本文目录一览:
- 1、PHP7的优缺点及从当前版本升级到PHP7都遇见了哪些坑
- 2、如何避免ThinkPHP的两个坑
- 3、PHP软件开发程序拓展的五大方法?
- 4、找一个拒绝学php的理由?
- 5、在电商网站开发中有哪些常见漏洞
- 6、php程序是必修写在中吗,为什么很多的只有就结束了,这是个错误吗
PHP7的优缺点及从当前版本升级到PHP7都遇见了哪些坑
php7主要就是优化了底层数据结构,大幅提高了性能。目前升级没遇到什么坑建议果断升级,机器数量至少节约一半
如何避免ThinkPHP的两个坑
public function createProblems(){
$problems = I('json.');
if (empty($problems)) {
$this-error($problems, 'json格式不符合规范');
}
foreach ($problems as $problem) {
$data = D('Problem')-create($problem, self::OP_INSERT);
if (!$data) {
$this-error($problem, D('Problem')-getError());
}
$temp[] = $data;
}
$ret = D('Problem', 'Service')-addProblems($temp);
if ($ret === false) {
$this-error(null, '导入失败');
}
$this-success(null);
}
接口完成的功能是批量创建问题,参数为json数组,addProblem()方法中就是一个addAll操作。
第一个坑-自动填充
使用自动填充可能会覆盖表单提交项目。其目的是为了防止表单非法提交字段。使用Model类的create方法创建数据对象的时候会自动进行表单数据处理。
官方文档明确说了自动填充会覆盖表单,所以即使你post过来的参数中给出了具体数值,使用create方法之后也可能会被覆盖。千万注意!!!
第二个坑-addAll方法
addAll方法中不能出现null值,否则其他数据会自动向前移动,导致添加失败。举例:
[
{
"appId": 1,
"serviceId": 2,
"createUser":null,
"status": 1,
"priority": 2
}
]
其中,createUser字段为null,插入时的sql语句会变成insert into va_problem (appId, serviceId, createUser, status, priority)values (1, 2, 1, 2)。null值没了,导致插入失败,这应该是ThinkPHP3.2.3的一个bug。这篇博客有相关的讨论。
引入坑的过程
problemModel里面有对createUser做自动填充。
通过api创建问题时,首先自动填充会覆盖,所以表单中的createUser值失效,这是第一个坑。然后,由于自动填充createUser调用的是get_username()函数,通过api调用时,session(username)取不到值,所以create之后字段变成"createUser":null,引入了第二个坑。
PHP软件开发程序拓展的五大方法?
相信大多数程序员都有过对程序进行拓展的一些操作了,但是对于新手工程师来说这还是比较难的一个技术。今天,云南java培训就通过案例分析来了解和学习一下,PHP编程拓展的方法都有哪些。
1.使用PHP的APC特性。APC——AlternativePHPCache,虽然官方称为“可选PHP缓存”,但是称为“另一个PHP缓存也不为过”,因为它可以切实的提升网站的性能。
2.把所有不是.php的请求都分配给CDN(内容分发网络),不要使用你的服务器处理静态文件。他们使用S3来存储所有,并使用CloudFront作为他们的CDN。近CloudFront出现的一些问题迫使他们不得不直接使用S3服务。
3.切勿将PHP代码里的链接指向其它的服务器。比如数据库以及memcache服务器,除非是强制性的或者是没有其它方法实现你的目的。在执行流中让链接指向其它服务器是非常没有效率的:可能会使服务器受到限制,从而降低处理的速度。使用APC键/值存储来储存数据,并使用Barnish来缓存整个页面。
4.使用Varnish。一般情况下,站点上的所有网页都不会改变或者是不会做大型的改动。Varnish就对于网络服务器缓存有着Memcache/ModRewrite的作用。同样在压力测试中,使用前后的性能差异很大。
5.使用更大的服务器实例,比如c1.xlarge有8个核心可以应对负载,而m1.medium只有一个核心可以处理请求。
可以使用GoogleAnalytics来分析每个用户在每个页面上花费的时间。收集这些信息,使用Siege来运行压力测试,从而不断的熟悉自己业务的负载类型,以便更好的提升程序的扩展性。
找一个拒绝学php的理由?
