精品亚洲一区二区,国产亚洲精久久久久久无码77777 国产亚洲精品成人AA片新蒲金 ,亚洲专区一路线二

Php安全

my — Wed, 13 Jun 2007 09:58:00 GMT

对于脚本安全�q�个话题好像永远没完没了�Q�如果你�l�常到国外的各种各样的bugtraq上，你会发现有一半以上都和脚本相�?诸如SQL injection,XSS,Path Disclosure,Remote commands execution�q�样的字眼比比皆是，我们看了之后的用途难道仅仅是抓肉鸡？对于我们惛_��web安全的�h来说�Q�最好就是拿来学习，可是万物抓根源，我们要的不是��D��是渔。在国内�Q�各�U�各��L��php�E�序1.0�?2.0版像雨后春笋一��L��冒出来，可是�Q�大家关注的都是一些著名的cms,论坛,blog�E�序�Q�很��的人在寚w��些不出名的程序做安全��，对于��来��多的php�E�序员和站长来说�Q�除了依靠服务器的堡垒设�|�外�Q�php�E�序本��n的安全多��你��d��懂点吧�?
有�h说你们做php安全无非��是搞搞注入和跨站什么什么的�Q�大错特错，如果�q�样的话�Q�一个magic_quotes_gpc或者服务器里的一些安全设�|�就让我们全没活路了�Q�（。我今天要说的不是注入，不是跨站�Q�而是存在于php�E�序中的一些安全细节问题。OK!切入正题�?
注意一些函数的�q��o
有些函数在程序中是经�怋�用的,像include(),require(),fopen(),fwrite(),readfile(),unlink(),eval()以及它们的变体函数等�{�。这些函数都很实用，实用�q�不代表让你多省心，你还得�ؓ它们多费点心�?�Q�）
1.include(),require()和fopen(),include_once(),require_once()�q�些都可以远�E�调用文�Ӟ��对于它们的危宻I��google搜一下你��׃��很明了，对于所包含调用的变量没�q��o好，��可以�Q意包含文件从而去执行。�D个例子，看print.php
...
if (empty ($bn) ) { //��查是变量$bn是否为空
include ("$cfg_dir/site_${site}.php"); //�?cfg_dir�q�个路径里的site_${site}.php包含�q�来
...
不管存不存在$cfg_dir目录�Q?site�q�个变量你可以很自然的去使用�Q�因��Z��Ҏ��没检�?site变量啊。可以把变量$site指定�q�程文�g去调用，也可以是本地的一个文�Ӟ��你所指定的文仉��写上php的语句，然后它就��d��含执行这个含有php语句的文件了.��像�q�样
列出文�g目录
甚至可以扩展到包含一些管理员文�g�Q�提升权限，典型的像以前phpwind,bo-blog的漏�z�一栗��除了依靠php.ini里的allow_url_fopen设�ؓoff��止�q�程使用文�g和open_base_dir��止使用目录以外的文件外�Q�你�q�得事先声明好只能包含哪些文�Ӟ��q�里��׃��多说废话了�?
2.fopen(),file(),readfile(),openfile(),�{�也是该特别留意的地斏V��函数本�w��ƈ没什�?它们的作用是��L��开文�g�Q�可是如果对变量�q��o不彻底的话，��׃��泄露源代码。这��L��函数文本论坛里会有很多�?
...
$articlearray=openfile("$dbpath/$fid/$tid.php"); //打开$dbpath/$fid�q�个路径�?tid.php文�g
$topic_detail=explode("|",$articlearray[0]); //用分割符|��d��帖子的内�?
...
很眼熟吧�Q�这是ofstar以前版本的read.php,$fid�?tid没有��M��q��o�Q?tid指定为某个文件提交，��发生了原代码泄霌Ӏ�就像这栗��?
http://explame.com/ofstar/read.php?fid=123&tid=../index
$tid会被加上php的后�~��Q�所以直接写index。这仅仅是个例子�Q�接着看吧�?
3.fwrite()和它的变体函数这�U�漏�z�想想都惛_��出，对于用户提交的字�W�没�q��o的话�Q�写入一�D�php后门又不是不可以�?
4.unlink()函数�Q�前�D�|��_��phpwind里�Q意删除文件就是利用这个函敎ͼ�对于判断是否删除的变量没�q��o�Q�变量可以指定�ؓ��L��文�g�Q�当然就可以删除��L��文�g的变量�?
5.eval(),preg_replace()函数�Q�它们的作用是执行php代码�Q�如果字�W�串没被�l�过��M��q��o的话�Q�会发生什么呢�Q�我��常看见一些cms里面使用�Q�想惻I��一句话的php木马不就是根据eval()原理制作的吗�Q?
6.对于system()�q�些�pȝ��函数�Q�你会说在php.ini里禁止系�l�函敎ͼ�对，�q�也是好办法�Q�可是象一些程序里需要，那是不是��׃��用了呢？��像上次我看到的一套很漂亮的php相册一栗��另外对于popen(),proc_open(),proc_close()函数你也得特别注意，��管他们执行命��o后�ƈ没有直接的输出，但你惌��到底寚w��客们有没有用呢。再�q�里php提供提供了两个函敎ͼ�escapeshellarg(),escapeshellcmd(),�q�两个函数用来对抗系�l�函数的调用��d��Q�也��是�q��o�?
对于危害�Q�来举个例子�Q�我们来看某论坛prod.php
07 $doubleApp = isset($argv[1]); //初始化变�?doubleApp
...
14 if( $doubleApp ) //if语句
15 {
16 $appDir = $argv[1]; //初始�?appDir
17 system("mkdir $prodDir/$appDir"); //使用�pȝ��函数system来创建目�?prodDir/$appDir

本来是拿来创�?prodDir/$appDir目录的，再接着看上去，�E�序仅仅��是否存�?argv[1]�Q�缺��对$argv[1]的必要过滤，那么你就可以�q�样
/prod.php?argv[1]=|ls%20-la或�?prod.php?argv[1]=|cat%20/etc/passwd
�Q�分割符 | 在这里是UNIX的管道参敎ͼ�可以执行多条命��o。）
到这里，常见的漏�z�类型应该知道点了吧�?

