,$this->db);
}

//! An accessor
/**
* Fetches a query resources and stores it in a local member
* @param $sql string the database query to run
* @return void
*/
function fetch($sql) {
$this->query=mysql_unbuffered_query($sql,$this->db); // Perform query here
}

//! An accessor
/**
* Returns an associative array of a query row
* @return mixed
*/
function getRow () {
if ( $row=mysql_fetch_array($this->query,MYSQL_ASSOC) )
return $row;
else
return false;
}
}
?>

在它上边放上模型。

<?php
/**
* Fetches "products" from the database
*/
class ProductModel {
/**
* Private
* $dao an instance of the DataAccess class
*/
var $dao;

//! A constructor.
/**
* Constucts a new ProductModel object
* @param $dbobject an instance of the DataAccess class
*/
function ProductModel (&$dao) {
$this->dao=& $dao;
}

//! A manipulator
/**
* Tells the $dboject to store this query as a resource
* @param $start the row to start from
* @param $rows the number of rows to fetch
* @return void
*/
function listProducts($start=1,$rows=50) {
$this->dao->fetch("SELECT * FROM products LIMIT ".$start.", ".$rows);
}

//! A manipulator
/**
* Tells the $dboject to store this query as a resource
* @param $id a primary key for a row
* @return void
*/
function listProduct($id) {
$this->dao->fetch("SELECT * FROM products WHERE PRODUCTID='".$id."'");
}

//! A manipulator
/**
* Fetches a product as an associative array from the $dbobject
* @return mixed
*/
function getProduct() {
if ( $product=$this->dao->getRow() )
return $product;
else
return false;
}
}
?>

有一点要注意的是，在模型和数据访问类之间，它们的交互从不会多于一行——没有多行被传送，那样会很快使程式慢下来。同样的程式对于使用模式的类，它只需要在内存中保留一行（Row）——其他的交给已保存的查询资源（query resource）——换句话说，我们让MYSQL替我们保持结果。

接下来是视图——我去掉了HTML以节省空间，你可以查看这篇文章的完整代码。

<?php
/**
* Binds product data to HTML rendering
*/
class ProductView {
/**
* Private
* $model an instance of the ProductModel class
*/
var $model;

/**
* Private
* $output rendered HTML is stored here for display
*/
var $output;

//! A constructor.
/**
* Constucts a new ProductView object
* @param $model an instance of the ProductModel class
*/
function ProductView (&$model) {
$this->model=& $model;
}

//! A manipulator
/**
* Builds the top of an HTML page
* @return void
*/
function header () {

}

//! A manipulator
/**
* Builds the bottom of an HTML page
* @return void
*/
function footer () {

}

//! A manipulator
/**
* Displays a single product
* @return void
*/
function productItem($id=1) {
$this->model->listProduct($id);
while ( $product=$this->model->getProduct() ) {
// Bind data to HTML
}
}

//! A manipulator
/**
* Builds a product table
* @return void
*/
function productTable($rownum=1) {
$rowsperpage='20';
$this->model->listProducts($rownum,$rowsperpage);
while ( $product=$this->model->getProduct() ) {
// Bind data to HTML
}
}

//! An accessor
/**
* Returns the rendered HTML
* @return string
*/
function display () {
return $this->output;
}
}
?>

最后是控制器，我们将把视图实现为一个子类。

<?php
/**
* Controls the application
*/
class ProductController extends ProductView {

//! A constructor.
/**
* Constucts a new ProductController object
* @param $model an instance of the ProductModel class
* @param $getvars the incoming HTTP GET method variables
*/
function ProductController (&$model,$getvars=null) {
ProductView::ProductView($model);
$this->header();
switch ( $getvars['view'] ) {
case "product":
$this->productItem($getvars['id']);
break;
default:
if ( empty ($getvars['rownum']) ) {
$this->productTable();
} else {
$this->productTable($getvars['rownum']);
}
break;
}
$this->footer();
}
}
?>

注意这不是实现MVC的唯一方式——比如你可以用控制器实现模型同时整合视图。这只是演示模式的一种方法。

我们的index.php 文件看起来像这样：

<?php
require_once('lib/DataAccess.php');
require_once('lib/ProductModel.php');
require_once('lib/ProductView.php');
require_once('lib/ProductController.php');

$dao=& new DataAccess ('localhost','user','pass','dbname');
$productModel=& new ProductModel($dao);
$productController=& new ProductController($productModel,$_GET);
echo $productController->display();
?>

漂亮而简单。

我们有一些使用控制器的技巧，在PHP中你可以这样做：

$this->{$_GET['method']}($_GET['param']);

一个建议是你最好定义程序URL的名字空间形式（namespace），那样它会比较规范比如：

"index.php?

