phpthat
❶ 什麼是php,PHP能幹什麼,為什麼使用PHP
在學習任何東西之前,我們都得了解這門東西究竟是什麼,有什麼用。學習PHP一樣如此。
一、什麼是PHP
PHP,全稱 Hypertext Preprocessor ,中文翻譯「超文本預處理器」。
在PHP的官網是這樣介紹PHP的:
PHP is a popular general-purpose scripting language that is especially suited to web development.
Fast, flexible and pragmatic, PHP powers everything from your blog to the most popular websites in the world.
照顧英文能力較差的同學,以下為中文版
PHP是一種被廣泛應用的開源通用腳本語言,尤其適用於 Web 開發。
擁有快速,靈活,實用的特點,PHP能做任何事,包括你的個人博客甚至是全球性的大型站點系統。
PHP內核由C開發,因此在語法上跟C有不少相似之處。但PHP絕對不是C。
PHP語法除了跟C有相似之處外,還跟Java、Perl比較流行的編程語言存在相似的地方。因此,如果你有上述語言基礎,PHP入門會更加快速。
二、PHP能幹什麼
PHP能幹任何事!
PHP能直接嵌入HTML語言中,與HTML混編。PHP開發的目的主要是允許 web 開發人員快速編寫動態生成的 web 頁面,但 PHP 的用途遠不只於此。
PHP還包含了命令列執行介面(command line interface),和產生圖形使用者介面(GUI)程式。
PHP能幹任何事!
PHP能幹任何事!
PHP能幹任何事!
重要的事情要說3遍!
三、為什麼選擇PHP
1、PHP開源免費,沒有任何收費的項目。你可以隨便修改他的內核然後用於自己的商業使用。
2.、PHP開發組件豐富(對於新手來說一堆IDE也是夠選擇困難症糾結的)
3、社區成熟,85%以上的問題能在社區找到相應的解決思路。
4、PHP學習成本低,不想某門語言要學就得三件套。見效快,學1個月基本能入門
5、開源庫豐富,基本所有類型均有開源產品
6、PHP7.0基本不輸任何一門語言~!這是重點
7、與Mysql近乎完美的支持
8、找工作容易
9、連Facebook都在用php,你還什麼理由不用?
❷ PHP循環問題
1.這個比較基礎了
$s=0;
for($i=0;$i<=30;$i++){//包括30的話就這樣寫,不包括30就寫成$i<30
$s+=$i;
}
echo$s;
2.這個題應該是有個圖吧,先假設是一個4行6列的表格,每個單元格的內容都是a
echo'<tableborder="1"cellpadding="3px"cellspacing="0px">';
for($i=1;$i<=4;$i++){
echo'<tr>';
for($j=1;$j<=6;$j++){
echo'<td>a</td>';
}
echo'</tr>';
}
echo'</table>';
希望能幫到你
❸ php如何輸出雙引號
需要准備的材料分別是:電腦、php編輯器、瀏覽器。
1、首先,打開php編輯器,新建php文件,例如:index.php。
❹ php中有$that指針的用法嗎
應該是$this
意思是本類的的內容
比如本類的屬性,就 $this->money;
比如本類的方法,就 $this->get_money();
class ABC {
public $money = 0;
public function begin(){
$this->get_money();
}
public function get_money(){
$this->money ++;
}
❺ php中$this $that的用法
沒有that.....
$this 表示當前的對象
class Test
{
var $name = 'test';
public function __construct()
{
echo $this->name;
}
}
$obj = new Test();
unset($obj);
❻ php中的運算符優先順序是什麼樣的
下表按照優先順序從高到低列出了運算符。同一行中的運算符具有相同優先順序,此時它們的結合方向決定求值順序。
運算符優先順序
結合方向
運算符
附加信息
無
clone new
clone 和 new
左
[
array()
右
**
算術運算符
右
++
--
~
(int)
(float)
(string)
(array)
(object)
(bool)
@
類型和遞增/遞減
無
instanceof
類型
右
!
邏輯運算符
左
*
/
%
算術運算符
左
+
-
.
算術運算符和字元串運算符
左
<<
>>
位運算符
無
<
<=
>
>=
比較運算符
無
==
!=
===
!==
<>
<=>
比較運算符
左
&
位運算符和引用
左
^
位運算符
左
|
位運算符
左
&&
邏輯運算符
左
||
邏輯運算符
左
??