对于�Ҏ��字符的重�?
对于�Ҏ��字符�Q�有句话叫All puts is invalid.外国人文章里�q�句话很常见的。所有输入都是有害的。你永远不要对用��h��输入的东西省心，��Z��对付�q�些危害�Q�程序员都在忙着�q��o大把大把的字�W�，唯恐漏了什么。而有些程序员呢？好像从没注意�q�这些问题，从来都是敞开漏洞大门的。不说废话，�q�是先看看下面这些东西吧�?
1.其实�E�序的漏�z�里最关键�Q�最让开发者放心不下的��是带着$�W�号的美元符��P��变量�Q�对于找漏洞的�h来说�Q�抓着变量两个字就是一切。就像目录遍历这个bug�Q�很多邮件程序都存在�Q�开发者考虑的很周全�Q�有的甚臛_��上了�|�络��盘�q�个东西�Q�好是好�Q�就�?
http://mail.com/file.php?id=1&put=list&tid=1&file=./
要是我们把file�q�个变量换成./../甚至更上层呢�Q�目录就�q�样被遍历了�?
2.��括�?<>"跨站你不会不知道吧，一些搜索栏里，文章�Q�留�a��Q�像前段旉��phpwind附�g那里的跨站等�{�。当�Ӟ��对于跨站问题�Q�你要过滤的�q�远不止��括受��不怕过滤时漏掉什么，而是怕你想不赯��去过滤�?
3.斜杆和反斜杆�Q�对�?和\的过滤，记得��力论坛的附件下载处的原代码泄露吗？
attachment.php?id=684&u=3096&extension=gif&attach=.\..\..\..\..\..\..\includes\config.php&filename=1.gif
对于�q��o.. / \的问题，像windows��L��不仅要过�?./�q�要�q��o..\,windows��L��对\会解析�ؓ/,�q�些�l�节跟SQL injection比�v来，什么才叫深入呢�Q?
4.对于反引�?``),反引号在php中很强大�Q�它可以执行�pȝ��命��o�Q�就像system()�q�些�pȝ��函数一��P��如果用户的恶意语句被它所执行的话��׃��危害服务器，我想除了服务器设�|�的很好以外�Q�对于它们，你还是老老实实的�q��o好吧�?
5.对于换行�W?NULL字符�{�等�Q�像"\t,\x0B,\n,\r,\0�q�些�Q�这些都是很有用的，像动�|�以前的上传漏洞��是因�ؓ上传中的NULL(\0)字符引�v的，对于�q�些能随意截断程序流�E�的字符�Q�你说我们在��的时候应该有多细心呢�Q?
6.分号(;)和分割符(|)
分号截断�E�序��程�Q�就像这�?
shell_exec("del ./yourpath/$file"); //使用�pȝ��函数shell_exec删除文�g$file
变量$file没指定，那么直接写zizzy.php;del ./yourpath ,�q�样你的yourpath目录也就被del了�?
分割�W?|)是UNIX里自带的��道函数�Q�可以连接几条命令来执行。有时候加在过滤不严的�pȝ��函数中执行�?

逻辑错误
验证不完全和一些逻辑错误在程序里也很�Ҏ��扑ֈ��Q�特别是现在的程序员�Q�只��深入的学习�Q�而对于逻辑错误�{�等�q�样的安全意识都没有培养的意识，其实�q�是是靠自己��d��养，而不是等着人来报告bug�l�你。对于逻辑错误的判断，我们只能��_��多练�l�吧�Q�经验才是最重要的�?
1.对于登陆验证的问题。�D个例子：我们看某论坛的admin.php片断
它这里username �?password好像不对劲吧�Q�存在管理员的username和password��q��接通过验证�Q�那��意味着没有用户名，没密码也行吧。我们提�?
GET /bbs/admin/index.php?page=general HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)
Host: 127.0.0.1
Connection: Keep-Alive
Cookie: username=’or isnull(1/0) AND level=3/*; password=;

�q�是我们伪造的一个数据包(你问我咋伪造地�Q�抓包再修改�?,我们使用GET来提交数据，原理也就是在cookie�q�里构造欺骗语句�?
接着�Q�整个SQL语句��成�q�样
SELECT * FROM users WHERE username=’’or isnull(1/0) AND level=3/*’ AND password=’’
�q�里仅仅用一�?#8217;or’=’or’的原理，��把username和password的检��给�l�开了，而level=3则是伪造的�{��。从而就饶过了检��，�q�入了管理后台�?
对于后台的验证不能这么马虎，两行代码��q��完事�Q�你�q�得从SESSION(会话),Cookie�q�些地方来增强验证�?
2.上传漏洞
有次我看到在一个程序config.php里对上传文�g�c�d��限制是这��L��
$IllegalExtentions = array(’exe’,’asp’,’php’,’php3’,’bat’,’cgi’,’pl’,’com’,’vbs’,’reg’,’pcd’,’pif’,’scr’,’bas’,’inf’,’vb’,’vbe’,’wsc’,’wsf’,’wsh’); //对于上传文�g的限�Ӟ��只允�怸�传exe,asp,php,php3,bat,cgi,pl,com,vbs,reg,pcd,pif,scr,bas,inf,vb,vbe,wsc,wsf,ws’�q�些文�g�?

规定不许用户上传什么什么文�Ӟ��其它都可以上传，�q�种逻辑好不好呢�Q�如果我上传.inc, ,.php4 .phtml, .html, .pwml �q�样的类型呢�Q��ؓ什么你不把�q�种逻辑思维改�ؓ规定用户除了�q�几�U�文件能传，其它的统�l�不允许上传。就像这��P��数组�Ҏ��逆向的思维�?
$IllegalExtentions = array(’rar’,’gif’,’jpg’,’bmp’,’pdf’�Q?/只能上传rar,gif,jpg,bmp,pdf几种格式
其实�q�个跟你们上传cer,asa是一个道理�?
3.典型的逻辑错误
在一些cms�Q�整站程序）中随便注册个用户�Q�你会发��C��改资料的地方不要求输入原来的密码�Q�只通过判断用户id或者email�Q�你把网��保存到本地�Q�把id或email�Ҏ��理员的�Q�action 改�ؓ修改提交地址�Q�提交你��成了管理员。解军_��法不太难�Q�只要我们增加密码验证，增强那个mysql的update语句的过滤也��ok了�?
�q�些我们也没办法�Q�多数程序员对于安全�Ҏ��不去在意�Q�本来一个�h可以��d��的事�Q��ؓ什么偏偏要分出搞web安全的和web开发两�U��h呢？
长度问题
别以为找漏洞的就是�ؓ了拿个管理员密码或者webshell,也有些不安分的�h�Q�也��是DDOSer(拒绝服务��d��?,他们的花样很多，但对于程序员来说�Q�关键就在过滤。我所说的长度问题�Q�不仅仅是个字符的长度，也包括时间的长度�Q�你一定见�q�有人写个脚本，一下就注册成千上万的用��P��或者纯�_�的写垃圾数据把数据库拖歅R��这个时候，限制数据提交旉��和验证码��p�v作用了。不�q�要真的遇到狠毒的�h�Q�一个变量的�q��o问题��可以把�|�站搞瘫痪，�q�比用什么网�l�僵��R��些��Y件来得更快�?
不大不小的问�?
1.�l�对路径的泄�?
�q�个问题可真是不大不��，很多�E�序都有�Q�这也算安全的一部分。至��你玩注入loadfile()需要吧。当�Ӟ��q�时的php.ini中的display_errors也可以�v作用了�?
2.对后台的验证
不要说不信，我就曄��C��些程序这��P��你去��试�Q�注册个用户�Q�提交管理员�~�辑用户的URL,比如admin_member.php?action=edit&id=55&level=4&username=zizzy&power=1�q�样相应的添加管理员的URL,你会发现几乎没验证，直接成功了。所以，对于后台的检��，也很有必要，��像刚出的Discuz的那个漏�z��?

�q��o问题不知不觉��p��了那么多�Q�写了好多处该过滤的提醒�Q�现在也该说说了如何�q�行�q��o�?
1.在用戯��入�Q何数据，也就是提交变量进数据库时�Q�我们必��M��用addslashes()�q�行�q��o�Q�像我们的注入问题，一个addslashes()也就搞定了。其实在涉及到变量取值时�Q�intval()函数对字�W�串的过滤也是个不错的选择�?
2.在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变�ؓ斜杠。magic_quotes_runtime对于�q�出数据库的数据可以起到格式话的作用。其实，早在以前注入很疯狂时�Q�这个参数就很流行了�?
3.在��用系�l�函数时�Q�必��M��用escapeshellarg(),escapeshellcmd()参数去过滤，�q�样你也��可以放心的使用�pȝ��函数�?
4.对于跨站�Q�strip_tags(),htmlspecialchars()两个参数都不错，对于用户提交的的带有html和php的标记都��进行�{换。比如尖括号"<"��将转化�?"<"�q�样无害的字�W��?
5.对于相关函数的过滤，��像先前的include(),unlink,fopen()�{�等�Q�只要你把你所要执行操作的变量指定好或者对相关字符�q��o严密�Q�我惌��样也��无懈可��M��?

