PHP+MySQL+Dreamweaver整合教學(PHPMaker運用設計網站教學):快速設計網站與網頁
總教頭特別企畫【專業整合課程】比傳統的學習的還要快速與實用!


感謝您造訪 PHP程式設計+MySQL資料庫+Dreamweaver整合教學(PHPMaker運用設計網站教學)密訓基地。 你可進入教學詳細內容介紹頁面,詳細瞭解PHP程式設計+MySQL資料庫(PHPMaker運用設計網站教學)及相關技術維護影片教學(完整配套措施),馬上可以設計架站程式與PHP網頁,快速建立MySQL資料庫、自動生成PHP網頁。可對資料庫進行瀏覽、修改、查詢、加入和刪除(整合成我們需要的網站)。

要在網路上經營網站賺大錢,不能只會下載現有的程式來架站(自己設計才能完全符合專業的特殊需求),你不用死背PHP語法,更可以完全不用花錢用購買資料庫(PHPMySQL完全免費!)你可以透過技術學習,讓PHP程式網頁+網路資料庫+Dreamweaver整合教學→讓你快速成為:【動態網站程式設計專家→你能因此賺大錢】!

 PHP程式設計+MySQL資料庫+Dreamweaver整合教學(PHPMaker運用設計網站教學):

http://por.tw/php/new-E_learning/index.php


PHP程式設計+MySQL資料庫+Dreamweaver整合教學(PHPMaker運用教學)密訓基地  總教頭  敬上

瀏覽模式: 普通 | 列表

使用PHP執行linux系統指令

如何使用PHP執行linux系統指令呢?
相信這是很多學員想知道答案!

首先先要給大家介紹PHP執行linux系統指令的幾個基本函數。

system函數

說明:執行外部程式並顯示輸出資料。
語法:string system(string command, int [return_var]);
返回值: 字串

詳細介紹:
本函數就像是 C 語中的函數 system(),用來執行指令,並輸出結果。若是 return_var 參數存在,則執行 command 之後的狀態會填入 return_var 中。同樣值得注意的是若需要處理使用者輸入的資料,而又要防止使用者耍花招破解系統,則可以使用 EscapeShellCmd()。若 PHP 以模組式的執行,本函數會在每一行輸出後自動更新 Web 伺服器的輸出緩衝暫存區。若需要完整的返回字串,且不想經由不必要的其它中間的輸出介面,可以使用 PassThru()。

案例代碼:
< ?php
$last_line = system('ls', $retval);
echo 'Last line of the output: ' . $last_line;
echo '<hr />Return value: ' . $retval;
?>

exec函數
說明:執行外部程式。
語法:string exec(string command, string [array], int [return_var]);
返回值: 字串

詳細介紹:
本函數執行輸入 command 的外部程式或外部指令。
它的返回字串只是外部程式執行後返回的最後一行;若需要完整的返回字串,可以使用 PassThru() 這個函數。

要是參數 array 存在,command 會將 array 加到參數中執行,若不欲 array 被處理,可以在執行 exec() 之前呼叫 unset()。
若是 return_var 跟 array 二個參數都存在,則執行 command 之後的狀態會填入 return_var 中。

值得注意的是若需要處理使用者輸入的資料,而又要防止使用者耍花招破解系統,則可以使用 EscapeShellCmd()。

案例代碼:
<?php
echo exec('whoami');
?>  

popen函數
說明:開啟檔案。
語法:int popen(string command, string mode);
返回值: 整數

詳細介紹:
本函數執行指令開檔,而該檔案是用管道模式處理的檔案。
用本函數開啟的檔案只能是單向的 (只能讀或只能寫),而且一定要用 pclose() 關閉。
在檔案操作上可使用 fgets()、fgetss() 與 fputs()。若是開檔發生錯誤,返回 false 值。

案例代碼:
<?
$fp = popen( "/bin/ls", "r" );
?>  

PHP代碼自動生成工具-PHPMaker 7 繁體中文化版

PHP代碼自動生成工具-PHPMaker 7 繁體中文化版

PHPMaker 是由 e.World Technology 開發的 PHP 代碼自動生成工具。
PHP代碼自動生成工具,一款在Windows平台上運行的基於MYSQL資料庫自動生成PHP腳本的軟體。
使用生成的PPHP代碼自動生成工具,一款在Windows平台上運行的基於MYSQL資料庫自動生成PHP腳本的軟體。
使用生成的PHP代碼,你可以通過WEB網頁對資料庫的記錄進行瀏覽、修改、查詢、加入和刪除。
利用它你只需幾步就可以得到完整的PHP代碼。
清晰易懂的生成代碼,方便開發人員在其基礎上二次開發。