比較運算符
左
? :
ternary
right
=
+=
-=
*=
**=
/=
.=
%=
&=
|=
^=
<<=
>>=
賦值運算符
左
and
邏輯運算符
左
xor
邏輯運算符
左
or
邏輯運算符
Example #1 結合方向
<?php
$a = 3 * 3 % 5; // (3 * 3) % 5 = 4
// ternary operator associativity differs from C/C++
$a = true ? 0 : true ? 1 : 2; // (true ? 0 : true) ? 1 : 2 = 2
$a = 1;
$b = 2;
$a = $b += 3; // $a = ($b += 3) -> $a = 5, $b = 5
?>
Operator precedence and associativity only determine how expressions
are grouped, they do not specify an order of evaluation. PHP does not
(in the general case) specify in which order an expression is evaluated
and code that assumes a specific order of evaluation should be avoided,
because the behavior can change between versions of PHP or depending on
the surrounding code.
Example #2 Undefined order of evaluation
<?php
$a = 1;
echo $a + $a++; // may print either 2 or 3
$i = 1;
$array[$i] = $i++; // may set either index 1 or 2
?>
Note:
盡管 = 比其它大多數的運算符的優先順序低,PHP
仍舊允許類似如下的表達式:if (!$a = foo()),在此例中
foo() 的返回值被賦給了 $a。
❼ 誰能幫我翻譯一篇關於php的英文介紹
一個PHP應用程序的組件
為了處理和開發動態網頁,你需要理解和使用多種技術。有三個主要組件創建動態網頁:Web伺服器,伺服器端編程語言和資料庫。這是一個好主意,有一個網路的三個組成部分使用PHP開發的基本認識。開始與一些歷史和Apache的目的(您的Web伺服器)基本的了解,PHP的(您的伺服器端編程語言)和MySQL(資料庫)。這可以幫助您了解它們如何在Web開發與之相適應。
請記住,動態網頁拉同時從幾個來源的資料,包括了Apache,PHP,MySQL和層疊樣式表(CSS),我們將談論以後。
1.2.1。 PHP的誕生
PHP的前身是一個人們需要開發和維護的網站包含動態的客戶端伺服器的功能。 1994年,拉斯穆斯Lerdorf創建的,他個人使用的開放源碼的Perl腳本集合,而這些最終被改寫成C和PHP是什麼今天開啟。到1998年,PHP是在其發布的第三個版本,將其變成一個Web開發工具,它可以競爭,如微軟的Active Server Pages(ASP)或Sun的Java伺服器頁面(JSP)的同類產品中。
PHP的真正的美在於它的簡單與權力相結合,以及它是一種解釋語言,而不是編譯之一。
PHP是無處不在,與所有主要的操作系統兼容。這也很容易學習,使之成為網路編程初學者的理想工具。此外,你能利用社區的努力,讓人們更容易網路發展的優勢。 PHP的創造者開發的基礎設施,讓有經驗的C程序員擴展PHP的能力。因此,現在的PHP集成了諸如XML,XSL和微軟的COM的先進技術。在此關頭,正在使用的PHP5.0。
1.2.5。兼容性
如Firefox,Netscape和IE網路瀏覽器都作出處理HTML,所以無所謂什麼操作系統上運行的Web伺服器。阿帕奇,PHP和MySQL支持的操作系統種類繁多,這樣你就不會局限於一個特定的操作系統在伺服器或客戶端。雖然你不必擔心軟體的兼容性,文件格式和各種不同的語言純粹的多,聚在一起的確需要一些時間來適應。
❽ php函數設定參數類型
functionsin($value)
{
if(!is_bool($value))
{
echo"Warning:Notabooleanvalue!";
return;
}
//用戶代碼
//用戶代碼
//用戶代碼
}
跟樓上大同小異!加了個return!
❾ php $that 含義是什麼
如果是考題 你就直接回答 這只是一個變數 沒有特殊意義
❿ php有什麼安全規則,有哪些
php安全篇值過濾用戶輸入的人參數
規則 1:絕不要信任外部數據或輸入
關於Web應用程序安全性,必須認識到的第一件事是不應該信任外部數據。外部數據(outside data) 包括不是由程序員在PHP代碼中直接輸入的任何數據。在採取措施確保安全之前,來自任何其他來源(比如 GET 變數、表單 POST、資料庫、配置文件、會話變數或 cookie)的任何數據都是不可信任的。
例如,下面的數據元素可以被認為是安全的,因為它們是在PHP中設置的。
復制代碼 代碼如下:
<?php
$myUsername = 'tmyer';
$arrayUsers = array('tmyer', 'tom', 'tommy');define(」GREETING」, 'hello there' . $myUsername);?>
但是,下面的數據元素都是有瑕疵的。
清單 2. 不安全、有瑕疵的代碼
復制代碼 代碼如下:
<?php
$myUsername = $_POST['username']; //tainted!
