用PHP实现随机验证码功能

<


此文演示了PHP三层开发的强大功能,PEAR::DB_DataObject用于业务逻辑,Smarty用于显示逻辑,这里假设你熟
悉了HTML,Smarty,PEAR::DB_DataObject,Mysql和PHP5.如果你需要补充知识,下面的文章解释了一些原理:
用PHP DataObject简化业务逻辑
Smarty简介:一个PHP模板引擎
PHP可伸缩性:Myth
你应该已安装和配置好了Apache,MySQL,和PHP5(或者IIS,MySQL5和PHP)
PEAR::DB_DataObject
PEAR::DB_DataObject 是一个用户数据库访问的抽象API.它是一个基于PEAR::DB的SQL构建器和数据建模层.它
把数据库表映射到PHP类并且提供像SELECT,INSERT,UPDATE,和DELETE这样的公共SQL函数.这使即使不了
解SQL的开发者也可以写出好的数据库访问代码,并且鼓励演示逻辑和业务逻辑有一个清晰的分离.
(DB_OO已经移动到的PEAR,现在是DB_DataObject,如果你有老的代码要更新,查看关于从老的db_oo代码更新到
DB_DataObjects的注释).
相关阅读
 
Upgrading to PHP 5
By Adam Trachtenberg
Table of Contents
Index
Sample Chapter
Read Online--Safari Search this book on Safari:
   
 Only This Book All of Safari
Code Fragments only
DataObject performs two tasks. First, it builds SQL statements based on the object''s variables and the builder
methods. Second, it acts as a datastore for a table row. There''s a core class, which you extend for each of
your tables so that you put the data logic inside the data classes. There''s also an included Generator to make
your configuration files and your base classes.
DataObject 执行两个任务.第一,它构建基于对象变量的SQL语句和构建器方法.第二,它作为数据库表的数据存
储.这里有个核心类,对于每个表继承它,以使你把数据逻辑放入数据类中.这里还包括一个生成器,

DataObject 极大的简化了数据库访问代码,它使开发大型的,数据驱动的站点更加容易.
At present, Alan Knowles, the lead developer of PEAR::DB_DataObject, is working on a new project called DBDO,
a C implementation of the PEAR package DB_DataObjects, based on libgda. His goal is to create the next
generation of PEAR::DB_DataObjects.
SMARTY
Smarty是一个从web页演示中分离内容的PHP模板引擎.它使用GPL许可.
Large projects commonly separate the role of the graphic designer from that of the programmer. However,
programming in PHP has the tendency to combine those two roles in a person and inside the code. This can bring
difficulties when it comes time to change some part of the page''s design. If the page mixes content and
presentation, the developer has to crawl through the program to find the presentation. Smarty helps to solve
this problem.
Combining the Two
The first thing to do when starting this project is

按标签的点击率来设置标签字体的大小和 颜色

本程序没有考虑程序性能和函数封装。。。只想表达这个算法

具体代码如下：

 

<?php
    function showTag($cur=47,$tag="美女和野兽"){
        $maxSize=300;$minSize=30;//maxSize为标签字体最大大小,minSize为标签最小大小 按百分比
        $max=100;$min=8;//max为最多标签点击数 min为最少点击数 cur为当前标签当前点击数
        $tagColor=$tagSize=$minSize;#tagColor为标签最终颜色，tagsize为标签最终字体大小
        $tagSize=@(float)($cur-$min)/($max-$min)*($maxSize-$minSize);
    
        $colors=array("0.2"=>"#333333","0.4"=>"#0033CC","0.6"=>"#660099","0.8"=>"#00FFFF","1"=>"#FF0000");
        //color为存放颜色的数组，按百分百存放，例如在0-0.2之间的color1
        $colorkeys=array_keys($colors);
        
        $select=(float)($cur-$min)/($max-$min);
        $len=count($colorkeys);
        $i=0;$j=$len-1;
        while($i<$j){//二分查找
            $index=($i+$j)/2;
            if($select>=(float)$colorkeys[$index] && $select<(float)$colorkeys[$index+1]) break;
            elseif($select<(float)$colorkeys[$index]) $j--;
            elseif($select>(float)$colorkeys[$index]) $i++;
            elseif($select==(float)$colorkeys[$index+1]) break;
            else break;
        }
        $tagColor=$colors[$colorkeys{($i+$j)/2}];
        echo "<span style=''font-size:${tagSize}%;color:$tagColor''>$tag </span>";
    }
    showTag(90);showTag(66,"股民");showTag(50,"我的爱情");showTag(100,"MM");
?>

在PHP5中类(CLASS)的新特征

/******************************/
author:大龄青年
E_mail:wenadmin@sina.com
/*****************************/

php5新添加了好多的新函数和特征，但是在目前最新的chm的手册中都没有体现，要到在线的手册中查找，烦啊！！！

 

废话不多说了，来看看php5中全新的class对比php2的class有什么新的特征。

 

1/ 加了访问权限的控制：使用private/public/protected的特征

 

2/ 加入了接口和抽象类的概念，interface/abstract，可惜的是类的继承还是树形的单继承。

 

3/ 可以定义final 函数，不能在父类中覆盖这个函数

 

4/ 终于可以在类中定义 静态的变量，在php中只能在函数中定义，

  

static $aa = nulll;

    另外还提供了 const 方法

         const mystatic = ''aaaaaa'';

 

5/ 新提供了一个self内部方法

       echo self::mystatic;

 