服务器安全设�|?

谈服务器安全讄��Q�我觉得很不实际的，我们大多��C�h都用虚拟��L��Q�对于php.ini怎么设，那个只有�|�管自己看着办了。不�q�我�q�是说下�Q?
1.讄��“safe_mode”�?#8220;on”
�q�对于广大空间商来说是一个伟大的选项�Q�它能极大地改进PHP的安全性�?
2.��止“open_basedir” �Q�这个选项可以��止指定目录之外的文件操作，�q�能有效地消除本地文件或者是�q�程文�g被include()�{�函数的调用��d��?
3.expose_php设�ؓoff ,�q�样php不会在http文�g头中泄露信息.
4.讄��“allow_url_fopen”�?#8220;off” �q�个选项可以��止�q�程文�g功能�Q�极力推�?
5“log_errors”�?#8220;on” 错误日至得带上吧
6..对于“display_errors�Q�register_globals”两项要视情况而定了，display_errors太消极了�Q�错误全养I��惌��试脚本都不行。至于register_globals(全局变量)把它开��h��Q�关了会很麻烦，现在大多数程序没它支持就别想用了�?
�q�些是最必要的设�|�。关于php服务器更高的安全讄��是门学问�Q�也��׃��在本文探讨范围内了�?

�q�篇文章到这里就要结束了�Q�也�怽�会说�Q�你说的�q�些都是对开源的�E�序才有用，寚w��些zend加密的程序不��没办法可��了吗�Q�其实，对安全来��_��固其�Ҏ��才是重要的吧�Q�你再怎么加密��N��逃得�q�黑盒测试？��L��一天会被发现的吧�?
限于��幅也就到这里了,我们对于php�E�序安全也有了初步的探烦。�ؓ�q�大读者朋友考虑�Q��D的例子也��是很容易去理解圎ͼ�当然前提是你得会点php�Q�要不然又是看天书了(哇，不要看到�q�里才问我啥是php?)。整��文章�ƈ不是黑客教学�Q�而是为那些想在php安全上发展的初学者和php�E�序员写的。如果以后你又听到谁谁又发现什么漏�z�了�Q�再怎么变也��是那些基本的东西而已。我希望本文能�ؓ你们开阔下思�\�Q�更好的发展下去。嗜酒成痴剑亦狂�Q�重燃你的php安全之火�Q�带着对php的执着上�\吧�?/p>

PHP.ini的安全设�|?br>谈服务器安全讄��Q�我觉得很不实际的，我们大多��C�h都用虚拟��L��Q�对于php.ini怎么设，那个只有�|�管自己看着办了。不�q�我�q�是说下�Q?
1.讄��“safe_mode”�?#8220;on”
�q�对于广大空间商来说是一个伟大的选项�Q�它能极大地改进PHP的安全性�?br>2.��止“open_basedir” �Q�这个选项可以��止指定目录之外的文件操作，�q�能有效地消除本地文件或者是�q�程文�g被include()�{�函数的调用��d��?nbsp;
3.expose_php设�ؓoff ,�q�样php不会在http文�g头中泄露信息.
4.讄��“allow_url_fopen”�?#8220;off” �q�个选项可以��止�q�程文�g功能�Q�极力推�?
5“log_errors”�?#8220;on” 错误日至得带上吧
6..对于“display_errors�Q�register_globals”两项要视情况而定了，display_errors太消极了�Q�错误全养I��惌��试脚本都不行。至于register_globals(全局变量)把它开��h��Q�关了会很麻烦，现在大多数程序没它支持就别想用了�?br>�q�些是最必要的设�|�。关于php服务器更高的安全讄��是门学问�Q�也��׃��在本文探讨范围内了�?/h4>

my 2007-06-13 17:58 发表评论

php导出Excel文本

my — Tue, 16 Jan 2007 11:13:00 GMT

//header("Content-type:application/vnd.ms-excel");
//header("Content-Disposition:filename=test.xls");

$file_type = "vnd.ms-excel";
$file_ending = "xls";

header("Content-Type: application/$file_type");
header("Content-Disposition: attachment; filename=mydowns.$file_ending");
//header("Pragma: no-cache");
header("Expires: 0");

echo "test11\t";
echo "test12\t";
echo "33\t";
echo "test14\t\n";
echo "test21\t";
echo "test22\t";
echo "33\t";
echo "test24\t\n";
echo "test31\t";
echo "test32\t";
echo "33\t";
echo "test34\t\n";
?>
讉K��该php后，会提�C�Z��载，选择保存后，会保存一个名为mydowns.xls的文�Ӟ��可以用excel打开该文件�?br />