$arrayUsers = array($myUsername, 'tom', 'tommy'); //tainted!
define(」GREETING」, 'hello there' . $myUsername); //tainted!
?>
為 什麼第一個變數 $myUsername 是有瑕疵的?因為它直接來自表單 POST。用戶可以在這個輸入域中輸入任何字元串,包括用來清除文件或運行以前上傳的文件的惡意命令。您可能會問,「難道不能使用只接受字母 A-Z 的客戶端(Javascrīpt)表單檢驗腳本來避免這種危險嗎?」是的,這總是一個有好處的步驟,但是正如在後面會看到的,任何人都可以將任何錶單下載 到自己的機器上,修改它,然後重新提交他們需要的任何內容。
解決方案很簡單:必須對 $_POST['username'] 運行清理代碼。如果不這么做,那麼在使用 $myUsername 的任何其他時候(比如在數組或常量中),就可能污染這些對象。
對用戶輸入進行清理的一個簡單方法是,使用正則表達式來處理它。在這個示例中,只希望接受字母。將字元串限制為特定數量的字元,或者要求所有字母都是小寫的,這可能也是個好主意。
清單 3. 使用戶輸入變得安全
復制代碼 代碼如下:
<?php
$myUsername = cleanInput($_POST['username']); //clean!
$arrayUsers = array($myUsername, 'tom', 'tommy'); //clean!
define(」GREETING」, 'hello there' . $myUsername); //clean!
function cleanInput($input){
$clean = strtolower($input);
$clean = preg_replace(」/[^a-z]/」, 「」, $clean);$clean = substr($clean,0,12);
return $clean;
}
?>
規則 2:禁用那些使安全性難以實施的 PHP 設置已經知道了不能信任用戶輸入,還應該知道不應該信任機器上配置 PHP 的方式。例如,要確保禁用 register_globals。如果啟用了 register_globals,就可能做一些粗心的事情,比如使用 $variable 替換同名的 GET 或 POST 字元串。通過禁用這個設置,PHP 強迫您在正確的名稱空間中引用正確的變數。要使用來自表單 POST 的變數,應該引用 $_POST['variable']。這樣就不會將這個特定變數誤會成 cookie、會話或 GET 變數。
規則 3:如果不能理解它,就不能保護它
一些開發人員使用奇怪的語法,或者將語句組織得很緊湊,形成簡短但是含義模糊的代碼。這種方式可能效率高,但是如果您不理解代碼正在做什麼,那麼就無法決定如何保護它。
例如,您喜歡下面兩段代碼中的哪一段?
清單 4. 使代碼容易得到保護
復制代碼 代碼如下:
<?php
//obfuscated code
$input = (isset($_POST['username']) ? $_POST['username']:」);//unobfuscated code
$input = 」;
if (isset($_POST['username'])){
$input = $_POST['username'];
}else{
$input = 」;
}
?>
在第二個比較清晰的代碼段中,很容易看出 $input 是有瑕疵的,需要進行清理,然後才能安全地處理。
規則 4:「縱深防禦」 是新的法寶
本教程將用示例來說明如何保護在線表單,同時在處理表單的 PHP 代碼中採用必要的措施。同樣,即使使用 PHP regex 來確保 GET 變數完全是數字的,仍然可以採取措施確保 SQL 查詢使用轉義的用戶輸入。
縱深防禦不只是一種好思想,它可以確保您不會陷入嚴重的麻煩。
既然已經討論了基本規則,現在就來研究第一種威脅:SQL 注入攻擊。
防止 SQL 注入攻擊
在 SQL 注入攻擊 中,用戶通過操縱表單或 GET 查詢字元串,將信息添加到資料庫查詢中。例如,假設有一個簡單的登錄資料庫。這個資料庫中的每個記錄都有一個用戶名欄位和一個密碼欄位。構建一個登錄表單,讓用戶能夠登錄。
清單 5. 簡單的登錄表單
復制代碼 代碼如下:
<html>
<head>
<title>Login</title>
</head>
<body>
<form action=」verify.php」 method=」post」>
<p><label for='user'>Username</label>
<input type='text' name='user' id='user'/>
</p>
<p><label for='pw'>Password</label>
<input type='password' name='pw' id='pw'/>
</p>
<p><input type='submit' value='login'/></p>
</form>
</body>
</html>
這個表單接受用戶輸入的用戶名和密碼,並將用戶輸入提交給名為 verify.php 的文件。在這個文件中,PHP 處理來自登錄表單的數據,如下所示:
清單 6. 不安全的 PHP 表單處理代碼
復制代碼 代碼如下:
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = 「select count(*) as ctr from users where username='」.$username.」' and password='」. $pw.」' limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data->ctr == 1){
//they're okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION['loginokay'] = true;
header(」index.php」);
}else{
header(」login.php」);
}
?>
這 段代碼看起來沒問題,對嗎?世界各地成百(甚至成千)的 PHP/MySQL 站點都在使用這樣的代碼。它錯在哪裡?好,記住 「不能信任用戶輸入」。這里沒有對來自用戶的任何信息進行轉義,因此使應用程序容易受到攻擊。具體來說,可能會出現任何類型的 SQL 注入攻擊。
例如,如果用戶輸入 foo 作為用戶名,輸入 ' or '1′='1 作為密碼,那麼實際上會將以下字元串傳遞給 PHP,然後將查詢傳遞給 MySQL:
復制代碼 代碼如下:
<?php
$sql = 「select count(*) as ctr from users where username='foo' and password=」 or '1′='1′ limit 1″;?>
這個查詢總是返回計數值 1,因此 PHP 會允許進行訪問。通過在密碼字元串的末章節附註入某些惡意 SQL,黑客就能裝扮成合法的用戶。
解 決這個問題的辦法是,將 PHP 的內置 mysql_real_escape_string() 函數用作任何用戶輸入的包裝器。這個函數對字元串中的字元進行轉義,使字元串不可能傳遞撇號等特殊字元並讓 MySQL 根據特殊字元進行操作。清單 7 展示了帶轉義處理的代碼。
清單 7. 安全的 PHP 表單處理代碼
復制代碼 代碼如下:
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = 「select count(*) as ctr from users where username='」.mysql_real_escape_string($username).」' and password='」. mysql_real_escape_string($pw).」' limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data->ctr == 1){
//they're okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION['loginokay'] = true;
header(」index.php」);
}else{
header(」login.php」);
}
?>
使用 mysql_real_escape_string() 作為用戶輸入的包裝器,就可以避免用戶輸入中的任何惡意 SQL 注入。如果用戶嘗試通過 SQL 注入傳遞畸形的密碼,那麼會將以下查詢傳遞給資料庫:
select count(*) as ctr from users where username='foo' and password='\' or \'1\'=\'1′ limit 1″資料庫中沒有任何東西與這樣的密碼匹配。僅僅採用一個簡單的步驟,就堵住了 Web 應用程序中的一個大漏洞。這里得出的經驗是,總是應該對 SQL 查詢的用戶輸入進行轉義。
但是,還有幾個安全漏洞需要堵住。下一項是操縱 GET 變數。
防止用戶操縱 GET 變數
在前一節中,防止了用戶使用畸形的密碼進行登錄。如果您很聰明,應該應用您學到的方法,確保對 SQL 語句的所有用戶輸入進行轉義。
但 是,用戶現在已經安全地登錄了。用戶擁有有效的密碼,並不意味著他將按照規則行事 —— 他有很多機會能夠造成損害。例如,應用程序可能允許用戶查看特殊的內容。所有鏈接指向 template.php?pid=33 或 template.php?pid=321 這樣的位置。URL 中問號後面的部分稱為查詢字元串。因為查詢字元串直接放在 URL 中,所以也稱為 GET 查詢字元串。
在 PHP 中,如果禁用了 register_globals,那麼可以用 $_GET['pid'] 訪問這個字元串。在 template.php 頁面中,可能會執行與清單 8 相似的操作。
清單 8. 示例 template.php
復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
//we create an object of a fictional class Page$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
這 里有什麼錯嗎?首先,這里隱含地相信來自瀏覽器的 GET 變數 pid 是安全的。這會怎麼樣呢?大多數用戶沒那麼聰明,無法構造出語義攻擊。但是,如果他們注意到瀏覽器的 URL 位置域中的 pid=33,就可能開始搗亂。如果他們輸入另一個數字,那麼可能沒問題;但是如果輸入別的東西,比如輸入 SQL 命令或某個文件的名稱(比如 /etc/passwd),或者搞別的惡作劇,比如輸入長達 3,000 個字元的數值,那麼會發生什麼呢?