6/ 加入了如下的内部特征

__construct()   初始化

__destruct();   卸载

__get();          组织返回类中的某些变量值。

__set();          组织给类中的某些变量值赋值。

__call();         调用不存在的类的函数的时候得处理方法

__clone();        copy对象用

__sleep();        序列化的时候用

__weekup();      反序列的时候用

 

7/ 默认的object的赋值采用了应用的方式，如：

$object2 = $object1

   $object2 得到的是$object1的引用，不是在内存中copy副本

 

8/ 提供了 reflection API ，主要用来显示class/function 本省的结构和统计信息，这个是一个全新的东西，很难说清楚，（虽然很强大，但是我个人还是没有找到“这位英雄可以用武的地方”）

 

9/ 对class对象提供了一个枚举的功能，可以用for循环来处理对象中的全局的变量。

 

10/ 提供了一个__autoload();函数，用来自动的加载类声明文件

 

详细情况：http://www.php.net/manual/en/language.oop5.basic.php

 

　在本系列文章中，我们将全面探讨如何在PHP开发环境中全面阻止SQL注入式攻击，并给出一个具体的开发示例。

　　一、 引言

　　PHP是一种力量强大但相当容易学习的服务器端脚本语言，即使是经验不多的程序员也能够使用它来创建复杂的动态的web站点。然而，它在实现因特网服务的秘密和安全方面却常常存在许多困难。在本系列文章中，我们将向读者介绍进行web开发所必需的安全背景以及PHP特定的知识和代码-你可以借以保护你自己的web应用程序的安全性和一致性。首先，我们简单地回顾一下服务器安全问题-展示你如何存取一个共享宿主环境下的私人信息，使开发者脱离开生产服务器，维持最新的软件，提供加密的频道，并且控制对你的系统的存取。

　　然后，我们讨论PHP脚本实现中的普遍存在的脆弱性。我们将解释如何保护你的脚本免于SQL注入，防止跨站点脚本化和远程执行，并且阻止对临时文件及会话的"劫持"。

　　在最后一篇中，我们将实现一个安全的Web应用程序。你将学习如何验证用户身份，授权并跟踪应用程序使用，避免数据损失，安全地执行高风险性的系统命令，并能够安全地使用web服务。无论你是否有足够的PHP安全开发经验，本系列文章都会提供丰富的信息来帮助你构建更为安全的在线应用程序。

　　二、 什么是SQL注入

　　如果你打算永远不使用某些数据的话，那么把它们存储于一个数据库是毫无意义的；因为数据库的设计目的是为了方便地存取和操作数据库中的数据。但是，如果只是简单地这样做则有可能会导致潜在的灾难。这种情况并不主要是因为你自己可能偶然删除数据库中的一切；而是因为，当你试图完成某项"无辜"的任务时，你有可能被某些人所"劫持"-使用他自己的破坏性数据来取代你自己的数据。我们称这种取代为"注入"。

　　其实，每当你要求用户输入构造一个数据库查询，你是在允许该用户参与构建一个存取数据库服务器的命令。一位友好的用户可能对实现这样的操作感觉很满意；然而，一位恶意的用户将会试图发现一种方法来扭曲该命令，从而导致该被的扭曲命令删除数据，甚至做出更为危险的事情。作为一个程序员，你的任务是寻找一种方法来避免这样的恶意攻击。

　　三、 SQL注入工作原理

　　构造一个数据库查询是一个非常直接的过程。典型地，它会遵循如下思路来实现。仅为说明问题，我们将假定你有一个葡萄酒数据库表格"wines"，其中有一个字段为"variety"（即葡萄酒类型）：

　　1. 提供一个表单-允许用户提交某些要搜索的内容。让我们假定用户选择搜索类型为"lagrein"的葡萄酒。

　　2. 检索该用户的搜索术语，并且保存它-通过把它赋给一个如下所示的变量来实现：

　　$variety = $_POST[''variety''];

　　因此，变量$variety的值现在为：

　　lagrein

　　3. 然后，使用该变量在WHERE子句中构造一个数据库查询：

　　$query = "SELECT * FROM wines WHERE variety=''$variety''";

　　所以，变量$query的值现在如下所示：

　　SELECT * FROM wines WHERE variety=''lagrein''

　　4. 把该查询提交给MySQL服务器。

　　5. MySQL返回wines表格中的所有记录-其中，字段variety的值为"lagrein"。
　　到目前为止，这应该是一个你所熟悉的而且是非常轻松的过程。遗憾的是，有时我们所熟悉并感到舒适的过程却容易导致我们产生自满情绪。现在，让我们再重新分析一下刚才构建的查询。

　　1. 你创建的这个查询的固定部分以一个单引号结束，你将使用它来描述变量值的开始：

　　$query = " SELECT * FROM wines WHERE variety = ''";

　　2. 使用原有的固定不变的部分与包含用户提交的变量的值：

　　$query .= $variety;

　　3. 然后，你使用另一个单引号来连接此结果-描述该变量值的结束：

　　$ query .= "''";

　　于是，$query的值如下所示：

　　SELECT * FROM wines WHERE variety = ''lagrein''
　　这个构造的成功依赖用户的输入。在本文示例中，你正在使用单个单词(也可能是一组单词)来指明一种葡萄酒类型。因此，该查询的构建是无任何问题的，并且结果也会是你所期望的-一个葡萄酒类型为"lagrein"的葡萄酒列表。现在，让我们想象，既然你的用户不是输入一个简单的类型为"lagrein"的葡萄酒类型，而是输入了下列内容(注意包括其中的两个标点符号)：

　　lagrein'' or 1=1;