my 2007-01-16 19:13 发表评论

php.ini中文解释

my — Fri, 17 Nov 2006 02:51:00 GMT

[PHP]
; PHP�q�是一个不断发展的工具�Q�其功能�q�在不断地删�?
; 而php.ini的设�|�更改可以反映出相当的变化，
; 在��用新的PHP版本前，研究一下php.ini会有好处�?
;;;;;;;;;;;;;;;;;;;
; 关于�q�个文�g ;
;;;;;;;;;;;;;;;;;;;
; �q�个文�g控制了PHP许多斚w��的观�?��Z��让PHP��d��q�个文�g�Q�它必须被命名�ؓ
; 'php.ini'.PHP ��在�q�些地方依次查找该文�Ӟ��当前工作目录�Q�环境变量PHPRC
; 指明的�\径；�~�译时指定的路径.
; 在windows下，�~�译时的路径是Windows安装目录.
; 在命令行模式下，php.ini的查找�\径可以用 -c 参数替代.
; 该文件的语法非常��?�I�白字符和用分号';'开始的行被��单地忽略�Q�就象你可能
; 猜到的一��P��. 章节标题�Q�例�?: [Foo]�Q�也被简单地忽略�Q�即使将来它们可�?
; 有某�U�的意义.
;
; 指示被指定��用如下语法：
; 指示标识�W?= �?
; directive = value
; 指示标识�W?�?*大小写敏感的* - foo=bar 不同�?FOO = bar.
;
; 值可以是一个字�W�串�Q�一个数字，一�?PHP 帔R�� (如： E_ALL or M_PI), INI 帔R��中的
; 一�?(On, Off, True, False, Yes, No and None) �Q�或是一个表辑ּ�
; (�? E_ALL & ~E_NOTICE), 或是用引��h��h��的字�W�串("foo").
;
; INI 文�g的表辑ּ�被限制于位运��符和括�?
; | bitwise OR
; & bitwise AND
; ~ bitwise NOT
; ! boolean NOT
;
; 布尔标志可用 1, On, True or Yes �q�些值置于开的状�?
; 它们可用 0, Off, False or No �q�些值置于关的状�?
;
; 一个空字符串可以用在等号后不写��M��东西表示�Q�或者用 None 关键�?
;
; foo = ; ��foo�|��ؓ�I�字�W�串
; foo = none ; ��foo�|��ؓ�I�字�W�串
; foo = "none" ; ��foo�|��ؓ字符�?none'
;
; 如果你��D��|�中使用帔R��Q�而这些常量属于动态调入的扩展库（不是 PHP 的扩展，��是
; Zend 的扩展）�Q�你仅可以调入这些扩展的�?之后*使用�q�些帔R��.
;
; 所有在 php.ini-dist 文�g里设定的��g��内徏的默认值相同（�q�是��_��如果 php.ini
; 没被使用或者你删掉了这些行�Q�默认��g��之相同）.
;;;;;;;;;;;;;;;;;;;;
; 语言选项 ;
;;;;;;;;;;;;;;;;;;;;
engine = On
; �?PHP scripting language engine�Q�PHP 脚本语言引擎�Q�在 Apache下有�?
short_open_tag = On
; 允许 tags ��被识别.
asp_tags = Off
; 允许ASP-style <% %> tags
precision = 14
; ��点�c�d��数显�C�时的有效位�?
y2k_compliance = Off
; 是否打开 2000�q�适应 (可能在非Y2K适应的浏览器中导致问�?
output_buffering = Off
; 输出�~�存允许你甚臛_��输出正文内容之后发�?header�Q�标��_��包括cookies�Q�行
; 其代��h��输出层减慢一点点速度.你可以��用输出缓存在�q�行时打开输出�~�存�Q?
; 或者在�q�里��指�C��?On 而��得所有文件的输出�~�存打开.
output_handler = ; 你可以重定向你的脚本的所有输出到一个函敎ͼ�
; 那样做可能对处理或以日志记录它有�?
; 例如若你��这个output_handler 设�ؓ"ob_gzhandler",
; 则输��Z��被透明��Cؓ支持gzip或deflate�~�码的浏览器压羃.
; 设一个输出处理器自动地打开输出�~�冲.
implicit_flush = Off
; 强制flush�Q�刷斎ͼ�让PHP 告诉输出层在每个输出块之后自动刷新自�w�数�?
; �q�等效于在每�?print() �?echo() 调用和每�?HTML 块后调用flush()函数.
; 打开�q�项讄��会导致严重的�q�行时冲�H�，��仅在debug�q�程中打开.
allow_call_time_pass_reference = On
; 是否让强�q�函数调用时按引用传递参�?�q�一�Ҏ��遭到抗议�Q?
; �q�可能在��来版本的PHP/Zend里不再支�?
; 受到鼓励的指定哪些参数按引用传递的�Ҏ��是在函数声明�?
; 你被鼓励��试关闭�q�一选项�q�确认你的脚本仍能正常工作，以保证在��来版本的语�a��?
; 它们仍能工作.�Q�你��在每次使用该特�Ҏ��得到一个警告，而参数将按��D��不是按引用
; 传递）.
; Safe Mode 安全模式
safe_mode = Off
safe_mode_exec_dir =
safe_mode_allowed_env_vars = PHP_
; �Q�Setting certain environment variables
; �Q�may be a potential security breach.
; 该指�C�包含用逗号分隔的前�~�列表.安全模式中，用户仅可以替�?
; 以在此列出的前缀开头的环境变量的�?
; 默认圎ͼ�用户��仅�?讑֮�以PHP_开头的环境变量�Q�（�? PHP_FOO=BAR�Q?
; 注意: 如果�q�一指示为空�Q�PHP ��让用户更改��L��环境变量!
safe_mode_protected_env_vars = LD_LIBRARY_PATH
; �q�条指示包含一个用逗号分隔的环境变量列表，那是最�l�用户将不能用putenv () 更改�?
; �q�些变量甚至在safe_mode_allowed_env_vars 讄��为允许的情况下得��C��?
disable_functions =
; �q�条指示让你可以��Z��安全的原因让特定函数失效.
; 它接受一个用逗号分隔的函数名列表.
; �q�条指示 *不受* 安全模式是否打开的媄�?
; 语法高亮模式的色�?
; 只要能被接受的东西就能工�?
highlight.string = #DD0000
highlight.comment = #FF8000
highlight.keyword = #007700
highlight.bg = #FFFFFF
highlight.default = #0000BB
highlight.html = #000000
; Misc 杂项
expose_php = Off
; 军_�� PHP 是否标示它装在服务器上的事实�Q�例如：加在�?—PHP—给Web服务
; 发送的信号上）.
; �Q�我个�h的意见，在出��C��么power-by的header的时候，把这��x��.�Q?
; 它不会有安全上的威胁, 但它使检查你的服务器上是否安装了PHP成�ؓ了可�?
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
max_execution_time = 30 ; 每个脚本的最大执行时�? 按秒�?
memory_limit = 8388608 ; 一个脚本最大可使用的内存总量 (�q�里�?MB)
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; Error handling and logging ;
; 出错控制和登�?;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; 错误报告是按位的.或者将数字加�v来得到想要的错误报告�{��.
; E_ALL - 所有的错误和警�?
; E_ERROR - 致命性运行时�?
; E_WARNING - �q�行时警告（非致命性错�Q?
; E_PARSE - �~�译时解析错�?
; E_NOTICE - �q�行时提�?�q�些�l�常是是你的代码的bug引�v的，
;也可能是有意的行为造成�?(如：��Z��未初始化的变量自动初始化��Z��?
;�I�字�W�串的事实而��用一个未初始化的变量)
; E_CORE_ERROR - 发生于PHP启动时初始化�q�程中的致命错误
; E_CORE_WARNING - 发生于PHP启动时初始化�q�程中的警告(非致命性错)
; E_COMPILE_ERROR - �~�译时致命性错
; E_COMPILE_WARNING - �~�译时警�?非致命性错)
; E_USER_ERROR - 用户产生的出错消�?
; E_USER_WARNING - 用户产生的警告消�?
; E_USER_NOTICE - 用户产生的提醒消�?
; 例子:
; error_reporting = E_ALL & ~E_NOTICE ; 昄��所有的错误�Q�除了提�?
; error_reporting = E_COMPILE_ERROR|E_ERROR|E_CORE_ERROR ; 仅显�C�错�?
error_reporting = E_ALL & ~E_NOTICE ; 昄��所有的错误�Q�除了提�?
display_errors = On ; 昄��出错误信�?作�ؓ输出的一部分)
; 在最�l�发布的web站点上，强烈��你关掉这个特性，�q��?
; 错误日志代替�Q�参看下面）.
; 在最�l�发布的web站点�l�箋�?display_errors 有效可能
; 暴露一些有兛_��全的信息�Q�例如你的web服务上的文�g路径�?
; 你的数据库规划或别的信息.
display_startup_errors = Off ; 甚至当display_erroes打开了，发生于PHP的启动的步骤�?
; 的错误也不会被显�C?
; 强烈��保持�?display_startup_errors 关闭�Q?
; 除了在改错过�E�中.
log_errors = Off ; 在日志文仉��记录错误�Q�服务器指定的日志，stderr标准错误输出�Q�或error_log(下面的）�Q?
; 正如上面说明的那��P��强烈��你在最�l�发布的web站点以日志记录错�?
; 取代直接错误输出.
track_errors = Off ; 保存最�q�一�?错误/警告消息于变�?$php_errormsg (boolean)