在這種情況下,要記住基本規則,不要信任用戶輸入。應用程序開發人員知道 template.php 接受的個人標識符(PID)應該是數字,所以可以使用 PHP 的 is_numeric()函數確保不接受非數字的 PID,如下所示:
清單 9. 使用 is_numeric() 來限制 GET 變數復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
if (is_numeric($pid)){
//we create an object of a fictional class Page$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page}else{
//didn't pass the is_numeric() test, do something else!
}
?>
這個方法似乎是有效的,但是以下這些輸入都能夠輕松地通過 is_numeric() 的檢查:
100 (有效)
100.1 (不應該有小數位)
+0123.45e6 (科學計數法 —— 不好)
0xff33669f (十六進制 —— 危險!危險!)那麼,有安全意識的 PHP 開發人員應該怎麼做呢?多年的經驗表明,最好的做法是使用正則表達式來確保整個 GET 變數由數字組成,如下所示:
清單 10. 使用正則表達式限制 GET 變數
復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
if (strlen($pid)){
if (!ereg(」^[0-9]+$」,$pid)){
//do something appropriate, like maybe logging them out or sending them back to home page}
}else{
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//moderately protected from evil user input$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
需 要做的只是使用 strlen() 檢查變數的長度是否非零;如果是,就使用一個全數字正則表達式來確保數據元素是有效的。如果 PID 包含字母、斜線、點號或任何與十六進制相似的內容,那麼這個常式捕獲它並將頁面從用戶活動中屏蔽。如果看一下 Page 類幕後的情況,就會看到有安全意識的 PHP 開發人員已經對用戶輸入 $pid 進行了轉義,從而保護了 fetchPage() 方法,如下所示:
清單 11. 對 fetchPage() 方法進行轉義
復制代碼 代碼如下:
<?php
class Page{
function fetchPage($pid){
$sql = 「select pid,title,desc,kw,content,status from page where pid='」.mysql_real_escape_string($pid).」'」;}
}
?>
您可能會問,「既然已經確保 PID 是數字,那麼為什麼還要進行轉義?」 因為不知道在多少不同的上下文和情況中會使用 fetchPage() 方法。必須在調用這個方法的所有地方進行保護,而方法中的轉義體現了縱深防禦的意義。
如 果用戶嘗試輸入非常長的數值,比如長達 1000 個字元,試圖發起緩沖區溢出攻擊,那麼會發生什麼呢?下一節更詳細地討論這個問題,但是目前可以添加另一個檢查,確保輸入的 PID 具有正確的長度。您知道資料庫的 pid 欄位的最大長度是 5 位,所以可以添加下面的檢查。
清單 12. 使用正則表達式和長度檢查來限制 GET 變數復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
if (strlen($pid)){
if (!ereg(」^[0-9]+$」,$pid) && strlen($pid) > 5){//do something appropriate, like maybe logging them out or sending them back to home page}
} else {
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//even more protected from evil user input$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
現在,任何人都無法在資料庫應用程序中塞進一個 5,000 位的數值 —— 至少在涉及 GET 字元串的地方不會有這種情況。想像一下黑客在試圖突破您的應用程序而遭到挫折時咬牙切齒的樣子吧!而且因為關閉了錯誤報告,黑客更難進行偵察。
緩沖區溢出攻擊
緩沖區溢出攻擊 試圖使 PHP 應用程序中(或者更精確地說,在 Apache 或底層操作系統中)的內存分配緩沖區發生溢出。請記住,您可能是使用 PHP 這樣的高級語言來編寫 Web 應用程序,但是最終還是要調用 C(在 Apache 的情況下)。與大多數低級語言一樣,C 對於內存分配有嚴格的規則。
緩沖區溢出攻擊向緩沖區發送大量數據,使部分數據溢出到相鄰的內存緩沖區,從而破壞緩沖區或者重寫邏輯。這樣就能夠造成拒絕服務、破壞數據或者在遠程伺服器上執行惡意代碼。
防止緩沖區溢出攻擊的惟一方法是檢查所有用戶輸入的長度。例如,如果有一個表單元素要求輸入用戶的名字,那麼在這個域上添加值為 40 的 maxlength 屬性,並在後端使用 substr() 進行檢查。清單 13 給出表單和 PHP 代碼的簡短示例。