attachments/201009/4740736531.png

PHPMaker是一個強大的自動化工具,可以生成一套完整的PHP迅速從 MySQL和PostgreSQL,Microsoft Access和Microsoft SQL Server資料庫。
使用PHPMaker,你可以立即建立的網站,容許使用者檢視,編輯,搜尋,加入和刪除記錄在網頁上。
PHPMaker是專為高度的彈性,許多選項可以生成PHP應用程式最適合您的需要。
生成的代碼是乾淨,簡單和易於定制。
PHP的腳本可以運行在Windows伺服器(MySQL的/ PostgreSQL的/訪問 / MSSQL)或Linux / Unix伺服器(MySQL的/ PostgreSQL的)。
PHPMaker噸可以節省你的時間和適合初學者和有經驗的develpers一樣。

attachments/201009/2973111442.png
 
PHPMaker is a powerful automation tool that can generate a full set of PHP quickly from MySQL, PostgreSQL, Microsoft Access and Microsoft SQL Server databases.
Using PHPMaker, you can instantly create web sites that allow users to view, edit, search, add and delete records on the web.
PHPMaker is designed for high flexibility, numerous options enable you to generate PHP applications that best suits your needs.
The generated codes are clean, straightforward and easy-to-customize.
The PHP scripts can be run on Windows servers (MySQL/PostgreSQL/Access/MSSQL) or Linux/Unix servers (MySQL/PostgreSQL).
PHPMaker can save you tons of time and is suitable for both beginners and experienced develpers alike.

提示: PHP代碼自動生成工具-PHPMaker 7原版是英文版,中文化非常不容易(有些字串不能動,否則生成程式時會發生錯誤,程式變成廢物不能用),再則生成程式的編碼只有一種,中文有Big5與UTF-8兩種編碼,程式編碼如果不修改則中文會產生『亂碼』如此好工具國人根本無法使用,目前全世界都找不到繁體中文化版(注意:不是封包語系檔喔!)。總教頭發很多時間修改,終於完成完整的【PHPMaker 7 繁體中文化版】,配合影片教學,那設計PHP程式結合MySQL資料庫的運用就得以快速產生,真可說是:PHP結合MySQL程式開發的神兵利器,再配合使用DreamweaverCSS樣式修改美化版面,那就可以讓很多PHP網站程式依據自己需要開發了!所以報名學習:【PHP程式設計+MySQL資料庫+Dreamweaver整合教學(PHPMaker運用設計網站教學)】課程就可獲得【PHPMaker 7 繁體中文化版】及程式開發技術!獨家技術、讓你快速商業運用,成為PHP程式開發高手。


標籤: PHPMaker

詳細學習PHP的日期時間函數date()

詳細學習PHP的日期時間函數date()

1.年--
echo date('Y-m-j');
2007-02-6

echo date('y-n-j');
07-2-6

大寫Y表示年四位元數字,而小寫y表示年的兩位元數字;
小寫m表示月份的數字(帶前導),而小寫n則表示不帶前導的月份數字。

echo date('Y-M-j');
2007-Feb-6

echo date('Y-m-d');
2007-02-06

大寫M表示月份的3個縮寫字元,而小寫m則表示月份的數字(帶前導0);
沒有大寫的J,只有小寫j表示月份的日期,無前導o;若需要月份帶前導則使用小寫d

echo date('Y-M-j');
2007-Feb-6

echo date('Y-F-jS');
2007-February-6th

大寫M表示月份的3個縮寫字元,而大寫F表示月份的英文全寫。(沒有小寫f)
大寫S表示日期的尾碼,比如“st”、“nd”、“rd”和“th”,具體看日期數字為何。

小結:
表示年可以用大寫的Y和小寫y;
表示月可以用大寫F、大寫M、小寫m和小寫n(分別表示字元和數位的兩種方式);
表示日可以用小寫d和小寫j,大寫S表示日期的尾碼。

2
.時::
預設情況下,PHP解釋顯示的時間為“格林威治標準時間”,與我們本地的時間相差8個小時。

echo date('g:i:s a');
5:56:57 am

echo date('h:i:s A');
05:56:57 AM

小寫g表示12小時制,無前導0,而小寫h則表示有前導012小時制。
當使用12小時制時需要表明上下午,小寫a表示小寫的“am”和“pm”,大寫A表示大寫的“AM”和“PM”。

echo date('G:i:s');
14:02:26

大寫G表示24小時制的小時數,但是不帶前導的;使用大寫的H表示帶前導的24小時制小時數

小結:
字母g表示小時不帶前導,字母h表示小時帶前導;
小寫gh表示12小時制,大寫GH表示24小時制。

3
.閏年、星期、天

echo date('L');
今年是否閏年:0

echo date('l');
今天是:Tuesday

echo date('D');
今天是:Tue

大寫L表示判斷今年是否閏年,布林值,為真返回1,否則為0
小寫l表示當天是星期幾的英文全寫(Tuesday)
而使用大寫D表示星期幾的3個字元縮寫(Tue)

echo date('w');
今天星期:2

echo date('W');
本周是全年中的第 06

小寫w表示星期幾,數位形式表示
大寫W表示一年中的星期數

echo date('t');
本月是 28

echo date('z');
今天是今年的第 36

小寫t表示當前月份又多少天
小寫z表示今天是本年中第幾天

4
.其他

echo date('T');
UTC
大寫T表示伺服器的時間區域設置

echo date('I');
0
大寫I表示判斷當前是否為夏令時,為真返回1,否則為0

echo date('U');
1170769424
大寫U表示從197011到現在的總秒數,就是Unix時間紀元的UNIX時間戳。

echo date('c');
2007-02-06T14:24:43+00:00
小寫c表示ISO8601日期,日期格式為YYYY-MM-DD,用字母T來間隔日期和時間,時間格式為HH:MM:SS,時區使用格林威治標準時間(GMT)的偏差來表示。