;error_prepend_string = "" ; 于错误信息前输出的字�W�串
;error_append_string = "" ; 于错误信息后输出的字�W�串
;error_log = filename ; 记录错误日志于指定文�?
;error_log = syslog ; 记录错误日志于系�l�日�?syslog (NT 下的事�g日志, Windows 95下无�?
warn_plus_overloading = Off ; 当将�?’用于字�W�串时警�?
;;;;;;;;;;;;;;;;;
; Data Handling ;
;;;;;;;;;;;;;;;;;
variables_order = "EGPCS" ; �q�条指示描述了PHP 记录
; GET, POST, Cookie, Environment and Built-in �q�些变量的顺�?
; �Q�以 G, P, C, E & S 代表�Q�通常�?EGPCS �?GPC 的方式引用）.
; 按从左到双��录，新值取代旧�?
register_globals = On ; 是否��这�?EGPCS 变量注册为全局变量.
; 若你不想让用��h��据不在全局范围内�؜��q��话，你可能想关闭�?
; �q�和 track_vars �q��v来用更有意义 �?�q�样你可以通过
; $HTTP_*_VARS[] 数组讉K��所有的GPC变量.
register_argc_argv = On ; �q�条指示告诉 PHP 是否声明 argv和argc 变量
; �Q�注�Q�这里argv为数�l?argc为变量数�Q?
; �Q�其中包含用GET�Ҏ��传来的数据）.
; 若你不想用这些变量，你应当关掉它以提高性能.
track_vars = On ; �?HTTP_*_VARS[]数组有效�Q�这�?在��用时�?
; ENV, POST, GET, COOKIE or SERVER替换
post_max_size = 8M ; PHP��接受的POST数据最大大��?
gpc_order = "GPC" ; �q�条指示被�h反对.�?variables_order 代替.
; Magic quotes
magic_quotes_gpc = On ; 在输入的GET/POST/Cookie数据里��用魔术引�?
; �Q�原文就�q�样�Q�呵呵，所谓magic quotes 应该是指用�{义符加在引用性的控制字符上，�?\'....�Q?
magic_quotes_runtime= Off ; 对运行时产生的数据��用魔术引用，
; 例如�Q�用SQL查询得到的数据，用exec()函数得到的数据，�{�等
magic_quotes_sybase = Off ; 采用 Sybase形式的魔术引用（�?'' 脱出 ' 而不�?\'�Q?
; 自动�?PHP 文档之前和之后添加文�?
auto_prepend_file =
auto_append_file =
; �?.04b4一��P��PHP 默认地��L��?“Content-type:�?头标输出一个字�W�的�~�码方式.
; 让输出字�W�集失效�Q�只要设�|��ؓ�I?
; PHP 的内建默认值是 text/html
default_mimetype = "text/html"
;default_charset = "iso-8859-1"
;;;;;;;;;;;;;;;;;;;;;;;;;
; Paths and Directories ;
;;;;;;;;;;;;;;;;;;;;;;;;;
include_path = ; include 路径讄��Q�UNIX: "/path1:/path2" Windows: "\path1;\path2"
doc_root = ; php ��面的根路径�Q�仅在非�I�时有效
user_dir = ; 告知 php 在��?/~username 打开脚本时到哪个目录下去找，仅在非空时有�?
;upload_tmp_dir = ; 存放用HTTP协议上蝲的文件的临时目录�Q�在没指定时使用�pȝ��默认的）
upload_max_filesize = 2097152 ; 文�g上蝲默认地限制�ؓ2 Meg
extension_dir = c:\php\ ; 存放可加载的扩充库（模块�Q�的目录
enable_dl = On ; 是否使dl()有效.
; 在多�U�程的服务器�?dl()函数*不能*很好地工作，
; 例如IIS or Zeus�Q��ƈ在其上默认�ؓ��止
;;;;;;;;;;;;;;;;
; File Uploads ;
;;;;;;;;;;;;;;;;
file_uploads = On ; 是否允许HTTP方式文�g上蝲
;upload_tmp_dir = ; 用于HTTP上蝲的文件的临时目录�Q�未指定则��用系�l�默认）
upload_max_filesize = 2M ; 上蝲文�g的最大许可大��?
; Fopen wrappers ;
;;;;;;;;;;;;;;;;;;
allow_url_fopen = On ; 是否允许把URLs当作http:.. 或把文�g当作ftp:...
;;;;;;;;;;;;;;;;;;;;;;
; 动态扩�?;
; Dynamic Extensions ;
;;;;;;;;;;;;;;;;;;;;;;
; 若你希望一个扩展库自动加蝲�Q�用下面的语法：
; extension=modulename.extension
; 例如�Q�在windows上，
; extension=msql.dll
; or 在UNIX�?
; extension=msql.so
; 注意�Q�这只应当是模块的名字，不需要目录信息放在里�?
; 用上面的 extension_dir 指示指定扩展库的位置.
;Windows 扩展
;extension=php_nsmail.dll
extension=php_calendar.dll
;extension=php_dbase.dll
;extension=php_filepro.dll
extension=php_gd.dll
;extension=php_dbm.dll
;extension=php_mssql.dll
;extension=php_zlib.dll
;extension=php_filepro.dll
;extension=php_imap4r2.dll
;extension=php_ldap.dll
;extension=php_crypt.dll
;extension=php_msql2.dll
;extension=php_odbc.dll
; 注意�Q?MySQL的支持现在是内徏的，因此�Q�不需要用它的dll
;;;;;;;;;;;;;;;;;;;
; 模块讑֮� ;
; Module Settings ;
;;;;;;;;;;;;;;;;;;;
[Syslog]
define_syslog_variables = Off ; 是否定义各种的系�l�日志变�?
; 如：$LOG_PID, $LOG_CRON, �{�等.
; ��x��它是个提高效率的好主�?
; �q�行�Ӟ��你可以调用函数define_syslog_variables()�Q�来定义�q�些变量
[mail function]
SMTP = localhost ;仅用于win32�pȝ��
sendmail_from = me@localhost.com ;仅用于win32�pȝ��
;sendmail_path = ;仅用于unix, 也可支持参数�Q�默认的�?sendmail -t -i'�Q?
[Debugger]
debugger.host = localhost
debugger.port = 7869
debugger.enabled = False
[Logging]
; �q�些配置指示用于�C�Z��的日志记录机�?
; �?examples/README.logging 以得到更多的解释
;logging.method = db
;logging.directory = /path/to/log/directory
[Java]
;java.class.path = .\php_java.jar
;java.home = c:\jdk
;java.library = c:\jdk\jre\bin\hotspot\jvm.dll
;java.library.path = .\
[SQL]
sql.safe_mode = Off
[ODBC]
;uodbc.default_db = Not yet implemented
;uodbc.default_user = Not yet implemented
;uodbc.default_pw = Not yet implemented
uodbc.allow_persistent = On ; 允许或禁�?持久�q�接
uodbc.check_persistent = On ; 在重用前��查连接是否还可用
uodbc.max_persistent = -1 ; 持久�q�接的最大数.-1 代表无限�?
uodbc.max_links = -1 ; �q�接的最大数目（持久和非持久�Q?-1 代表无限�?
uodbc.defaultlrl = 4096 ; 控制 LONG �c�d��的字�D?�q�回变量的字节数�Q? 代表通过�Q�？�Q? means passthru
uodbc.defaultbinmode = 1 ; 控制二进制数�?0 代表?????Handling of binary data. 0 means passthru, 1 return as is, 2 convert to char
; 见有�?odbc_binmode �?odbc_longreadlen 的文档以得到 uodbc.defaultlrl �?uodbc.defaultbinmode 的解�?
[MySQL]
mysql.allow_persistent = On ; 允许或禁�?持久�q�接
mysql.max_persistent = -1 ; 持久�q�接的最大数.-1 代表无限�?
mysql.max_links = -1 ; �q�接的最大数目（持久和非持久�Q?-1 代表无限�?
mysql.default_port = ; mysql_connect() 使用的默认端口，如不讄��Q�mysql_connect()
; ��用变�?$MYSQL_TCP_PORT�Q�或�?etc/services 下的mysql-tcp 条目(unix)�Q?
; 或在�~�译是定义的 MYSQL_PORT(按这��L��序)
; Win32环境�Q�将仅检查MYSQL_PORT.
mysql.default_socket = ; 用于本地 MySql �q�接的默认的套接字名.为空�Q��?MYSQL 内徏�?
mysql.default_host = ; mysql_connect() 默认使用的主机（安全模式下无效）
