PHP判断密码安全等级程序

密码安全我们看到最多的就是在网上的js验证安全级别了，其实高级点的肯定是通过后端进行验证了，下面给各位一个php例子

密码安全原理

 

0:低,1:中,2:高三个级别，千万不要用百分比具体就不说，强度我们从最简单的纯数字到数字英文及最高级的数字英文及特殊字符

 

代码如下

/**

 * 获取密码安全等级

 * @param string $password 密码

 * @return int 0:低,1:中,2:高

*/

function password_level($password){

    if(preg_match('/^([0-9]{6,16})$/',$password)){

        return 0;

    }else if(preg_match('/^[0-9 a-z]{6,16}$/',$password)){

        return 1;

    }else if(preg_match('/^[0-9 a-z A-Z !@#$%^&*]{6,16}$/',$password)){

        return 2;

    }

    return 0;

}

mb_detect_encoding函数可以在我们未知字符串编码时判断出字符串的编码了，下文我们一起来详细的了解一下php mb_detect_encoding函数检测字符串编码的例子。

在php中可以用mb_detect_encoding()()函数来判断一个字符串是否为某种编码，具体使用方法和注意事项如下：

需要注意的是，要使用mb_detect_encoding函数，必须开启php中的mbstring扩展（打开php.ini配置，重启服务即可）。

判断方式如下所示：

if( mb_detect_encoding($str, 'UTF-8', true) )
{
    //是UTF-8格式的字符
}

网上有些人说这个函数判断不太准备，其实大致还是没问题的。

例子，利用mb_detect_encoding()判断字符是否为uft-8编码。

$encode = mb_detect_encoding($q, array('GB2312','GBK','UTF-8'));
echo $encode."<br/>";
if($encode=="GB2312")
{
    $q = iconv("GBK","UTF-8",$q);
}
else if($encode=="GBK")
{
    $q = iconv("GBK","UTF-8",$q);
}
else if($encode=="EUC-CN")
{
    $q = iconv("GBK","UTF-8",$q);
}
else//CP936
{
    //$q = iconv("GB2312","UTF-8",$q);
}

可是 mb_detect_encoding 存在一个硬伤，经常出现判断不准确的情况。或许这样就可以解决：

// 使用 iconv 转换并判断是否等值，效率不高
function is_utf8 ($str) {
    if ($str === iconv('UTF-8', 'UTF-8//IGNORE', $str)) {
        return 'UTF-8';
    }
}
// 多种编码的情况
function detect_encoding ($str) {
    foreach (array('GBK', 'UTF-8') as $v) {
        if ($str === iconv($v, $v . '//IGNORE', $str)) {
            return $v;
        }
    }
}

通过以上方式得到字符串编码信息后，就可以利用 iconv 或 mb_convert_encoding 来转换编码了

例子

<?php
/**
 * 检测文件编码
 * @param string $file 文件路径
 * @return string|null 返回 编码名 或 null
 */
function detect_encoding($file) {
    $list = array('GBK', 'UTF-8', 'UTF-16LE', 'UTF-16BE', 'ISO-8859-1');
    $str = file_get_contents($file);
    foreach ($list as $item) {
        $tmp = mb_convert_encoding($str, $item, $item);
        if (md5($tmp) == md5($str)) {
            return $item;
        }
    }
    return null;
}
/**
 * 自动解析编码读入文件
 * @param string $file 文件路径
 * @param string $charset 读取编码
 * @return string 返回读取内容
 */
function auto_read($file, $charset='UTF-8') {
    $list = array('GBK', 'UTF-8', 'UTF-16LE', 'UTF-16BE', 'ISO-8859-1');
    $str = file_get_contents($file);
    foreach ($list as $item) {
        $tmp = mb_convert_encoding($str, $item, $item);
        if (md5($tmp) == md5($str)) {
            return mb_convert_encoding($str, $charset, $item);
        }
    }
    return "";
}

例子

我创建三个文件：text1.txt  text2.txt text3.txt

分别以ASCII UTF-8 UNICODE 的编码方式保存

代码如下：

 

 

<?php
define ('UTF32_BIG_ENDIAN_BOM'   , chr(0x00) . chr(0x00) . chr(0xFE) . chr(0xFF));
define ('UTF32_LITTLE_ENDIAN_BOM', chr(0xFF) . chr(0xFE) . chr(0x00) . chr(0x00));
define ('UTF16_BIG_ENDIAN_BOM'   , chr(0xFE) . chr(0xFF));
define ('UTF16_LITTLE_ENDIAN_BOM', chr(0xFF) . chr(0xFE));
define ('UTF8_BOM'               , chr(0xEF) . chr(0xBB) . chr(0xBF));

function detect_utf_encoding($text) {
    $first2 = substr($text, 0, 2);
    $first3 = substr($text, 0, 3);
    $first4 = substr($text, 0, 3);
  