伺服器配置:Squid配置詳解

伺服器配置:Squid配置詳解
 
基本配置
安裝完成後,接下來要對Squid的運行進行配置(不是前面安裝時的配置)。所有項目都在squid.conf中完成。Squid自帶的squid.conf內含非常詳盡的說明,相當於一篇使用者手冊,對配置有任何疑問都可以參照解決。

在這個例子中,代理伺服器同時也是通訊閘,內定網路介面eth0的IP位址為192.168.0.1,外部網路接eth1的IP位址為202.103.x.x。下面是一個基本的代理所需要配置選項:

http_port 192.168.0.1:3128

預設埠是3128,當然也可以是任何其它埠,只要不與其它服務發生衝突即可。為了安全起見,在前面加上IP位址,Squid就不會監聽外部的網路介面。 下面的配置選項是伺服器管理者的電子信件,當錯誤發生時,該位址會顯示在錯誤頁面上,便於使用者聯繫:

cache_mgr start@por.com

以下這些參數告訴Squid快取的檔案系統、位置和快取策略:

cache_dir ufs /var/squid cache_mem 32MB cache_swap_low 90 cache_swap_high 95

在這裡,Squid會將/var/squid目錄作為儲存快取資料的目錄,每次處理的快取大小是32兆位元組,當快取空間使用達到95%時,新的內容將 取代舊的而不直接新增到目錄中,直到空間又下降到90%才停止這一活動。

如果不想Squid快取任何檔案,如某些存儲空間有限的專有系統,可以使用 null檔案系統(這樣不需要那些快取策略):

cache_dir null /tmp

下面的幾個關於快取的策略配置中,較主要的是第一行,即使用者的訪問記錄,可以通過分析它來瞭解所有使用者訪問的詳盡位址:

cache_access_log /var/squid/access.log cache_log /var/squid/cache.log cache_store_log /var/squid/store.log

下面這行配置是在較新版本中出現的參數,告訴Squid在錯誤頁面中顯示的伺服器名稱:

visible_hostname No1.proxy

以下配置告訴Squid如何處理使用者,對每個請求的IP位址作為單獨位址處理:

client_netmask 255.255.255.255

如果是普通代理伺服器,以上的配置已經足夠。但是很多Squid都被用來做透明代理。

所謂透明代理,就是用戶端不知道有代理伺服器的存在,當然也不需要進行任何與代理有關的設定,從而大大方便了系統管理員。關聯的選項有以下幾個:

httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_user_host_header on

在Linux上,可以用iptables/ipchains直接將對Web埠80的請求直接轉信到Squid埠3128,由Squid接手,而使用者瀏覽器仍然認為它訪問的是對方的80埠。例如以下這條指令:

iptables -t nat -A PREROUTING -s 192.168.0.200/32 -p tcp --dport 80 -j REDIRECT 3128

page
    就是將192.168.0.200的所有針對80埠的訪問重導至3128埠。

所有設定完成後,關鍵且重要的任務是訪問控制。Squid支援的管理模式很多,使用起來也非常簡單(這也是有人寧願使用不做任何快取的Squid,也 不願意單獨使用iptables的原因)。

Squid可以通過IP位址、主電腦名、MAC位址、使用者/密碼認證等識別使用者,也可以通過功能變數名、功能變數副檔名、檔案類 型、IP位址、埠、URL符合等控制使用者的訪問,還可以使用時間區間對使用者進行管理,所以訪問控制是Squid配置中的重點。

Squid用ACL (Access Control List,訪問控制清單)對訪問類型進行劃分,用http_access deny 或allow進行控制。根據需求首先定義兩組使用者advance和normal,還有代表所有未指明的使用者組all及不容許上網的baduser,配置代 碼如下:

acl advance 192.168.0.2-192.168.0.10/32 acl normal src 192.168.0.11-192.168.0.200/32 acl baduser src 192.168.0.100/32 acl baddst dst www.soocol.com acl all src 0.0.0.0/0 http_access deny baduser http_access allow advance http_access allow normal

