PHP加密解密内部算法

<?php
function passport_encrypt($txt, $key) {
srand((double)microtime() * 1000000);
$encrypt_key = md5(rand(0, 32000));
$ctr = 0;
$tmp = '';
for($i = 0;$i < strlen($txt); $i++) {
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
return base64_encode(passport_key($tmp, $key));
}

function passport_decrypt($txt, $key) {
$txt = passport_key(base64_decode($txt), $key);
$tmp = '';
for($i = 0;$i < strlen($txt); $i++) {
$md5 = $txt[$i];
$tmp .= $txt[++$i] ^ $md5;
}
return $tmp;
}

function passport_key($txt, $encrypt_key) {
$encrypt_key = md5($encrypt_key);
$ctr = 0;
$tmp = '';
for($i = 0; $i < strlen($txt); $i++) {
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
}
return $tmp;
}
?>
以下是一些示例…加深对这三个加密解密函数的理解…
//string.php
<?php
include “fun.php”;

$txt = “This is a test”;
$key = “testkey”;
$encrypt = passport_encrypt($txt,$key);
$decrypt = passport_decrypt($encrypt,$key);

echo $txt.”<br><hr>”;
echo $encrypt.”<br><hr>”;
echo $decrypt.”<br><hr>”;
?>
//array.php
<?php
include “fun.php”;

$array = array(
"a" => "1",
"b" => "2",
"c" => "3",
"d" => "4"
);
//serialize产生一个可存储的值,返回一个字符串,unserialize还原
$txt = serialize($array);
$key = “testkey”;
$encrypt = passport_encrypt($txt,$key);
$decrypt = passport_decrypt($encrypt,$key);
$decryptArray = unserialize($decrypt);

echo $txt.”<br><hr>”;
echo $encrypt.”<br><hr>”;
echo $decrypt.”<br><hr>”;
echo $decryptArray.”<br><hr>”;
?>
关键的地方来了…当你要跳转到另外一个网址,但又要保证你的session无误的时候,你需要对session作一个处理.貌似一个公司有一个网站又有一个论坛,两个地方都有注册和登录,但又不想让用户在主页登录后跳转到论坛的时候session失效,即是登录一次跑完整间公司…
那要怎样来处理用户的session呢…
网页都是无状态的,如果要在新的网页中继续使用session,则需要把session从一个地方移到另一个地方,可能有些人已经想到了,我可以通过url传址的方式来调用它….而PHP有个处理session的变量,叫$_SESSION.于是….
将需要注册的session转换成一个数组吧.那么,你可以这样写:
//login.php
<?php
session_start();
include “fun.php”;
….
$_SESSION[“userid”];
$_SESSION[“username”];
$_SESSION[“userpwd”];
…
header("Location: http://$domain/process.php?s=".urlencode(passport_encrypt(serialize($_SESSION),"sessionkey")));
?>
上例中先用serialize将$_SESSION变成可存储的数据,然后通过passport_encrypt将这个数据加密,加urlencode的原因是因为$_SESSION加密时,有可能会产生像料想不到的编码,所以以防万一…(事实证明非常有效)
处理下先
//process.php
<?php
session_start();
include “fun.php”;
$_SESSION=unserialize(passport_decrypt($_GET["s"],"sessionkey"));
header("Location: http://$domain/index.php");
?>
先用$_GET[“s”]获取URL的参数,然后用passport_decrypt将其解密,再用unserialize将其数据还原成原始数据
到了这步处理,你的网页就可能通过header自由跳转啦….
这种方法还涉及到安全性的问题,如果你的url地址在传址的过程中被人家获取的话,那就真的是不好意思了…人家虽然可能破解不了url里边的内容,但人家也可以直接用这个url地址来登录你的一些个人账户啊,邮箱帐户啊甚至银行帐户(当然很少人会这样写,我例外,哈哈)…听起来好怕….但其实你可以在跳转页面作取消session处理….
以下是加强版的process.php
<?php
session_start();
include_once "fun.php";
$_SESSION=unserialize(passport_decrypt($_GET["s"],"sessionkey"));
if((time()-$_SESSION["TIME"])>30){
header("Location: http://$domain/ login.php");
unset($_SESSION["USERNAME"]);
unset($_SESSION["PASSWORD"]);
}
else
header("Location: http://$domain/ index.php");
?>
写这个文件之前,你还要在登录那边设置
$_SESSION["TIME"] = time();
设置这个的原因主要是获取两边的时间,如果跳转的时候超过30秒的时候,你就可以让它跳转到login.php登录页面,网速慢的客户就不好意思啦…但这也预防了如果此url被人获取,而这个人又没有在30秒内登录的话,那就不好意思啊,超时重新登录.
$_SESSION["USERNAME"]和$_SESSION["PASSWORD"] 这两个东东就是用户登录时需要输入的用户名和密码了….取消这两个session的原因就是因为如果你的url被人获取了,那个人虽然在超过30秒内跳转到loign.php的页面,但那些传过来的session依然有效,只要将url后缀login.php改为index.php….那他一样登录成功…