mysql.default_user = ; mysql_connect() 默认使用的用户名�Q�安全模式下无效�Q?
mysql.default_password = ; mysql_connect() 默认使用的密码（安全模式下无效）
; 注意�Q�在�q�个文�g下保存密码通常是一�?�?��L��
; *��M��*可以使用PHP讉K��的用户可以运�?
; 'echo cfg_get_var("mysql.default_password")'来显�C�那个密�?
; 而且当然圎ͼ��M��有读该文件权力的用户也能看到那个密码.
[mSQL]
msql.allow_persistent = On ; 允许或禁�?持久�q�接
msql.max_persistent = -1 ; 持久�q�接的最大数.-1 代表无限�?
msql.max_links = -1 ; �q�接的最大数目（持久和非持久�Q?-1 代表无限�?
[PostgresSQL]
pgsql.allow_persistent = On ; 允许或禁�?持久�q�接
pgsql.max_persistent = -1 ; 持久�q�接的最大数.-1 代表无限�?
pgsql.max_links = -1 ; �q�接的最大数目（持久和非持久�Q?-1 代表无限�?
[Sybase]
sybase.allow_persistent = On ; 允许或禁�?持久�q�接
sybase.max_persistent = -1 ; 持久�q�接的最大数.-1 代表无限�?
sybase.max_links = -1 ; �q�接的最大数目（持久和非持久�Q?-1 代表无限�?
;sybase.interface_file = "/usr/sybase/interfaces"
sybase.min_error_severity = 10 ; 昄��的错误的最低严重�?
sybase.min_message_severity = 10 ; 昄��的消息的最低重要�?
sybase.compatability_mode = Off ; 与旧版的PHP 3.0 兼容的模�?若打开�Q�这��导�?PHP 自动�?
; 把根据结果的 Sybase �c�d��赋予它们�Q?
; 而不是把它们全当成字�W�串.
; �q�个兼容模式不会永远留着�Q?
; 因此�Q�将你的代码�q�行需要的修改�Q?
; �q�将该项关闭.
[Sybase-CT]
sybct.allow_persistent = On ; 允许或禁�?持久�q�接
sybct.max_persistent = -1 ; 持久�q�接的最大数.-1 代表无限�?
sybct.max_links = -1 ; �q�接的最大数目（持久和非持久�Q?-1 代表无限�?
sybct.min_server_severity = 10 ; 昄��的错误的最低严重�?
sybct.min_client_severity = 10 ; 昄��的消息的最低重要�?
[bcmath]
bcmath.scale = 0 ; 用于所有bcmath函数�?0十进制数数字的个数number of decimal digits for all bcmath functions
[browscap]
;browscap = extra/browscap.ini
browscap = C:\WIN\SYSTEM\inetsrv\browscap.ini
[Informix]
ifx.default_host = ; ifx_connect() 默认使用的主机（安全模式下无效）
ifx.default_user = ; ifx_connect() 默认使用的用户名�Q�安全模式下无效�Q?
ifx.default_password = ; ifx_connect() 默认使用的密码（安全模式下无效）
ifx.allow_persistent = On ; 允许或禁�?持久�q�接
ifx.max_persistent = -1 ; 持久�q�接的最大数.-1 代表无限�?
ifx.max_links = -1 ; �q�接的最大数目（持久和非持久�Q?-1 代表无限�?
ifx.textasvarchar = 0 ; 若打开�Q�select 状态符�q�回一�?‘text blob’字�D늚�内容�Q�而不是它的id
ifx.byteasvarchar = 0 ; 若打开�Q�select 状态符�q�回一�?‘byte blob’字�D늚�内容�Q�而不是它的id
ifx.charasvarchar = 0 ; �q�踪从固定长度的字符列里剥离的空�?
; 可能�?Informix SE 用户有效.
ifx.blobinfile = 0 ; 若打开�Q�text和byte blobs 的内容被导出��C��个文�?
; 而不是保存到内存.
ifx.nullformat = 0 ; NULL�Q�空�Q�被作�ؓ�I�字�D�返回，除非�Q�这里被设�ؓ1.
; �q�种情况下（�?�Q�，NULL作�ؓ字串NULL�q�回.
[Session]
session.save_handler = files ; 用于保存/取回数据的控制方�?
session.save_path = C:\win\temp ; �?save_handler 设�ؓ文�g时传�l�控制器的参敎ͼ�
; �q�是数据文�g��保存的路径.
session.use_cookies = 1 ; 是否使用cookies
session.name = PHPSESSID
; 用在cookie里的session的名�?
session.auto_start = 0 ; 在请求启动时初始化session
session.cookie_lifetime = 0 ; 为按�U�记的cookie的保存时��_��
; 或�ؓ0�Ӟ��直到��览器被重启
session.cookie_path = / ; cookie的有效�\�?
session.cookie_domain = ; cookie的有效域
session.serialize_handler = php ; 用于�q�接数据的控制器
; php�?PHP 的标准控制器.
session.gc_probability = 1 ; 按百分比�?garbage collection�Q�碎片整理）'�q�程
; 在每��?session 初始化的时候开始的可能�?
session.gc_maxlifetime = 1440 ; 在这里数字所指的�U�数后，保存的数据将被视�?
; '��片(garbage)'�q�由gc �q�程清理�?
session.referer_check = ; ��?HTTP引用以��额外包含于URLs中的ids无效
session.entropy_length = 0 ; 从文件中��d��多少字节
session.entropy_file = ; 指定�q�里建立 session id
; session.entropy_length = 16
; session.entropy_file = /dev/urandom
session.cache_limiter = nocache ; 设�ؓ{nocache,private,public},以决�?HTTP �?
; �~�存问题
session.cache_expire = 180 ; 文��?n 分钟后过�?
session.use_trans_sid = 1 ; 使用�q�渡性的 sid 支持�Q�若�~�译时许可了
; --enable-trans-sid
url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=fakeentry"
[MSSQL]
;extension=php_mssql.dll
mssql.allow_persistent = On ; 允许或禁�?持久�q�接
mssql.max_persistent = -1 ; 持久�q�接的最大数.-1 代表无限�?
mssql.max_links = -1 ; �q�接的最大数目（持久和非持久�Q?-1 代表无限�?
mssql.min_error_severity = 10 ; 昄��的错误的最低严重�?
mssql.min_message_severity = 10 ; 昄��的消息的最低重要�?
mssql.compatability_mode = Off ; 与旧版的PHP 3.0 兼容的模�?
[Assertion]
; �Q�？�Q�？�Q?
;assert.active = On ; �Q�assert(expr); active by default
;assert.warning = On ; issue a PHP warning for each failed assertion.
;assert.bail = Off ; don't bail out by default.
;assert.callback = 0 ; user-function to be called if an assertion fails.
;assert.quiet_eval = 0 ; eval the expression with current error_reporting(). set to true if you want error_reporting(0) around the eval().
[Ingres II]
ii.allow_persistent = On ; 允许或禁�?持久�q�接
ii.max_persistent = -1 ; 持久�q�接的最大数.-1 代表无限�?
ii.max_links = -1 ; �q�接的最大数目（持久和非持久�Q?-1 代表无限�?
ii.default_database = ; 默认 database (format : [node_id::]dbname[/srv_class]
ii.default_user = ; 默认 user
ii.default_password = ; 默认 password
[Verisign Payflow Pro]
pfpro.defaulthost = "test.signio.com" ; 默认�?Signio 服务�?
pfpro.defaultport = 443 ; �q�接的默认端�?
pfpro.defaulttimeout = 30 ; 按秒计的默认��时旉��
; pfpro.proxyaddress = ; 默认的代理的 IP 地址�Q�如果需要）
; pfpro.proxyport = ; 默认的代理的端口
; pfpro.proxylogon = ; 默认的代理的��d��Q�logon 用户名）
; pfpro.proxypassword = ; 默认的代理的密码
[Sockets]
sockets.use_system_read = On ; 使用�pȝ��的read() 函数替代 php_read()��装
; Local Variables: �Q�局部变量）
; tab-width: 4
; End:

my 2006-11-17 10:51 发表评论

PHP文�g上传

my — Tue, 17 Oct 2006 01:56:00 GMT

1. �?span lang="EN-US">form表单中要��?span lang="EN-US">method属性设�?span class="SpellE">post,enctype属性设�?span lang="EN-US">multipart/form-data�Q?span lang="EN-US">

2. �?span lang="EN-US">form表单中可以加一�?span lang="EN-US">hidden�c�d��?span lang="EN-US">input�?span lang="EN-US">,其中名字�?span lang="EN-US"> MAX_FILE_SIZE的隐藏值域�Q�通过讄��?span lang="EN-US">VALUE可以限制上蝲文�g的大��。当�?span lang="EN-US">,�q�个��g��可能��过PHP的配�|�文�?span lang="EN-US">(PHP3�?span lang="EN-US">php3.ini,PHP4�?span lang="EN-US">php.ini)中的upload_max_filesize,注意�q�个input框一�?/span>要放在所�?span lang="EN-US">file�c�d��?span lang="EN-US">input框前�?span lang="EN-US">,否则也是无效的哦�Q?

3. �?span lang="EN-US">PHP�E�序�q�行完后,上传文�g被放在了临时目录下。如果上传文件没有被改名或移动，那么在请求的最后该文�g��自动被从��时文件夹中删除，所以我们最好立卛_��新的上传文�g上传�U�d��一个永久目录下或更改其文�g名�?

首先我们需要一个上载文件的表单�|�页�Q?span lang="EN-US">upload.htm�Q�：

Upload Your File

处理上蝲文�g�?span lang="EN-US">PHP文�g�Q?span lang="EN-US">receiver.php3�Q?span lang="EN-US">
function do_upload ()
{
global $uploadfile, $uploadfile_size;
global $local_file, $error_msg;
if ( $uploadfile == "none" )
{
$error_msg = "对不��P��你没有选定��M��文�g上传�Q?span lang="EN-US">";
return;
}
if ( $uploadfile_size > 2000000 )
{
$error_msg = "对不��P��你要上传的文件太大了�Q?span lang="EN-US">";
return;
}
$the_time = time ();

// 在这里指定你用来存放上传文�g的目录，你需要对以下目录有写权限
// 同时�Q�我们也可以�l�上传文件指定另外的目录�Q�如�Q?span lang="EN-US">$upload_dir = "/local/uploads";

$upload_dir = "d:/upload";
$local_file = "$upload_dir/$the_time";
if ( file_exists ( '$local_file' ) )
{
$seq = 1;
while ( file_exists ( "$upload_dir/$the_time$seq" ) ) { $seq++; }
$local_file = "$upload_dir/$the_time$seq";
};
rename ( $uploadfile, $local_file );
display_page ();
}
function display_page ()
{
// �q�里是你的页面内�?span lang="EN-US">
}
?>

php3 Receiving Script

if ( $error_msg ) { echo "$error_msg

"; }
if ( $sendit )
{
do_upload ();
echo "文�g上蝲成功�Q?span lang="EN-US">";
}
elseif ( $cancelit )
{
header ( "Location: $some_other_script" );
echo "文�g上蝲��p�|!";
exit;
}
else
{
some_other_func ();
}
?>

my 2006-10-17 09:56 发表评论

my — Fri, 13 Oct 2006 07:48:00 GMT

session_start:	初始 session�?/td>
session_destroy:	�l�束 session�?/td>
session_name:	存取目前 session 名称�?/td>
session_module_name:	存取目前 session 模块�?/td>
session_save_path:	存取目前 session 路径�?/td>
session_id:	存取目前 session 代号�?/td>
session_register:	注册新的变量�?/td>
session_unregister:	删除已注册变量�?/td>
session_is_registered:	��查变量是否注册�?/td>
session_decode:	Session 资料解码�?/td>
session_encode:	Session 资料�~�码�?/td>

my 2006-10-13 15:48 发表评论

PHP中��用crypt()实现用户�w�䆾验证

my — Thu, 28 Sep 2006 03:46:00 GMT

在开发PHP应用中如果不惌��己开发新的加密算法，�q�可以利用PHP提供的crypt()函数来完成单向加密功能�?/p>

　　了解crypt()

　　只要有一点��用非Windows�q�_��l�验的读者都可能对crypt()相当熟悉�Q�这一函数完成被称作单向加密的功能�Q�它可以加密一些明码，但不能反�q�来��密码重新�{换�ؓ原来的明码。crypt()函数定义如下�?/p>

　　string crypt (string input_string [, string salt])

　　其中�Q�input_string参数是需要加密的明文字符�Ԍ��W�二个可选的salt是一个位字串�Q�能够媄响加密的暗码�Q�进一步排除被破解的可能性。缺省情况下�Q�PHP使用一�?个字�W�的DES�q�扰�Ԍ��如果�pȝ��使用的是MD5(参考下一节内�?�Q�PHP则会使用一�?2个字�W�的�q�扰丌Ӏ�可以通过执行下面的命令发现系�l�将要��用的�q�扰串的长度�?/p>

　　print "My system salt size is: ". CRYPT_SALT_LENGTH;

　　crypt()支持4�U�加密算法，�?9.1昄��了其支持的算法和相应的salt参数的长度�?/p>

　　表crypt()支持四种加密��法��法 Salt长度
CRYPT_STD_DES 2-character (Default)
CRYPT_EXT_DES 9-character
CRYPT_MD5 12-character beginning with $1$
CRYPT_BLOWFISH 16-character beginning with $2$
　　从表面上看，crypt()的函��C��乎没有什么用处，但该函数的确被广泛用来保证系�l�密码的完整性。因为，单向加密的口令即使落入第三方的手里，�׃��不能被还原�ؓ明文�Q�也没有什么大用处�?/p>