可以看出,ACL的基本格式如下: acl 清單名稱 控制模式 控制目的 比如acl all src 0.0.0.0/0,其名稱是all,控制模式是src源IP位址,控制目的是0.0.0.0/0的IP位址,即所有未定義的使用者。出於安全考慮,總是在最後禁止這個清單。 下面這個清單代表進階使用者,內含IP位址從192.168.0.2到192.168.0.10的所有電腦:

acl advance 192.168.0.2-192.168.0.20/32

下面這個baduser清單只包括一台電腦,其IP位址是192.168.0.100:

acl baduser 192.168.0.100/32

ACL寫完後,接下來要對它們分別進行管理,代碼如下:

http_access deny baduser http_access allow advance http_access allow normal

上面幾行代碼告訴Squid不容許baduser組訪問Internet,但advance、normal組容許(此時還沒有指定詳細的權限)。由 於 Squid是按照順序讀取規則,會首先禁止baduser,然後容許normal。如果將兩條規則順序顛倒,由於baduser在normal範圍中, Squid先容許了所有的normal,那麼再禁止baduser就不會起作用。

特別要注意的是,Squid將使用allow-deny-allow-deny……這樣的順序套用規則。例如,當一個使用者訪問代理伺服器時, Squid會順序測試Squid中定義的所有規則清單,當所有規則都不符合時,Squid會使用與最後一條相反的規則。

就像上面這個例子,假設有一個使用者 的IP位址是192.168.0.201,他試圖通過這台代理伺服器訪問Internet,會發生什麼情況呢?我們會發現,他能夠標準訪問,因為 Squid找遍所有訪問清單也沒有和192.168.0.201有關的定義,便開始應用規則,而最後一條是deny,那麼Squid預設的下一筆處理規則 是allow,所以192.168.0.201反而能夠訪問Internet了,這顯然不是我們希望的。所以在所有squid.conf中,最後一條規則 永遠是http_access deny all,而all就是前面定義的「src 0.0.0.0」。

進階控制

前面說過,Squid的控制功能非常強大,只要理解Squid的行為模式,基本上就能夠滿足所有的控制要求。下面就一步一步來瞭解Squid是如何進行控制管理的。

通過IP位址來識別使用者很不可靠,比IP位址更好的是網路卡的MAC物理位址。要在Squid中使用MAC位址識別,必須在編譯時加上「--enable-arp-acl」選項,然後可以通過以下的語句來識別使用者:

acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ...

它直接使用使用者的MAC位址,而MAC位址一般是不易修改的,即使有普通使用者將自己的IP位址改為進階使用者也無法通過,所以這種模式比IP位址可靠得多。

假如不想讓使用者訪問某個網站應該怎麼做呢?可以分為兩種情況:一種是不容許訪問某個站台的某個主電腦,比如ok的主電腦是ok.sina.com.cn,而其它的新浪資源卻是容許訪問的,那麼ACL可以這樣寫:

acl sinapage dstdomain ok.sina.com.cn ... ... http_access deny ok ... ...

page
    另一種情況是整個網站都不許訪問,那麼只需要寫出這個網站共有的功能變數名即可,配置如下:

acl qq dstdomain .tcccent.com.cn

注意tcccent前面的「.」,正是它指出以此功能變數名結尾的所有主電腦都不可訪問,否則就只有tcccent.com.cn這一台主電腦不能訪問。

如果想禁止對某個IP位址的訪問,如202.118.2.182,可以用dst來控制,代碼如下:

acl badaddr dst 202.118.2.182

當然,這個dst也可以是功能變數名,由Squid查詢DNS伺服器將其轉換為IP。

還有一種比較廣泛的控制是檔案類型。如果不希望普通使用者通過代理伺服器下載MP3、AVI等檔案,完全可以對他們進行限制,代碼如下:

acl mmxfile urlpath_regex .mp3$ .avi$ .exe$ http_access deny mmxfile

看到regex,很多讀者應該心領神會,因為這條語句使用了標準的規則表達式(又叫正則表達式)。它將符合所有以.mp3、.avi等結尾的URL請求,還可以用-i參數忽略大小寫,例如以下代碼:

acl mmxfile urlpath_regex -i .mp3$

這樣,無論是.mp3還是.MP3都會被拒絕。當然,-i參數適用於任何可能需要區分大小寫的地方,如前面的功能變數名控制。

如果想讓普通使用者只在上班時間可以上網,而且是每週的工作日,用Squid應當如何處理呢?看看下面的ACL定義:

acl worktime time MTWHF 8:30-12:00 14:00-18:00 http_access deny !worktime

首先定義容許上網的時間是每週工作日(星期一至星期五)的上午和下午的固定時段,然後用http_access 定義所有不在這個時間段內的請求都是不容許的。

或是為了保證進階使用者的頻寬,希望每個使用者的並發連線不能太多,以免影響他人,也可以通過Squid控制,代碼如下:

acl conncount maxconn 3 http_access deny conncount normal http_access allow normal

這樣,普通使用者在某個固定時刻只能同時發起三個連線,從第四個開始,連線將被拒絕。

總之,Squid的ACL配置非常靈活、強大,更多的控制模式可以參考squid.conf.default。

認證

使用者/密碼認證為Squid管理提供了更多便利,最常用的認證模式是NCSA。從Squid 2.5版本開始,NCSA認證包括在了basic中,而非以前單獨的認證模組。下面來看看實現認證的具體操作。

首先在編譯時配置選項應內含以下配置:

--enable-auth="basic" --enable-basic-auth-helpers="NCSA"

page
    「make install」以後,需要將「helpers/basic_auth/NCSA/ncsa_auth」複製到使用者可執行目錄中,如/usr/bin(如 果在該目錄中找不到這個執行檔案,在編譯時請使用make all而不是make,或是直接在該目錄中執行make),然後需要借助Apache的密碼管理程式htpasswd來生成使用者名/密碼對應的檔案,就像 下面這行代碼:

htpasswd -c /var/squid/etc/password guest

在輸入兩遍guest使用者的密碼後,一個guest使用者就生成了。如果以後需要加入使用者,把上面的指令去掉-c參數再運行即可。

Squid 2.5在認證處理上有了較大的改變,這裡就只討論2.5版本的處理方法,2.4及以下版本請參考squid.conf.default。在2.5版的squid.conf中,內含以下幾個關聯選項:

該選項指出了認證模式(basic)、需要的程式(ncsa_auth)和對應的密碼檔案(password)

auth_param basic program /usr/bin/ncsa_auth /var/squid/etc/password

指定認證程式的程式數

auth_param basic children 5

瀏覽器顯示輸入使用者/密碼對話框時的領功能變數內容

auth_param basic realm My Proxy Caching Domain

基本的認證有效時間

auth_param basic credentialsttl 2 hours

普通使用者需要通過認證才能訪問Internet

acl normal proxy_auth REQUIRED http_access allow normal

通過以上的配置即可完成認證工作。有的讀者可能要問:認證只針對普通使用者,而進階使用者是直接上網的,該怎麼處理呢?其實,這兩種使用者是可以共存的。

如 前所述,Squid是順序處理http_access的,所以在http_access處理過程中,如果先處理normal使用者,那麼現用的使用者無論是否屬 於進階使用者,都會被要求進行認證;相反如果先處理進階使用者,剩下的就只有需要認證的普通使用者了。例如以下配置代碼:

... http_access allow normal (需要認證) http_access allow advance (不需要認證) ...

不管是否為noauth使用者,都要求進行使用者名/密碼驗證。正確的方法是將二者位置交換,代碼如下:

... http_access allow advance http_access allow normal ...

這時,進階使用者不會受到任何影響。

總結

下面把整個squid.conf總結一下:

伺服器配置

http_port 192.168.0.1:3128 cache_mgr start@por.com cache_dir null /tmp cache_access_log /var/squid/access.log cache_log /var/squid/cache.log cache_store_log /var/squid/store.log visible_hostname No1.proxy client_mask 255.255.255.255 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_user_host_header on

使用者分類

acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ... acl normal proxy_auth REQUIED acl all src 0.0.0.0

行為分類

acl mmxfile urlpath_regex .mp3$ .avi$ .exe$ acl conncount maxconn 3 acl worktime time MTWHF 8:30-12:00 14:00-18:00 acl sinapage dstdomain ok.sina.com.cn acl qq dstdomain .tcccent.com.cn

處理

http_access allow advance http_access deny conncount normal http_access deny !worktime http_access deny mmxfile http_access deny sinapage http_access deny qq http_access allow normal

配置後的狀況是,advance組可以不受任何限制地訪問Internet,而normal組則只能在工作時間上網,而且不能下載多媒體檔案,不能訪問某些特定的站台,而且傳送請求不能超過3個。

通過本文的介紹,它可以瞭解Squid的基本能力。當然,它的能力遠不止此,可以建立強大的代理伺服器陣列,可以說明本地的Web伺服器提高效能,可以提高本地網路的安全性等。要想發揮它的功效,還需要進一步控制。
PHP程式設計問題諮詢:
為什麼我升級PHP後,原來的程式出現滿螢幕的 Notice: Undefined variable:


---------------------------------------------------------
PHP程式設計問題回覆:
 Notice: Undefined variable:
這是警告的意思,由於變數未定義引起的.
打開php.ini,找到最下面的error_reporting,修改為error_reporting = E_ALL & ~E_NOTICE

對於Parse error錯誤
error_reporting(0)無法關閉.
如果你想關閉任何錯誤提示,打開php.ini,找到display_errors,設置為display_errors = Off.以後任何錯誤都不會提示.

當magic_quotes_gpc=off

當magic_quotes_gpc=off

Pstzine0x03裡"[0x06] 高級PHP代碼審核技術"一文中關於 "5.3.6 變數key與魔術引號" 部分的php原始程式碼分析

author: ryat#www.wolvez.org
team:http://www.80vul.com
date:2009-04-10

一、綜述

magic_quotes_gpc是php中的一個安全選項,在php manual中對此有如下描述:

When on, all ' (single-quote), " (double quote), (backslash) and NULL characters are escaped with a backslash automatically. This is identical to what addslashes() does

雖然magic_quotes_gpc有助於提升程式的安全性並且在php中默認開啟,但同時也帶來了其他的一些問題,因此在php6中將去掉此選項。

二、當magic_quotes_gpc=off

考慮到部分伺服器關閉了magic_quotes_gpc或者其他的一些原因[如影響功能等],很多程式在如magic_quotes_gpc=off下自己實現一個代碼來類比magic_quotes_gpc=on的情況. 如下面的一段代碼:

define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());

...

