無標題文檔

使用 PHP Bug Scanner

很多时候「不留神」就会在脚本上留下隐患,比如常见的 注入漏洞 等等。由于加上 PHP 是动态类型的语言,所以在安全方面要尤其注意。

除了上述的注入漏洞以外,一些函数也能造成一定的安全问题。PHP Bug Scanner 则可以帮助你找到调用这些函数的语句,以便编写者确认这条语句是否有问题。

https://friable.rocks/_/2009_11_05/7531360c6777.jpg

另外,除了常见的 default.cfg,还有多种 perset 可以选择,比如需要检查 SQL 函数方面的调用函数,则选择 sql.cfg 即可。

https://friable.rocks/_/2009_11_05/7467760c6778.jpg

下面是此程序的 打包下载 。另, 提供 Zend 方面的 PHP 安全 Tips

PHP5.3 新特性 之 静态调用

Late Static Bindings

考虑下述代码的输出

<?php
class clsParent {
    static public function say( $str ) {
        self::do_print($str);
    }

    static public function do_print( $str ) {
        echo "parent says $str";
    }
}

class clsChild extends clsParent{
    static public function do_print( $str ) {
        echo "child says $str";
    }
}

clsChild::say('Hello');
?>

你可能很希望输出 'child says Hello',但是实际上输出的是 'parent says Hello'。这是因为 self:: 指向的是类的本身,也就是 clsParent(同道理,__CLASS__ 也是一样)。

针对这一情况,PHP5.3 [引入了

PHP5.3 新特性 之 命名空间

上次说过 ,PHP 5.3 的一个新的重要特性就是 命名空间 (namespace)。

这一特性在 PHP5.0x 时候就提出过,后来被取消并安排在 PHP6 中实现。而此次又再次「提前」到了 PHP5.3 发布,可见开发人员对其的重视以及谨慎的态度。

官方发布时说明 文档的内容 可能已过期(documentation maybe out dated),所以在这里简单的说明命名空间的用法:首先是声明一个命名空间,加入了新的关键字 namespace ,其应在类文件的开头

<?php
namespace Project::Module; 

class User {
    const STATUS_OK = true;

    function register($data) {
        ...
    }
    
    ...
}

然后在控制器中(可能是其他文件)就可以这样调用

$user = new Project::Module::User(); 
$user->register($register_info);

的确与平常的并无两样,但是我们可以将两个相互独立的类联系起来。比如

Project::Module::User; 
Project::Module::Blog;

这样就能从语言本身更容易描述和理解变量、类之间的关系,从而避免了「传统」上的 Project_Module_Blog 这样冗长的命名方式。

上面的说明可能很难说明使用命名空间带来了什么好处,新增加的 use 和 as 关键字或许能更好的说明问题。use 和 as 语句可以引用和声明 命名空间的「别名」。比如,上述的控制器中实例化类的代码可以这样写

use Project::Module;
$user = new Module::User(); 
$user->register($register_info);

甚至

use Project::Module::User as ModuleUser;
$user = new ModuleUser; 
$user->register($register_info);

类中的常量也可以通过命名空间访问,比如上述类中的 STATUS_OK 就可以通过命名空间

Project::Module::User::STATUS_OK

访问。进一步的,也可以用别名简化那么长的「变量名称」

use Project::Module::User::STATUS_OK as STATUS_OK;
echo STATUS_OK;

顺便提下「 超空间(The Global Namespace) 」的概念。所谓的「超空间」,就是没有指定命名空间的变量、类和函数。比如

function foo() {
    ...
}

这的函数,可以使用 foo() 执行的同时,也可以使用 ::foo(); 这样执行。

最后,配合使用 autoload 函数即可载入指定命名空间的类。简单的函数如下

function __autoload( $classname ) {
    $classname = strtolower( $classname );
    $classname = str_replace( '::', DIRECTORY_SEPARATOR, $classname );
    require_once( dirname( __FILE__ ) . '/' . $classname . '.class.php' );
}

这样,比如调用

__autoload('Project::Module::User');

就可以自动载入 Project_Module_User.class.php 文件(虽然这样看起来并不方便多少)。

我的照片

嗨!我叫「明城」,八零后、码农、宁波佬,现居杭州。除了这里,同时也欢迎您关注我的 GitHubTwitterInstagram 等。

这个 Blog 原先的名字叫 Gracecode.com 、现在叫 「無標題文檔」 。 要知道作为码农取名是件很难的事情,所以不想在取名这事情上太费心思。

作为八零后,自认为还仅存点点可能不怎么被理解的幽默感,以及对平淡生活的追求和向往。 为了避免不必要的麻烦,声明本站所输出的内容以及观点仅代表个人,不代表自己所服务公司或组织的任何立场。

如果您想联系我,可以发我邮件 `echo bWluZ2NoZW5nQG91dGxvb2suY29tCg== | base64 -d`

分类

搜索

文章