    if ($first3 == UTF8_BOM) return 'UTF-8';
    elseif ($first4 == UTF32_BIG_ENDIAN_BOM) return 'UTF-32BE';
    elseif ($first4 == UTF32_LITTLE_ENDIAN_BOM) return 'UTF-32LE';
    elseif ($first2 == UTF16_BIG_ENDIAN_BOM) return 'UTF-16BE';
    elseif ($first2 == UTF16_LITTLE_ENDIAN_BOM) return 'UTF-16LE';
}
function getFileEncoding($str){
    $encoding=mb_detect_encoding($str);
    if(empty($encoding)){
        $encoding=detect_utf_encoding($str);
    }
    return $encoding;
}
$file = 'text1.txt';
echo getFileEncoding(file_get_contents($file));  // 输出ASCII
echo '<br />';

$file = 'text2.txt';
echo getFileEncoding(file_get_contents($file));  // 输出UTF-8
echo '<br />';
$file = 'text3.txt';
echo getFileEncoding(file_get_contents($file));  // 输出UTF-16LE
echo '<br />';
?>

注意：要把php.ini中 extension=php_mbstring.dll 前的;号去掉，重启apache就可以了。

这两个函数是对于数据进行json一个转换了，一个是正转一个是反转了，下面我们来看看json_encode()和json_decode()的用法，有兴趣的朋友可一起来看看。

从5.2版本开始，PHP原生提供json_encode()和json_decode()函数，前者用于编码，后者用于解码。

一、json_encode()

string json_encode ( mixed $value [, int $options = 0 ] )：该函数主要用来将数组和对象，转换为json格式。$value为要转换的数据，除了resource 类型之外，可以为任何数据类型。

该函数只能接受 UTF-8 编码的数据，否则会得到空字符或者null。

$arr = array ('a'=>1,'b'=>2,'c'=>3,'d'=>4,'e'=>5);

echo json_encode($arr);

输出如下：

{"a":1,"b":2,"c":3,"d":4,"e":5}
 
对于对象的转换：
$test->site = 'ido321.com';

$test->id = 22;

$test->name = 'dwqs';

echo json_encode($test);
输出是:

{
"site":"ido321.com",

"id":22,

"name":"dwqs",
}

二、编码数组
 
PHP支持关联和索引数组，但由于javascript不支持关联数组，所以json_encode()只将索引数组（indexed array）转为数组格式，而将关联数组（associative array）转为对象格式。
$arr = Array('one', 'two', 'three');

echo json_encode($arr);
结果为：
["one","two","three"]
而对于关联数组
$arr = Array(1=>'one', 2=>'two', 3=>'three');
echo json_encode($arr);
结果为
{"1":"one","2":"two","3":"three"}
注意，数据格式从”[]”（数组）变成了”{}”（对象）。如果你需要将”索引数组”强制转化成”对象”，可以这样写

$arr = Array('one', 'two', 'three');
echo json_encode((object)$arr);
结果是
{"0":"one","1":"two","2":"three"}
还有一种方式
echo json_encode($arr,JSON_FORCE_OBJECT);

//输出：{"0":"one","1":"two","2":"three"}

三、对类的转换

class Test
    {
    const TEST="test";
    public $name="dwqs";
    private $age=21;
    protected $sex="male";
   
    public function getTest()
        {
        return self::TEST;
    }
}

$obj=new Test;
echo json_encode($obj);
输出结果
{"name":"dwqs"}

除了公开变量（public），其他东西（常量、私有变量、方法等等）都遗失了
 
四、json_decode()
 
该函数主要是对 JSON 格式的字符串进行编码,mixed json_decode ( string $json [, bool $assoc ] ),接受一个 JSON 格式的字符串并且把它转换为 PHP 变量。
<?php
$json = '{"a":1,"b":2,"c":3,"d":4,"e":5}';
var_dump(json_decode($json));
var_dump(json_decode($json, true));
?>
对应的输出是

object(stdClass)#1 (5) {
["a"] => int(1)
["b"] => int(2)
["c"] => int(3)
["d"] => int(4)
["e"] => int(5)
}

array(5) {
["a"] => int(1)
["b"] => int(2)
["c"] => int(3)
["d"] => int(4)
["e"] => int(5)
}

通常情况下，json_decode()总是返回一个PHP对象，而不是数组；如果想要强制生成PHP关联数组，json_decode()需要加一个参数true，就能返回关联数组。
对于json解码，很容易出错，

$bad_json = "{ 'bar': 'baz' }";

$bad_json = '{ bar: "baz" }';

$bad_json = '{ "bar": "baz", }';
 