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {

foreach($$_request as $_key => $_value) {

$_key{0} != '_' && $$_key = daddslashes($_value);

}

}

...

function daddslashes($string, $force = 0) {

!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());

if(!MAGIC_QUOTES_GPC || $force) {

if(is_array($string)) {

foreach($string as $key => $val) {

$string[$key] = daddslashes($val, $force);

}

} else {

$string = addslashes($string);

}

}

return $string;

}

利用addslashes()函數類比了magic_quotes_gpc=on時的效果,看上去很完美,其實是有缺陷的或者說只是類比了magic_quotes_gpc的部分功能.

三、magic_quotes_gpc的代碼分析

php在註冊$_GET/$_POST等超全域變數時magic_quotes_gpc部分的代碼:

// php_variables.c

PHPAPI void php_register_variable_safe(char *var, char *strval, int str_len, zval *track_vars_array TSRMLS_DC)

{

// 對變數值的處理

...

if (PG(magic_quotes_gpc)) {

Z_STRVAL(new_entry) = php_addslashes(strval, Z_STRLEN(new_entry), &Z_STRLEN(new_entry), 0 TSRMLS_CC);

} else {

Z_STRVAL(new_entry) = estrndup(strval, Z_STRLEN(new_entry));

}

...

PHPAPI void php_register_variable_ex(char *var_name, zval *val, zval *track_vars_array TSRMLS_DC)

{

// 對變數名的處理

...

zend_bool is_array = 0;

...

for (p = var; *p; p++) {

if (*p == ' ' || *p == '.') {

*p='_';

} else if (*p == '[') {

is_array = 1;

ip = p;

*p = 0;

break;

}

}

var_len = p - var;

// 上面這段代碼沒有考慮變數名的原始長度,所以這裡是not binary safe

// 也就是說,提交 test.php?ryat%00wst=1 將會生成$_GET['ryat']=1

...

if (is_array) {

// 如果變數名是陣列的形式

...

} else {

// php > 5.2.1

if (PG(magic_quotes_gpc)) {

// php = 4.x && php <= 5.2.1

// if (PG(magic_quotes_gpc) && (index!=var)) {

escaped_index = php_addslashes(index, index_len, &index_len, 0 TSRMLS_CC);

} else {

escaped_index = index;

}

...

} else {

// 這部分的magic_quotes_gpc處理和上面一樣

...

由上面的代碼可以看到,magic_quotes_gpc=on時不僅僅用addslashes處理了變數值,而且處理了變數名[既$_GET/$_POST等超全域變數的key,另外要注意的是:[1]在php4和php<5.2.1的版本中,不處理第一維的key:)]

而前面那段模擬magic_quotes_gpc的代碼僅僅處理了陣列的值,因此是存在安全隱患的。

四、實例[ECShop SQL injection 漏洞分析]

文件includes/init.php判斷get_magic_quotes_gpc(),如果為off則調用addslashes_deep():

// includes/init.php

if (!get_magic_quotes_gpc())

{

if (!empty($_GET))

{

$_GET = addslashes_deep($_GET);

}

if (!empty($_POST))

{

$_POST = addslashes_deep($_POST);

}

$_COOKIE = addslashes_deep($_COOKIE);

$_REQUEST = addslashes_deep($_REQUEST);

}

addslashes_deep()在文件includes/lib_base.php裡最後通過addslashes()處理

// includes/lib_base.php

function addslashes_deep($value)

{

if (empty($value))

{

return $value;

}

else

{

return is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value);

// 只處理了陣列的值:)

}

}

下面看下具體的導致漏洞的代碼,文件 pick_out.php裡:

// pick_out.php

if (!empty($_GET['attr']))

{

foreach($_GET['attr'] as $key => $value)

{

$key = intval($key);

$_GET['attr'][$key] = htmlspecialchars($value);

// foreach處理的是指定陣列的拷貝,所以這裡的處理並不影響陣列原先的key和value

// 因此可以引入任意的key:)

// 程式師的邏輯出了問題?

}

}

...

foreach ($_GET['attr'] AS $key => $value)

{

$attr_url .= '&attr[' . $key . ']=' . $value;

$attr_picks[] = $key;

if ($i > 0)

{

if (empty($goods_result))

{

break;

}

// 利用key進行注射:)

$goods_result = $db->getCol("SELECT goods_id FROM " . $ecs->table("goods_attr") . " WHERE goods_id IN (" . implode(',' , $goods_result) . ") AND attr_id='$key' AND attr_value='$value'");

由於magic_quotes_gpc=off時沒有對$key處理,同時在陣列賦值時存在邏輯問題,最終導致了注射漏洞:)

EXP:

http://www.80vul.com/exp/ecshop-pch-005.txt

五、參考:

http://bugs.php.net/bug.php?id=41093

問題:
請問在PHP網頁出現以下的錯誤:

Warning: session_start(): open(/tmpsess_7d190aa36b4c5ec13a5c1649cc2da23f, O_RDWR) failed:....
這是什麼錯誤?