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<title>php 文件上传只允许上传图像文件</title>
</head>

<body>
<form id="form1" name="form1" enctype="multipart/form-data" method="post" action="">
  <label>
  <input type="file" name="file" />
  </label>
  <label>
  <input type="submit" name="Submit" value="提交" />
  </label>
</form>
</body>
</html>
<?php

if($_FILES){ 
 foreach( $_FILES as $key => $_value )
 {
  $_FILES[$key]['type'] =$_value['type'];  
 }
 if(substr($_FILES[$key]['type'],0,6) !='image/')
 {
  exit;
 }
} 
 
 echo '<hr/>';
 print_r($_FILES);
 echo '<hr/>';
 echo var_export($_FILES);

?>

首先判断$_FILES['inputname']['type']，对于能够识别的类型更正文件后缀，然后再判断后缀。

因为$_FILES['inputname']['type']只能识别少数类型，但是它是根据文件内容来识别的，特别是对于许多把BMP图形保存为JPG文件的相机，一下就现原型了，而你的程序可能针对BMP有转换为JPG的处理。

mysql sql mode
mysql可以运行在不同sql mode模式下面，sql mode模式定义了mysql应该支持的sql语法，数据校验等！

查看默认的sql mode模式：
select @@sql_mode;
我的数据库是：
STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION
在此模式下面，如果插入的数据的长度大于定义的长度，那么就会报错！

set session sql_mode='REAL_AS_FLOAT,PIPES_AS_CONCAT,ANSI_QUOTES,IGNORE_SPACE,ANSI';
在这种模式下面：插入的数据的长度大于定义的时候，就会截取，并警告，但是可以插入进去
session表示只在本次中有效
global：表示在本次连接中不生效，而对于新的连接就生效

启用NO_BACKSLASH_ESCAPES模式，使反斜线成为普通字符，在导入数据时候，如果数据中有反斜线，启用这个模式是个不错的选择

启用PIPES_AS_CNCAT模式，将||看成是普通字符串

常用的sql mode：
sql mode值  说明
ANSI  'REAL_AS_FLOAT,PIPES_AS_CONCAT,ANSI_QUOTES,IGNORE_SPACE和ANSI组合'，这种模式使语法和行为更符合标准的sql
STRICT_TRANS_TABLES  使用与事务和非事务表，严格模式
TRADITIONAL  也是严格模式，对于插入不正确的值给出错误而不是警告。用在事务时，只要发生错误就立即回滚

1、看机器配置，指三大件：cpu、内存、硬盘
2、看mysql配置参数
3、查系mysql行状态，可以用mysqlreport工具来查看
4、查看mysql的慢查询
依次解决了以上问题之后，再来查找程序方面的问题

my.cnf缓存优化
在 my.cnf 中添加/修改以下选项:

#取消文件系统的外部锁
skip-locking

#不进行域名反解析,注意由此带来的权限/授权问题
skip-name-resolve

#索引缓存,根据内存大小而定,如果是独立的db服务器,可以设置高达80%的内存总量
key_buffer = 512M

#连接排队列表总数
back_log = 200
max_allowed_packet = 2M

#打开表缓存总数,可以避免频繁的打开数据表产生的开销
table_cache = 512

#每个线程排序所需的缓冲
sort_buffer_size = 4M

#每个线程读取索引所需的缓冲
read_buffer_size = 4M

#MyISAM表发生变化时重新排序所需的缓冲
myisam_sort_buffer_size = 64M

#缓存可重用的线程数
thread_cache = 128

#查询结果缓存
query_cache_size = 128M

#设置超时时间,能避免长连接
set-variable = wait_timeout=60

#最大并发线程数,cpu数量*2
thread_concurrency = 4

#记录慢查询,然后对慢查询一一优化
log-slow-queries = slow.log
long_query_time = 1

#关闭不需要的表类型,如果你需要,就不要加上这个
skip-innodb
skip-bdb

PHP代码安全性问题的建议

PHP包括其他任何网络编程语言的安全性，具体表现在本地安全性和远程安全性两个方面，这里我们应该养成如下的几个习惯确保我们的PHP程序本身是安全的。
1、 验证用户输入的任何数据，保证PHP代码的安全
这里有一个技巧就是使用白名单，所谓白名单就是说：我们要求用户的数据应该是这样的，例如我们要求用户的输入是一个数字，我们就只检验这个值是否是一个数字就行了，而不必检验他到底是什么——其实他有可能是个恶意脚本。

对于这个检验我们不能只在客户端的javascript进行，战地认为JS只是为了提高来访用户的体验而产生的，而不是验证的工具。因为任何一个来访的用户都可能会，也有可能无意间就禁用了客户端脚本的执行，从而跳过这层验证。所以我们必须在PHP的服务器端程序上检验这些数据。

2、 保护数据库的安全——对即将运行于数据库的Sql语句进行安全性预处理。
任何时候都要对执行前的Mysql语句，进行mysql_real_escape_string操作——该函数的用法请参考PHP手册。诸多PHP的数据库抽象层例如ADODB都提供了类似的方法。