　　用crypt()实现用户�w�䆾验证

　　上一部分��单介�l�了crypt()函数的功能，下面利用其来实现用户的��n份验证，其所要实现的目标�?9.2.3节所介绍的一致�?/p>

1 �Q?--check_user_crypt.php:使用crypt() 函数验证用户----------------�Q?br />2 �Q?php
3 $user_name=$_POST["user_name"];
4 require_once("sys_conf.inc"); //�pȝ��配置文�g�Q�包含数据库配置信息
5
6 //�q�接数据�?br />7 $link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD);
8 mysql_select_db($DBNAME); //选择数据库my_chat
9
10 //查询是否存在��d��用户信息
11 $str="select name,password from user where name ='$user_name'";
12 $result=mysql_query($str,$link_id); //执行查询
13 @$rows=mysql_num_rows($result); //取得查询�l�果的记录笔�?br />14 $user_name=$_SESSION["user_name"];
15 $password=$_POST["password"];
16 $salt = substr($password, 0, 2);
17 $password_en=crypt($password,$salt); //使用crypt()对用户密码进行加�?br />18
19 //对于老用�?br />20 if($rows!=0)
21 {
22 list($name,$pwd)=mysql_fetch_row($result);
23
24 //如果密码输入正确
25 if($pwd==$password_en)
26 {
27 $str="update user set is_online =1 where name ='$user_name' and password='$password_en'";
28 $result=mysql_query($str, $link_id);//执行查询
29 require("main.php"); //转到聊天��面
30 }
31 //密码输入错误
32 else
33 {
34 require("relogin.php");
35 }
36
37 }
38 //对于新用��P��其信息写入数据�?br />39 else
40 {
41 $str="insert into user (name,password,is_online) values('$user_ name','$password_en',1)";
42 $result=mysql_query($str, $link_id); //执行查询
43 require("main.php"); //转到聊天��面
44 }
45 //关闭数据�?br />46 mysql_close($link_id);
47 ?�Q?/p>

　　�C�Z��与上一节所介绍的��用XOR加密��法来保护用户信息非常类��|��其核心部分在于第16�?7行��用crypt()函数获取加密后的密码�Q�而通过在第25行比较数据库中的密码和加密后的密码是否相�{�来��查用��h��否合法�?/p>

　　下面�Q�通过一个实例来看一下加密后的密码会变成什么样子�?/p>

　　例如�Q�用户名为rock�Q�密码�ؓ123456�Q�则加密后的密码�?

　　12tir.zIbWQ3c

　　上面��实��C��一个简单的用户�w�䆾验证�pȝ��。在使用crypt()保护重要的机密信息时�Q�需要注意的是，在缺省状态下使用crypt()�q�不是最安全的，只能用在对安全性要求较低的�pȝ��中�?br />

my 2006-09-28 11:46 发表评论

my — Thu, 28 Sep 2006 02:39:00 GMT

#-------------------------------------------

# 获得最��和最大��g��间随机数�Q�位��C��?br /> #-------------------------------------------
Function getRandNumber ( $fMin , $fMax ) {
srand ((double) microtime ()* 1000000 );
$fLen = "%0" . strlen ( $fMax ). "d" ;
Return sprintf ( $fLen , rand ( $fMin , $fMax ));
}

my 2006-09-28 10:39 发表评论

my — Wed, 20 Sep 2006 02:20:00 GMT

例子 20-1. 抛出一个异�?/b>

try { $error = 'Always throw this error' ; throw new Exception ( $error ); // 从这里开始，tra 代码块内的代码将不会被执�?br /> echo 'Never executed' ; } catch ( Exception $e ) { echo 'Caught exception: ' , $e -> getMessage (), "\n" ; } // �l�箋执行 echo 'Hello World' ; ?>

my 2006-09-20 10:20 发表评论

PHP字符替换

my — Thu, 14 Sep 2006 05:43:00 GMT
替换的意义在于将一个字�W�串的一部分�q�行改变�Q��之成为别外一个新的字�W�串�Q�以满��新的要求。PHP里通常用str_replace("要替换的内容", "要取代原内容的字�W�串", "原字�W�串")�q�行替换�?PHP: [Copy to clipboard] echo str_replace("iwind", "kiki", "i love iwind, iwind said"); // ��输�?"i love kiki, kiki said" 卛_�� 原字�W�串中的所�?iwind"都替换成�?kiki". str_replace是大��写敏感的，所以对你不能设想用 str_replace("IWIND", "kiki",...)替换原字�W�串中的"iwind". str_replace�q�可以实现多对一�Q�多对多的替换，但无法实��C��对多的替换：

my 2006-09-14 13:43 发表评论

my — Thu, 14 Sep 2006 05:41:00 GMT
$Date_1="2007-07-12"; $Date_2="2007-06-27"; /* 首先用explode�q�个函数来拆分字�W�串 explode("�q�引号里面是条�g来的哦，�Ҏ��:��׃��?来拆分字�W�串�?可以应用到很多方面去�?,后面要拆分的字符�? */ $Date_explode_1=explode("-",$Date_1); $Date_explode_2=explode("-",$Date_2); echo $Date_explode_1[0]

my 2006-09-14 13:41 发表评论

my — Thu, 14 Sep 2006 05:39:00 GMT
PHP要求同名表单元素用数�l��Ş式命名，�q�赋予value。否则他不能分解�?br />例： 1. 2. 3. 提交后，�?_POST[’chk’]讉K��?br />数组中的元素为选中的复选框的�?PHP代码:
1. $a
3. { echo $i."==>".$a."
"; }
4. //或者��?_POST["chk"][0]单独使用
5. ?> �l�果: 0=>1 1=>2 2=>3

my 2006-09-14 13:39 发表评论

my — Thu, 07 Sep 2006 02:36:00 GMT

mysql可通过两种方式通过PHP与web相连�Q�一�U�通过php的mysql相关函数�Q�另一�U�通过php的ODBC相关函数

相关函数如下�Q?

MYSQL函数

mysql_affected_rows: 得到 MySQL 最后操作媄响的列数目�?
mysql_close: 关闭 MySQL 伺服器连�Uѝ�?
mysql_connect: 开�?MySQL 伺服器连�Uѝ�?
mysql_create_db: 建立一�?MySQL 新资料库�?
mysql_data_seek: �U�d��内部传回指标�?
mysql_db_query: 送查询字�?(query) �?MySQL 资料库�?
mysql_drop_db: �U�除资料库�?
mysql_errno: 传回错误讯息代码�?
mysql_error: 传回错误讯息�?
mysql_fetch_array: 传回阵列资料�?
mysql_fetch_field: 取得栏位资讯�?
mysql_fetch_lengths: 传回单列各栏资料最大长度�?
mysql_fetch_object: 传回物�g资料�?
mysql_fetch_row: 传回单列的各栏位�?
mysql_field_name: 传回指定栏位的名�U��?
mysql_field_seek: 讑֮�指标��C��回值的某栏位�?
mysql_field_table: 获得目前栏位的资料表 (table) 名称�?
mysql_field_type: 获得目前栏位的型态�?
mysql_field_flags: 获得目前栏位的旗标�?
mysql_field_len: 获得目前栏位的长度�?
mysql_free_result: 释放传回占用记忆体�?
mysql_insert_id: 传回最后一�ơ��?INSERT 指��o�?ID�?
mysql_list_fields: 列出指定资料表的栏位 (field)�?
mysql_list_dbs: 列出 MySQL 伺服器可用的资料�?(database)�?
mysql_list_tables: 列出指定资料库的资料�?(table)�?
mysql_num_fields: 取得传回栏位的数目�?
mysql_num_rows: 取得传回列的数目�?
mysql_pconnect: 开�?MySQL 伺服器长期连�Uѝ�?
mysql_query: 送出一�?query 字串�?
mysql_result: 取得查询 (query) 的结果�?
mysql_select_db: 选择一个资料库�?
mysql_tablename: 取得资料表名�U��?

my 2006-09-07 10:36 发表评论