回覆:
因為你沒有指定session檔的存放路徑.


  解決方法:

(1)在c硬碟建立文件夾tmp

(2)打開php.ini,找到session.save_path,修改為session.save_path= "c:/tmp"

PHP程式設計問題諮詢:
我想在每個檔最前,最後面都加上一檔.但一個一個添加很麻煩
有沒有解決的辦法?

---------------------------------------------------------
PHP程式設計問題回覆:
 我想在每個檔最前,最後面都加上一檔.但一個一個添加很麻煩
您可以這樣處理:

1:打開php.ini文件
設置 include_path= "c:"

2:寫兩個文件
auto_prepend_file.php 和 auto_append_file.php 保存在c磁碟,他們將自動依附在每個php檔的頭部和尾部.

3:在php.ini中找到:
Automatically add files before or after any PHP document.
auto_prepend_file = auto_prepend_file.php;依附在頭部
auto_append_file = auto_append_file.php;依附在尾部

以後你每個php檔就相當於
<?php
Include "auto_prepend_file.php" ;

.......//這裏是你的程式


Include "auto_append_file.php";
?>
---------------------------------------------------------

導航貓 Navicat for MySQL Enterprise Edition.v9.0.14 繁體中文版

導航貓 Navicat for MySQL Enterprise Edition.v9.0.14 繁體中文版

Navicat MySQL 是一套強大的 MySQL 資料庫伺服器管理及開發工具。
它可以用於在任何 3.21 或以上的 MySQL 版本,並支援最新版 MySQL 的大部份功能,
包括觸發器、預存程序、函式、事件、檢視、管理使用者等等。
它不只適用於資深的專業開發人員,對於新手也相當容易上手。
透過它極具巧思的圖形化使用者介面 (GUI),Navicat MySQL 讓你可以快速且容易的以安全且簡單的方法建立、組織、存取及共享資訊。

attachments/201010/9246365856.png

軟體介紹:

最新的 MySQL 版本支援

Navicat MySQL - 一個強大的 MySQL Database Server 管理及開發工具。
最主要支援的功能:
    * 支援 MySQL 3.21 或以上的版本
    * 支援萬國碼 (Unicode) / 字元集
    * 支援 MySQL 的事件、檢視及預存程式的建立
    * 支援觸發器
    * 支援外鍵

額外的連線選項


    * 支援 SSH 通道
      透過 Navicat 的 SSH 通道建立一個安全的 SSH 階段連線。兩個主機間可享用一個牢固的驗證及安全加密通訊。
    * 支援 HTTP 通道
      當你的 ISP 不允許直接連線到他們的 MySQL server 但允許建立 HTTP 連線時,Navicat 可以提供你使用 HTTP 穿隧 (Tunneling) 功能。HTTP 穿隧 (Tunneling) 使用與網站伺服器相同協定 (http://) 及相同連接埠 (port 80) 以連接到一個 MySQL server。
    * 提供 MySQL server 自動重新連線
      使用這個選項「愈時重新連線」,它會透過偵測 (ping) 來保持與這個伺服器的連線。
    * 透過 Navicat MySQL 匯出登錄資料 (.reg)
      當 Navicat 從一部電腦遷移到另一部新的機器時,你可以簡單的傳輸你的連線設定。只需要簡單的透過 Navicat 匯出登錄資料並在這部新的機器回存即可。

即時的資料庫導覽

    * 一旦連線即立即開啟資料庫為顯示狀態
      連線後馬上開啟你偏好的資料庫。更有效的簡省你的時間及工作!

無所不包的 MySQL 物件管理

    * 建立、編輯及刪除資料表的欄位、索引、外鍵及觸發器
      使用資料表設計 - 一個基本用來操作資料表的 Navicat MySQL 工具,你可以建立、編輯及刪除資料表的欄位、索引、外鍵及其他。
    * 傾印物件定義成為一個 sql 檔案
      簡單的將物件定義及資料傾印成 sql 檔案來備份。
    * 列印資料庫 / 資料表結構
      列印資料庫 / 資料表定義以呈現它們在 Navicat 中的結構。一眼即可完整瞭解各別物件的結構。

多樣化的匯入及匯出能力


    * 從 ODBC 匯入資料
      你可以在設定好一個資料來源連線後從 ODBC 匯入資料。如果連線成功,所有可用的資料表會包含在內。只需要簡單的選擇你要匯入的資料表或使用加入查詢按鈕指定一個查詢。
    * 從超過 18 種常見格式匯入資料,包括 MS Access, MS Excel, XML, PDF 及 TXT
      匯入精靈可以讓你從各種格式匯入資料到一個資料表。除此之外,你可以儲存你的設定成一個匯入設定檔供設定排程使用。
    * 匯出資料到 MS Access, MS Excel, MS Word, HTML, PDF, TXT, CSV, DBF, XML, 等
      同樣地,匯出精靈可以讓你匯出資料到各種格式。儲存你的設定成一個匯出設定檔供設定排程使用。
    * 匯出資料並建立記錄成 sql 檔案的 INSERT 陳述式
      在資料傳輸期間,你可以選擇以記錄選項匯出資料成 sql 檔案,如完整的 insert 陳述式 / 協議 insert 陳述式等。

