利用PHP编程防范XSS跨站脚本攻击

$MAX_SIZE = 2000000;
$FILE_MIMES = array('image/jpeg','image/jpg','image/gif'
,'image/png','application/msword');
$FILE_EXTS = array('.zip','.jpg','.png','.gif');
$DELETABLE = true;

$site_name = $_SERVER['HTTP_HOST'];
$url_dir = http://.$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF']);
$url_this = http://.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];
$upload_dir = files/;
$upload_url = $url_dir./files/;
$message =;

if (!is_dir(files)) {
　if (!mkdir($upload_dir))
　　die (upload_files directory doesn't exist and creation failed);
　if (!chmod($upload_dir,0755))
　　die (change permission to 755 failed.);
}

if ($_REQUEST[del] && $DELETABLE) {
　$resource = fopen(log.txt,a);
　fwrite($resource,date(Ymd h:i:s).DELETE - $_SERVER[REMOTE_ADDR].$_REQUEST[del]n);
　fclose($resource);
　if (strpos($_REQUEST[del],/.)＞0); //possible hacking
　else if (strpos($_REQUEST[del],files/) === false); //possible hacking
　else if (substr($_REQUEST[del],0,6)==files/) {

include()和require()的区别 这相信是PHP中最基本的问题了，也是很多公司面试时必考的题呵呵。
给大家复习一下：
require() :如果文件不存在，会报出一个fatal error.脚本停止执行
include() : 如果文件不存在，会给出一个 warning，但脚本会继续执行
这里特别要注意的是：
使用include()文件不存在时，脚本继续执行，这种情况只出现在PHP 4.3.5之前，这一点，往往被人忽视。
推荐使用require_once()和include_once()，可以检测文件是否有重复包含。

【1】页面之间无法传递变量 get,post,session在最新的php版本中自动全局变量是关闭的，所以要从上一页面取得提交过来得变量要使用$_GET['foo'],$_POST['foo'],$_SESSION['foo']来得到。当然也可以修改自动全局变量为开(php.ini改为register_globals = On)；考虑到兼容性，还是强迫自己熟悉新的写法比较好。
　
　　【2】Win32下apache2 用get方法传递中文参数会出错：
　　test.php?a=你好&b=你也好
　　传递参数是会导致一个内部错误
　
　　解决办法:"test.php?a=".urlencode(你好)."&b=".urlencode(你也好)
　　 .............
　　【3】win32下的session不能正常工作
　　php.ini默认的session.save_path = /tmp
　　这显然是linux下的配置，win32下php无法读写session文件导致session无法使用，把它改成一个绝对路径就可以了，例如session.save_path = c:windows emp
　　【4】显示错误信息
　　当php.ini的display_errors = On并且error_reporting = E_ALL时，将显示所有的错误和提示，调试的时候最好打开以便纠错，如果你用以前php写法错误信息多半是关于未定义变量的。变量在赋值以前调用会有提示，解决办法是探测或者屏蔽。
　　例如显示$foo，可以if(isset($foo)) echo $foo 或者echo @$foo
　　【5】Win32下mail()不能发送电子邮件
　　在linux下配置好的sendmail可以发送，在win32下需要调用smtp服务器来发送电子邮件，修改php.ini的SMTP = ip //ip是不带验证功能的smtp服务器(网上很难找到)
　　php发送邮件的最好解决方法是用socket直接发送到对方email服务器而不用转发服务器。
　　【6】初装的mysql如果没有设置密码，应该使用update mysql.user set password="yourpassword" where user="root" 修改密码
　　【7】header already sent
　　这个错误通常会在你使用HEADER的时候出现，他可能是几种原因：1，你在使用HEADER前PRING或者ECHO了2.你当前文件前面有空行3.你可能INCLUDE了一个文件,该文件尾部有空行或者输出也会出现这种错误。！
　　【8】更改php.ini后没有变化
　　重新启动web server，比如IIS，Apache等等，然后才会应用最新的设置。
　　【9】php在2003上面安装（ISAPI的安装方法恳请高手指教）
　　PHP4的php4isapi.dll好像和2003有些冲突，只能用CGI模式安装
　　步骤一，先www.php.net 下在一个安装程序，我是装的是：php-4.2.3-installer.exe，你也可以去找最新的版本，在安装php-4.2.3-installer.exe之前保证你的IIS6.0启动了，并能够访问。安装好以后，在默认网站--＞应用程序配置。
Web开发是今后分布式程式开发的主流，通常的web开发都要涉及到与数据库打交道，客户端从服务器端读取通常都是以分页的形式来显示，一页一页的阅读起来既方便又美观。所以说写分页程序是web开发的一个重要组成部分，在这里，我们共同来研究分页程序的编写。
　
　　一、分页程序的原理
　　分页程序有两个非常重要的参数：每页显示几条记录（$pagesize）和当前是第几页（$page）。有了这两个参数就可以很方便的写出分页程序，我们以MySql数据库作为数据源，在mysql里如果要想取出表内某段特定内容可以使用的 T-SQL语句：select * from table limit offset,rows来实现。这里的offset是记录偏移量，它的计算方法是offset=$pagesize*($page-1)，rows是要显示的记录条数，这里就是$page。也就是说select * from table limit 10,10这条语句的意思是取出表里从第11条记录开始的20条记录。
　　二、主要代码解析

$pagesize=10; //设置每一页显示的记录数
$conn=mysql_connect("localhost","root",""); //连接数据库
$rs=mysql_query("select count(*) from tb_product",$conn); //取得记录总数$rs
$myrow = mysql_fetch_array($rs);
$numrows=$myrow[0];
//计算总页数
$pages=intval($numrows/$pagesize);
//判断页数设置
if (isset($_GET['page'])){
　$page=intval($_GET['page']);
}
else{
　$page=1; //否则，设置为第一页
}
　　三、创建用例用表myTable

create table myTable(id int NOT NULL auto_increment,news_title varchar(50),news_cont text,add_time datetime,PRIMARY KEY(id))
　　四、完整代码

＜html＞
＜head＞
＜title＞php分页示例＜/title＞
＜meta http-equiv="Content-Type" content="text/html; charset=gb2312"＞
＜/head＞
＜body＞
＜?php
　$conn=mysql_connect("localhost","root","");
　//设定每一页显示的记录数
　$pagesize=1;
　mysql_select_db("mydata",$conn);
　//取得记录总数$rs，计算总页数用
　$rs=mysql_query("select count(*) from tb_product",$conn);
　$myrow = mysql_fetch_array($rs);
　$numrows=$myrow[0];
　//计算总页数