通过它我们可以这样处理我们的控制器：

$view=new $_GET['class'];
$view->{$_GET['method']($_GET['id']);

有时候，建立控制器是件很困难的事情，比如当你在开发速度和适应性之间权衡时。一个获得灵感的好去处是Apache group 的Java Struts，它的控制器完全是由XML文档定义的。 

PHP是不少在Web开发领域奋战的勇士们所选用的武器，因为它是一种很直观的编程语言，有强大的函数，良好的跨平台兼容性，还有它是免费的。从网上的小商店到大型企业的网站都能看到PHP的影子。

 
PHP有一点特性经常被人们忽视，那就是和XSL stylesheets合作对XML进行解析的能力。下面就让我们来看看怎样在PHP中设置一个XSL解析器以及你该如何使用这一功能。

例子
列表A是一个简单的订单文档，我们会将这个文档输入XSL解析器。同时，列表B中的XSL stylesheet也会被输入XSL解析器。

Listing A: order.xml

<?xml version="1.0" ?>
<Order>
  <Account>9900234</Account>
  <Item id="1">
    <SKU>1234</SKU>
    <PricePer>5.95</PricePer>
    <Quantity>100</Quantity>
    <Subtotal>595.00</Subtotal>
    <Description>Super Widget Clamp</Description>
  </Item>
  <Item id="2">
    <SKU>6234</SKU>
    <PricePer>22.00</PricePer>
    <Quantity>10</Quantity>
    <Subtotal>220.00</Subtotal>
    <Description>Mighty Foobar Flange</Description>
  </Item>
  <Item id="3">
    <SKU>9982</SKU>
    <PricePer>2.50</PricePer>
    <Quantity>1000</Quantity>
    <Subtotal>2500.00</Subtotal>
    <Description>Deluxe Doohickie</Description>
  </Item>
  <Item id="4">
    <SKU>3256</SKU>
    <PricePer>389.00</PricePer>
    <Quantity>1</Quantity>
    <Subtotal>389.00</Subtotal>
    <Description>Muckalucket Bucket</Description>
  </Item>
  <NumberItems>1111</NumberItems>
  <Total>3704.00</Total>
  <OrderDate>07/07/2002</OrderDate>
  <OrderNumber>8876</OrderNumber>
</Order>
Listing B: order.xsl

<?xml version="1.0"  ?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
  <xsl:param name="column" select="'SKU'"/>
 <xsl:param name="order" select="'ascending'"/>
  <xsl:template match="/">
    <html>
      <body>
        <xsl:apply-templates select="Order">
          <xsl:with-param name="sortcolumn" select="$column" />
          <xsl:with-param name="sortorder" select="$order" />
        </xsl:apply-templates>
      </body>
    </html>
  </xsl:template>

  <xsl:template match="Order">
    <xsl:param name="sortcolumn" />
    <xsl:param name="sortorder" />
    <table border="1">
      <tr>
        <th>Account</th>
        <th>SKU</th>
        <th>Description</th>
        <th>Price</th>
        <th>Quantity</th>
        <th>Subtotal</th>
      </tr>
      <xsl:apply-templates select="Item">
        <xsl:sort select="*[name()=$sortcolumn]"  order="{$sortorder}" />
      </xsl:apply-templates>
    </table>
  </xsl:template>

  <xsl:template match="Item">
    <tr>
      <td><xsl:value-of select="../Account" /></td>
      <td><xsl:value-of select="SKU" /></td>
      <td><xsl:value-of select="Description" /></td>
      <td><xsl:value-of select="PricePer" /></td>
      <td><xsl:value-of select="Quantity" /></td>
      <td><xsl:value-of select="Subtotal" /></td>
    </tr>
  </xsl:template>   
</xsl:stylesheet>
概述
在这个例子中我们主要用到PHP中的三个XSL函数。首先我们要创建一个XSL引擎的实例，然后把所有要输入的文档输入这个XSL引擎进行处理，并得到返回结果，最后，当我们再也不需要这个XSL引擎时就关闭它。

创建、处理、关闭
我们将要在内存中新建一个XSL进程。为了方便在其他XSL函数中使用这个XSL进程，PHP会给我们提供这个XSL进程的句柄，而不是一个对象。建立这个XSL引擎的命令是xslt_create。函数返回一个句柄，如下所示：

$handle = xslt_create();

为了真正的解析XML文档并使XSLT能够进行处理，你必须使用PHP中的xslt_process函数。这个函数需要获取几个不同的参数。

在这里我们使用一个很基本的方法，为xslt_process提供三个参数。第一个参数是我们较早前创建的那个XSL引擎的句柄。第二个参数是输入的XML文档的文件名。第三个参数是输入的XSL文件的文件名。这个函数会返回处理结果。下面是例子：

$return = xslt_process($handle, $xmlfile, $xslfile);

最后我们要用到的函数是xslt_free。这个函数用来杀掉内存中的XSL引擎实例并释放出内存空间。它只需要一个参数，就是内存中这个XSL实例的句柄。下面是个例子：

xslt_free($handle);

综合实现

下面让我们结合上面的各个代码片断实现PHP通过XSL stylesheets来处理XML文档的方法。我们使用列表A作为我们的输入XML文档，列表B作为我们XSL输入。列表C是这个例子的完整PHP代码：

Listing C: order.php

<?php
$xmlfile = "order.xml";
$xslfile = "order.xsl";
$args = array("column"=>"Quantity", "order"=>"descending");
$engine = xslt_create();
$output = xslt_process($engine, $xmlfile, $xslfile, NULL, NULL, $args);
print $output;
xslt_free($engine);
?>

这里需要注意一点，我们在代码中做了一点变动。在XSL stylesheet中，通过指定一些参数，我们可以改变一些区域，比如地址。这时我们要指定订单上的项目应该按数量递减方式排列。我们使用PHP的数组来存储名字对应我们的参数，然后通过xslt_process函数将名字传递给XSL引擎。

本文作者Brian Schaffner是富士通咨询公司的副主任。他为富士通的技术咨询公司提供架构、设计和开发支持。