3、 不要依赖不该依赖的PHP设置——环境有时候不可靠
不依赖，magic_quotes_gpc=On，在程序编制的过程，尽量关闭这个配置选项，任何时候判断这个选项后再对用户输入的数据进行处理。切记——PHP v6 中将会删除这个选项。尽量在合适的时候使用addcslashes 系列函数——请参考手册

4、 验证数据来源，避免远程表单提交
不要使用$_SERVER['HTTP_REFERER']这个超级变量来检查数据的来源地址，一个很小的菜鸟黑客都会利用工具来伪造这个变量的数据，尽可能利用Md5，或者rand等函数来产生一个令牌，验证来源的时候，验证这个令牌是否匹配。

5、 保护会话数据，特别是Cookies
Cookie是保存在用户的计算机上的，保存之后任何用户都有可能出于某种原因更改他，我们必须对敏感数据进行加密处理。Md5、sha1都是个不错的加密方法。

6、 利用htmlentities()预防XSS攻击
对用户可能输入脚本语言的地方的数据进行htmlentities()操，将多数可以产生程序错误的用户输入进行实体化。记住要遵循第一个习惯：在 Web 应用程序的名称、电子邮件地址、电话号码和帐单信息的输入中用白名单中的值验证输入数据。

php安全过滤与实例教程
PHP过滤器是一个PHP的扩展，帮助你更容易，并且可靠的验证字符串和变量，这样，你就永远不会有可能对下面语句而担心受怕了：

<?php

include($_GET[‘filename’])

?>

甚至更坏的情况:

<?php

mysql_query(“INSERT INTO table (field) VALUES ({$_POST[‘value’]} “);

?>

变量过滤

通过使用过滤器来过滤变量，你可以使用 filter_var() 函数， 让我们来尝试验证一个变量是否为一个整形，例如:

$variable = 1122;

eecho filter_var($variable,FILTER_VALIDATE_INT);

因为这个变量里保存的是个整形，所以代码讲显示 1122. 如果我们的变量值为”a344”, 屏幕上将不会打印出任何内容，因为验证失败了。

好，好的，也许你说这无非一个有趣的把戏罢了，但是，还有更多， 让我们看看，当我们想确认我们的变量是个整形，它的范围在5到10之间，我们怎么做：

<?php

$variable = 6;

$minimum_value = 5;

$minimum_value = 10;

echo filter_var($variable,FILTER_VALIDATE_INT,array(“option”=>array(“min_range”=>$minimum_value,”max_range”=>$maximum_value)));

?>

这样，这个变量则必须在范围之内—就像上面的例子那样—数字6将会被显示在屏幕上。

php提供了一个真正的很好的方法来检测浮点值—对于我们来说最有用的就是在构建购物车的时候用来检查值是否有两位小数点。 例如下面将会显示”31.53”是一个合法的浮点数。

<?php

$num = 31.53;

if(filter_var($num,FILTER_VALIDATE_FLOAT)===false){

echo $num.” 是合法的”;

}else{

echo $num “ 是个不合法的浮点数”;

}

尝尝验证一个URL的格式？ 你可能需要去查看RFC1738规范，然后打开你的PHP文本编辑器编写一个类，来验证它，这可能需要上千行代码，对不？

好了，实际上，PHP可以通过URL过滤器自动帮你做到这些:

<?php

$url = http://www.somewebsite.domain;

if(filter_var($url,FILTER_VALIDATE_URL) === FALSE){

echo $url.” 不是个合法的 URL<br />”;

}else{

echo $url.” 是个合法的URL<br/>”;

}

现在，你可能说，你说的这些东西对我没用： 邮件验证，对它的验证你肯定得通过正则表达式，不对么？ 错了！ PHP的FILTER_VALIDATE_EMAIL 可以使它变得非常简单，甚至不费吹灰之力：

<?php

$email = wxysky@somehost.com;

if(filter_var($email,FILTER_VALIDATE_EMAIL) === false){

echo $email.” 不合法”;

}else{

echo $email.” 合法”;

}

现在，你是不是觉得可以花时间来了解一下它呢？电子邮件验证是个大难题，特别对于初学者来说，以我看来，我们应该以拥有它们感到幸福。。。

但是，这些还仅仅不够，让我们在做些其他的是，比如删除字符串的HTML标签，怎样：

<?php

$string = “<p>text</p>”;

echo filter_var($string,FILTER_SANITIZE_STRING);

?>

这样，我们将得到一个不带标签的”text”;

结论:

在这里，我们看到了PHP过滤器可以做到的几个例子，当然最重要的是验证你的代码—就像我们所有知道的那样，但是实际怎么做确实另一回事。 我只想在这里给你，给写代码的朋友，无论你是个新手还是专家—一个被肯定的验证方式，来帮助你从坏的代码逐渐旅行到好的代码中来。你的代码一定是最好的，你可以做到