对这三个字符串执行json_decode()都将返回null，并且报错。
第一个的错误是，json的分隔符（delimiter）只允许使用双引号，不能使用单引号。第二个的错误是，json名值对的”名”（冒号左边的部分），任何情况下都必须使用双引号。第三个的错误是，最后一个值之后不能添加逗号（trailing comma）。

另外，json只能用来表示对象（object）和数组（array），如果对一个字符串或数值使用json_decode()，将会返回null。

前段时间头一次听说浅复制与深复制了，当时就是看的java例子，下文我来为各位分享一些小编总结的php中浅复制与深复制的例子供各位学习

周末闲来无事看到了原型模式，其中谈到了浅复制和深复制，想到PHP中的对应赋值、克隆以及克隆是浅复制还是深复制。

先来看看赋值，例如有一个简历类，有身高和体重两个属性：

class Resume 

{

    public $height;

    public $weight;

 

    public $workExperience;

}

$ResumeA = new Resume();

$ResumeB = $ResumeA;

此时实例化了一个Resume类并赋值给了$ResumeA变量，然后将$ResumeA变量赋值给$ResumeB。PHP手册上有说：

自PHP5起，new运算符自动返回一个引用，一个对象变量已经不再保存整个对象的值。只是保存一个标识符来访问真正的对象内容。 当对象作为参数传递，作为结果返回，或者赋值给另外一个变量，另外一个变量跟原来的不是引用的关系，只是他们都保存着同一个标识符的拷贝，这个标识符指向同一个对象的真正内容。

所以若通过$ResumeB修改height属性，则$ResumeA也会跟着变。如果想要复制一个全新的对象，则可以通过clone来实现，如：

$ResumeB = clone $ResumeA;

此时将$ResumeA的值拷贝到新的变量$ResumeB中，改变其中一个不影响另一个，修改$ResumeB中height属性，$ResumeA不会跟着改变。
但如果该类引用了其他对象，则所有的引用仍然指向到原来的对象。clone的这种复制方式就是浅复制。被赋值对象的所有变量都还有与原来对象相同的值，而所有的对其他对象的引用都仍然指向原来的对象。

如果上面类中workExperience为WorkExperience类的引用，当克隆的时候，克隆前后的workExperience属性还是指向到同一个对象内容。

与浅复制对应的是深复制，深复制把引用对象的变量指向复制过的新对象，而不是原有的被引用的对象。

PHP中可以通过两种方式来实现深复制。第一种是__clone魔术方法：

public function __clone()

{

    $this->workExperience = new WorkExperience();

}

深复制涉及深的层次，通过clone魔术方法实现需要知道有几层然后对每一层依次实现。还有一种是可以通过序列化对象的方式，先将对象序列化之后再反序列化，如：

$ResumeB = unserialize(serialize($ResumeA));

clone还算常用的拷贝方式，整理的目的只是为了记录一下clone是浅复制，需要注意一下对象的引用

我们再举一个更实用的例子来说明一下PHP clone这种浅拷贝带来的后果：

class testClass
{
   public $str_data;
   public $obj_data;
}
$dateTimeObj = new DateTime("2014-07-05", new DateTimeZone("UTC"));
$obj1 = new testClass();
$obj1->str_data ="aaa";
$obj1->obj_data = $dateTimeObj;
$obj2 = clone $obj1;
var_dump($obj1);    // str_data："aaa"  obj_data："2014-07-05 00:00:00"
var_dump($obj2);    // str_data："aaa"  obj_data："2014-07-05 00:00:00"
$obj2->str_data ="bbb";
$obj2->obj_data->add(new DateInterval('P10D'));      //给$obj2->obj_date 的时间增加了10天
var_dump($obj1);     // str_data："aaa"   obj_data："2014-07-15 00:00:00"  !!!!
var_dump($obj2);     // str_data："bbb"   obj_data："2014-07-15 00:00:00"
var_dump($dateTimeObj)  // 2014-07-15 00:00:00"

这一下可以更加清楚的看到问题了吧。 一般来讲，你用clone来复制对象，希望是把两个对象彻底分开，不希望他们之间有任何关联， 但由于clone的shallow copy的特性， 有时候会出现非你期望的结果，上面的例子中，
1) $obj1->obj_data =$dateTimeObj 这句话实际上是个引用类型的赋值. 还记得前面提到的PHP中对象直接的赋值是引用操作么？除非你用$obj1->obj_dat = clone $dataTimeObj!