语法设计不合理
这个诚然有历史原因,但确实是不合理。
命名空间用(\)分隔,简直丧心病狂;对象成员用(-)访问,略显繁琐
函数名不区分大小写,老版本的类名也不区分大小写,而变量名却区分大小写
数组的写法繁琐(array()),直到 5.4 才有简写语法([])
这样function test_array(array $input_array), 可以限制参数的类型,适用于类和数组,却不适用于 int 和 string
unset, echo, empty, list 长得像函数,却不是函数
直到 5.4 才支持 func()[0] 这种写法
大部分内部函数默认不会抛出异常,导致 PHP 中存在两套独立的错误处理机制
很多被弃用的功能仍被广泛使用,新的功能被普及得很慢
这个是使用者的事情,但情况就是如此。
在开源软件中更为突出,比如 WordPress 为了尽可能兼容旧的 PHP 版本,没法用上例如匿名函数(5.3), 数组简写语法(5.4) 这种能够大幅改善代码可读性的功能。
下面是一些被弃用的功能,这些功能大多是设计上存在失误,后来因为可能导致潜在的问题被弃用,但因为网络上互相转载的一些不靠谱教程,所以很多人依然在使用。
__autoload
mysql_* 系列函数
Register Globals
Magic Quotes
Safe Mode
缺少好用的包管理器和依赖管理方案
PHP 和 Python, Ruby, Node.js 在使用领域上是有一定重叠的,我们来比较一下包的数量:
虽然包的数量不代表质量,但是代表了人们是否愿意发布和使用包。
Composer 在 PHP 中的普及率恐怕不及上面其他三款包管理器,比如作为最火的博客程序 WordPress, 和国内的 Typecho 都没有使用 Composer, 而是直接在源代码中包含所有依赖。
PHP Composer: 46k
Python PyPI: 53k
Ruby Gems: 94k
Node.js NPM: 116k
必须为每个请求创建一个单独的进程
PHP 必须为每个请求创建一个进程(或线程),这导致在高并发的情况下会占用大量内存。
在 PHP 中很难创建一个资源,并让它可以在全局范围内,可以被所有请求访问到,只能通过外部的数据库或缓存来实现。亦没有办法定义一项任务,独立于其他请求运行,只能通过单独的任务队列来解决。虽然这两个问题并不严重,但无法轻量级地维护全局的状态,算是一个缺憾。
PHP 是为 Web 优化的编程语言
现在大多数 Web 程序,往往都是 MVC 架构,在这种架构下,具有额外语法糖的 PHP 并不会比通用编程语言更好用。
相反的方面,虽然 PHP 可以用于 Web 之外的场景,但坑实在是多。例如缺少好用的异步流程控制的方案等。
可以直接用 $_GET 和 $_POST 访问来自客户端的 GET 和 POST 数据
可以用 ?php ? 的方式嵌入到 HTML 文件中
在电商网站开发中有哪些常见漏洞
一、常见PHP网站安全漏洞
对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。
1、session文件漏洞
Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。
2、SQL注入漏洞
在进行网站开发的时候,程序员由于对用户输人数据缺乏全面判断或者过滤不严导致服务器执行一些恶意信息,比如用户信息查询等。黑客可以根据恶意程序返回的结果获取相应的信息。这就是月行胃的SQL注入漏洞。
3、脚本执行漏洞
脚本执行漏洞常见的原因是由于程序员在开发网站时对用户提交的URL参数过滤较少引起的,用户提交的URL可能包含恶意代码导致跨站脚本攻击。脚本执行漏洞在以前的PHP网站中经常存在,但是随着PHP版本的升级,这些间题已经减少或者不存在了。
4、全局变量漏洞
