最新改进&维护本文档最后一次于2013年3月8日审核。最后一次修改是在2013年3月8日。 这由我, Alex Cabal维护的。到现在我已经写了很长时间PHP代码了, 目前我运行Scribophile,为严肃作家提供的在线写作小组, Writerfolio, 为自由职业者提供的简单的在线写作文件夹, 和 Standard Ebooks, 有插画的出版物,无数字版权的公共领域电子图书 。 偶尔我会自由的去找那些让我感兴趣的项目和客户。 如果你认为我能够帮你些什么,或者有些关于本文的建议或勘误的话,那么写信给我。
介绍PHP是一门复杂的语言,让你长年承受内心的迂回,弯曲,拉伸和打击。它自相矛盾有时候充满bug。每个版本都有其独特的特性,缺点以及怪癖,而且你很难追踪什么版本有什么问题。不难想见为什么有时候它会招致那么多怨恨。 尽管如此,它是时下web中最流行的语言。由于它的悠久历史,你能找到许多教程,关于一些基本事情的做法,如密码哈希(一次性加密)和数据库访问。问题在于从五篇教程里,关于某件事情你很有可能找到五种完全不同的方法。哪个方法才是“正确”的方法呢?其它的方法有瑕疵或者意想不到的问题吗?确实很难弄清楚,而且你会在网络里到处点击,以试图确定正确的答案。 那也是为什么新的PHP程序员经常会为其丑陋,过时或不安全代码受到批评的原因之一。如果第一次Google搜索结果是一篇传授5年前方法的4年前的文章,他们就不能帮助这些有所改观。 这篇文章试图做这些工作。它尝试将一系列基本的操作提示汇集起来,这些可以被认为是PHP中处理普遍的令人困惑的难题时的最佳实践。如果PHP中一个低等级的任务具有多个和令人困惑的方法,它就属于这里。
它是什么它是在面对PHP程序员可能会遇到的普通的低级任务时,由于PHP提供了 许多选择而不容易了解到的,最佳途径的建议指导。例如:对许许多多可能的PHP解决方案,连接到数据库是一个普通的任务,但这些方案并不都是好的——因此,这个问题包含在这篇文章中。 它是一系列短小,引导式的解决方案。你应该行动起来将例子运行于基础的配置环境,而且你应该自己研究从中找到对自己有用的东西。 它指出了我们所理解的最先进的PHP。但是,这也意味着如果你正使用较老版本的PHP,可能你就没有实现这些方案所需要的一些特性。 这是一篇动态文件,随着PHP的继续演进,我将努力保持相应更新。
它不是什么?这篇文章不是PHP教程。你应该在别的地方学习基础和语法。 它不是普通web应用问题的指南,比如cookie存储,缓存,代码风格,文档等等。 它不是安全向导。当触及一些安全相关的问题时,你要自己研究怎么样才能对你的PHP应用加固。特别的,在着手实施以前,你应该仔细回顾一下这里给出的任何建议方案。你的代码责任在于你。 它不是某种代码风格,模式或者框架的拥护者。 它不是关于如何去做高等级任务,如用户注册,登录系统等等诸如此类任务的特定方法的支持者。这篇文章完全是为低等级任务,是因为PHP的长久历史,可能会令人困惑或者不甚清楚。 它不是终极意义的解决方案,也不是唯一的方案。下面描述的一些方法可能对你实际的情况不是最优的,而且有许多能达到同样目的的不同的方法。特别的,高负载的web应用可能会从更多的针对这些问题的秘密方案中获益。
我们使用的是哪个 PHP 版本?带有 Suhosin-补丁的PHP 5.3.10-1ubuntu3.6, 安装于 Ubuntu 12.04 LTS.PHP如同是网络世界的百年老龟。它的外壳上刻有一个丰富的,令人费解的,粗糙的历史。在一个共享主机的环境下,它的配置可能会限制你能做什么事情。 为了保留一丝明智,我们需要只专注于一个版本的PHP。截至2013年4月30,该版本是 带有Suhosin补丁的PHP5.3.10-1ubuntu3.6 。如果你使用apt-get从一个Ubuntu12.04 LTS服务器来安装PHP的话,你所得到的版本就是这个。换句话说,许多人在默认情况下已经很明智地使用了它。 您可能会发现本文这些解决方案能工作于不同或更旧版本的PHP。如果是这样的话,就要由你来研究在这些旧版本中的细微错误或安全问题的影响了。
保存密码使用 phpass 库计算密码的哈希值进行比较。用 phpass 0.3 进行的测试。 散列化是在把用户密码保存进数据库之前对其进行保护的标准方法。许多常见的散列算法,如MD5,乃至SHA1,用于存储密码都是不安全的,因为黑客可以使用这些散列算法轻松破解密码。 要散列化密码最安全的方法是使用bcrypt算法。开源的phpass 库用一个易于使用的类来提供这个功能。 例子:03 | require_once('phpass-0.3/PasswordHash.php'); |
06 | $hasher = new PasswordHash(8, false); |
09 | $hashedPassword = $hasher->HashPassword('my super cool password'); |
14 | $hasher->CheckPassword('the wrong password', $hashedPassword); |
16 | $hasher->CheckPassword('my super cool password', $hashedPassword); |
陷阱- 很多来源会建议你在计算密码的哈希值之前先给密码加点“作料”。这是个好主意,phpass已经利用HashPassword() 函数中的一部分代码来为你给密码加了作料。 这就意味着你并不需要自己再亲自做这个了。
进一步阅读连接到并查询MySQL数据库使用 PDO和它预定义的语句功能.在PHP中有很多方法连接到一个MySQL数据库。 PDO (PHP Data Objects) 是其中最新最健壮的。对于许多不同类型的数据库,PDO都使用一致性的接口,采用面向对象的方式,并支持较新的数据库的提供的更多特性。 您应该使用PDO预定义语句的功能,以帮助防止SQL注入攻击。使用 bindValue() 函数确保你的SQL对于第一阶的SQL注入攻击是安全的(但这不是100%万无一失的,参考 进一步阅读 获得更详细说明)。在过去,这只能用一些“魔术引号”函数的复杂结合来实现。PDO使所有这些黏糊糊的东西变得不再必要了。
示例09 | $link = new \PDO( 'mysql:host=your-hostname;dbname=your-db', |
13 | \PDO::ATTR_ERRMODE => \PDO::ERRMODE_EXCEPTION, |
14 | \PDO::ATTR_PERSISTENT => false, |
15 | \PDO::MYSQL_ATTR_INIT_COMMAND => 'set names utf8mb4' |
19 | $handle= $link->prepare('select Username from Users where UserId = ? or Username = ? limit ?'); |
24 | $handle->bindValue(1, 100, PDO::PARAM_INT); |
25 | $handle->bindValue(2, 'Bilbo Baggins'); |
26 | $handle->bindValue(3, 5, PDO::PARAM_INT); |
33 | $result = $handle->fetchAll(\PDO::FETCH_OBJ); |
35 | foreach($result as $row){ |
36 | print($row->Username); |
39 | catch(\PDOException $ex){ |
40 | print($ex->getMessage()); |
| 