2) $obj2 = clone $obj1 这句话生成了一个obj1对象的浅拷贝对象，并赋给obj2. 由于是浅拷贝，obj2中的obj_data也是对$dateTimeObj的引用！

3）$dateTimeObj, $obj1->obj_data, $obj2->obj_data 实际上是同一个内存区对象数据的引用，因此修改其中任何一个都会影响其他两个！

 

如何解决这个问题呢？ 采用PHP中的 __clone方法 把浅拷贝转换为深拷贝（这个方法给C++中的copy constructor概念上有些相似，但执行流程并不一样）

class testClass
{
 public $str_data;
 public $obj_data;
 public function __clone() {
   $this->obj_data = clone $this->obj_data;
}
$dateTimeObj = new DateTime("2014-07-05", new DateTimeZone("UTC"));
$obj1 = new testClass();
$obj1->str_data ="aaa";
$obj1->obj_data = $dateTimeObj;
$obj2 = clone $obj1;
var_dump($obj1);  // str_data："aaa"  obj_data："2014-07-05 00:00:00"
var_dump($obj2);  // str_data："aaa"  obj_data："2014-07-05 00:00:00"
$obj2->str_data ="bbb";
$obj2->obj_data->add(new DateInterval('P10D'));
var_dump($obj1);  // str_data："aaa"  obj_data："2014-07-05 00:00:00"
var_dump($obj2);  // str_data："aaa"  obj_data："2014-07-15 00:00:00"
var_dump($dateTimeObj);  //"2014-07-05 00:00:00"

关于 __clone() , PHP官方的文档： Once the cloing is complete, if a __clone() method is defined, then the newly created object’s __clone() method will be called, to allow any necessary properties that need to be changed.

按照这个定义，事实上__clone方法可以做很多事情，但我目前能想到的就只有把 浅拷贝变成深拷贝 这个场景的应用了， 如果有其他用法，欢迎大家提出来

magic_quotes_gpc是用来判断我们apache是不是开启了自动转译功能了，为了让各位更好的理解魔法引用magic_quotes_gpc(）函数用法下面来给各位总结与举一些例子。

magic_quotes_gpc的设定值将会影响通过Get/Post/Cookies获得的数据

这两天接入百度SDK处理支付回调时碰到了签名通不过的情况，签名规则很简单，md5(transdata + appkey) 和 接受到的sign比较，请求方式为POST。

于是乎通过php://input记录下了原始数据和记录下了POST数据，通过日志查看到结果类似如下：

//原始数据
transdata={"exorderno":"2014031223","transid":"05514312314566",
"waresid":1,"appid":"1","feetype":0,"money":1,"count":1,"result":0,
"transtype":0,"transtime":"2014-03-12 15:33:19","paytype":401}&sign=xxxx
 
//post数据
[transdata] => {\"exorderno\":\"2014031223452345234\",\"transid\":
\"05514031215312314566\",\"waresid\":1,\"appid\":\"1\",\"feetype\":0,
\"money\":1,\"count\":1,\"result\":0,\"transtype\":0,
\"transtime\":\"2014-03-12 15:33:19\",\"paytype\":401}
[sign] => xxxx

可见接收到post数据时引号自动转义了，而程序上未做到该操作，很容易就联想到服务器的魔法引用打开了，查看
php版本

PHP 5.2.14 (cli) (built: Jun 7 2012 20:39:40)
Copyright (c) 1997-2010 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2010 Zend Technologies

例子说明：

$data1 = $_POST['aaa']; 

 $data2 = implode(file('1.txt')); 

 if(get_magic_quotes_gpc()){ 

    //把数据$data1直接写入数据库 (自动转译) 

 }else{ 

    $data1 = addslashes($data1); 

    //把数据$data1写入数据库，用函数(addslashes()转译) 

 } 

 if(get_magic_quotes_runtime()){ 

    //把数据$data2直接写入数据库(自动转译) 

 //从数据库读出的数据要经过一次stripslashes()之后输出,stripslashes()的作用是去掉:\ ，和addslashes()作用相反 

 }else{ 

    $data2 = addslashes($data2); 

     //把数据$data2写入数据库 

   

 //从数据库读出的数据直接输出 

}

最关键的区别是就是上面提到的2点:他们针对的处理对象不同

magic_quotes_gpc的设定值将会影响通过Get/Post/Cookies获得的数据

注意的是没有 set_magic_quotes_gpc()这个函数,就是不能在程序里面设置magic_quotes_gpc的值。

魔法引用5.4才删掉的，那极有可能这里打开在，查看配置文件确实如此，根据条件开关strip一下即可。

问题很快就解决了，但如果不熟悉这块可能还需要点时间，之前在CI的全局参数xss设置中有类似的地方，当进行全局处理之后对于这种接口、密钥可能会带来一些影响，所以全局参数过滤需要注意点。

矛盾可分为主要矛盾和次要矛盾，我们在程序设计中也常有这种思想，改最少的地方，过滤大部分参数，少数特殊处理。php中把它去掉了并不说明它没有存在的价值，有了魔法引用少了很多注入，但同时也让一些东西变得混乱，哪里需要转义，要怎么转义，通过什么方式来转义等等。客观看待，汲取中间有用的部分