PHP中的变量在使用的时候不像其他开发语言那样需要事先声明,PHP中的变量可以不经声明就直接使用,使用的时候系统自动创建,而且也不需要对变 量类型进行说明,系统会自动根据上下文环境自动确定变量类型。这种方式可以大大减少程序员编程中出错的概率,使用起来非常的方便。
5、文件漏洞
文件漏洞通常是由于网站开发者在进行网站设计时对外部提供的数据缺乏充分的过滤导致黑客利用其中的漏洞在Web进程上执行相应的命令。
二、PHP常见漏洞的防范措施
1、对于Session漏洞的防范
从前面的分析可以知道,Session攻击最常见的就是会话劫持,也就是黑客通过各种攻击手段获取用户的Session ID,然后利用被攻击用户的身份来登录相应网站。为此,这里可以用以下几种方法进行防范:一是定期更换Session ID,更换Session ID可以用PHP自带函数来实现;二是更换Session名称,通常情况下Session的默认名称是PHPSESSID,这个变量一般是在cookie中保存的,如果更改了它的名称,就可以阻档黑客的部分攻击;三是对透明化的Session ID进行关闭处理,所谓透明化也就是指在http请求没有使用cookies来制定Session id时,Sessioin id使用链接来传递.关闭透明化Session ID可以通过操作PHP.ini文件来实现;四是通过URL传递隐藏参数,这样可以确保即使黑客获取了session数据,但是由于相关参数是隐藏的,它也很难获得Session ID变量值。
2、对SQL注入漏洞的防范
黑客进行SQL注入手段很多,而且灵活多变,但是SQL注人的共同点就是利用输入过滤漏洞。因此,要想从根本上防止SQL注入,根本解决措施就是加强对请求命令尤其是查询请求命令的过滤。具体来说,包括以下几点:一是把过滤性语句进行参数化处理,也就是通过参数化语句实现用户信息的输入而不是直接把用户输入嵌入到语句中。二是在网站开发的时候尽可能少用解释性程序,黑客经常通过这种手段来执行非法命令;三是在网站开发时尽可能避免网站出现bug,否则黑客可能利用这些信息来攻击网站;仅仅通过防御SQL注入还是不够的,另外还要经常使用专业的漏洞扫描工具对网站进行漏洞扫描。
3、对脚本执行漏洞的防范
黑客利用脚本执行漏洞进行攻击的手段是多种多样的,而且是灵活多变的,对此,必须要采用多种防范方法综合的手段,才能有效防止黑客对脚本执行漏洞进行攻击。这里常用的方法方法有以下四种。一是对可执行文件的路径进行预先设定。
4、对全局变量漏洞防范
对于PHP全局变量的漏洞问题,以前的PHP版本存在这样的问题,但是随着PHP版本升级到5.5以后,可以通过对php.ini的设置来实现,设置ruquest_order为GPC。另外在php.ini配置文件中,可以通过对Magic_quotes_runtime进行布尔值设置是否对外部引人的数据中的溢出字符加反斜线。为了确保网站程序在服务器的任何设置状态下都能运行。
5、对文件漏洞的防范
对于PHP文件漏桐可以通过对服务器进行设置和配置来达到防范目的。这里具体的操作如下:一是把PHP代码中的错误提示关闭,这样可以避免黑客通过错误提示获取数据库信息和网页文件物理路径;二是对open_basedir尽心设置,也就是对目录外的文件操作进行禁止处理;这样可以对本地文件或者远程文件起到保护作用,防止它们被攻击,这里还要注意防范Session文件和上载文件的攻击;三是把safe-made设置为开启状态,从而对将要执行的命令进行规范,通过禁止文件上传,可以有效的提高PHP网站的安全系数。
php程序是必修写在中吗,为什么很多的只有就结束了,这是个错误吗
您好:
首先,如果是PHP和HTML混排的时候,PHP代码默认必须写在?php ?之间。
比如:h1?php echo $title; ?/h1;
其次,如果一个PHP文件中全部都是PHP代码,可以不写结束符号,只写开始就行。
Zend的编码规范中也提到了这一点,大意是:只含有PHP代码的文件是不允许有 ? 结束符号的,是为了防止有意外的结尾输出(比如空格,换行),导致程序出现意外响应。
一般这种意外多发生在文件包含。