強大的資料操作工具

    * 表單檢視
      以表單檢視操作目前的記錄。享受更簡潔顯示的欄位名稱及它的值,能更聚焦在目前的記錄上。
    * 支援外鍵資料選擇
      使用這個圖形介面工具 - 外鍵資料選擇,你可以從參考的資料表中找到外鍵的值。停止並切換檢視到一個主資料表以尋找可用的外鍵值!
    * 資料及結構同步
      Navicat for MySQL 可以讓你從一個 MySQL 資料庫以詳細分析程式傳輸資料到另一個。同樣的,你可以比對並修改這個資料表結構。在資料及結構同步上,目標資料庫可以與來源資料庫相同,也可以是其他的 MySQL server。
    * 支援本地 / 遠端 MySQL 資料庫資料傳輸
      從一個 MySQL 資料庫傳輸資料表/檢視/預存程式/事件到另一個 MySQL 資料庫,或成為一個純文字檔案。
    * 支援備份及回存 MySQL 資料庫
      經常性的備份資料庫對使用者是相當重要的。使用 Navicat 備份/回存你的 MySQL 所有資料表及記錄、檢視、預存程式及事件。你也可以在資料庫間排程備份。
    * 建立排程備份、匯入 / 匯出、資料傳輸、儲存查詢及資料同步
      建立一個設定的排程批次工作以執行一或多個定期的、指定開始及結束的日期及時間。批次工作可以建立的對象包括查詢、報表列印、備份、資料傳輸、資料同步、匯入及匯出。
    * 傳送排定工作的電子郵件通知
      產生通知電子郵件給你指定的收件人,讓他們取得最新排程的資訊。透過你在排程中回傳結果的電子郵件帳號來直接讀取。

強大的安全性管理

    * 視覺化的使用者管理
      Navicat 提供一個視覺化的工具來管理使用者。你可以輕鬆的加入、複製、刪除使用者,並編輯通用使用者權限、從選取的資料庫、資料表 / 檢視、欄位及預存程式 / 函式取得權限。

具設計巧思的視覺化產生器 / 編輯器

    * 視覺化查詢 / 檢視產生器
      視覺化查詢 / 檢視產生器 - 分為兩個部份:上面的圖形檢視,及底下的語法檢視,讓你可以視覺化的建立並編輯查詢 / 檢視而不需具備 SQL 知識。
    * 查詢編輯器
      它可以讓你建立並編輯一個查詢的 SQL 文字、準備及執行選取的查詢。
    * 支援參數查詢
      設定查詢參數在每次執行時加入變數值到一個查詢。
    * 查詢、檢視及事件自動完碼
      在查詢編輯器、檢視及事件中使用最新自動完碼功能,體驗一個快速建構 SQL 條件式的方法。當你要選擇可用的資料庫物件內容或 SQL 關鍵字,你所要做的只需從下拉式清單中選取。

容易使用的報表產生器(僅包含於 Enterprise 版本)

    * 以視覺化產生器建立報表
      使用我們反善介面的圖形化報表產生器建立不同類型的報表。設計包括發票、統計、郵遞標籤及其他等。
    * 匯出報表成為多種格式,PDF, Excel, HTML 等
      享受更多的報表輸出格式 - text, pdf, Lotus, Excel, Graphic, Html 及其他。請在 Navicat Enterprise 版本中瞭解報表產生器的這些功能。
    * 與其他使用報表檢視器者檢視及共享報表
      Navicat 報表檢視器可以讓你導覽由 Navicat MySQL 報表產生器產生的報表。與它最接近的事就是你可以與未安裝 Navicat 但有安裝 Navicat 報表檢視器的人共享報表。

更多的強大功能

    * 虛擬群組
      一個在 Navicat 中更好的組織物件的方法。你可以使用這個虛擬群組功能將物件組織成群組。虛擬群組可以套用在連線、資料表、檢視預存程式、事件、查詢、報表、備份及排程中。
    * 伺服器監控
      在伺服器監控視窗中勾選你要監控的伺服器的核取鈕。可以點選程式清單、變數或狀態頁籤以顯示及/或修改 MySQL servers 的內容。
    * SQL 中控台
      要使用命令列介面,你可以在 Navicat 中開啟 SQL 中控台。它提供你可以與文字基礎的畫面互動從資料庫輸入查詢及輸出結果。
    * 停駐
      你可以自訂你的視窗行為樣式為停駐視窗或浮動視窗。選擇停駐已開啟的視窗到主視窗或停駐視窗,或繼承上個停駐樣式。

導航貓 Navicat for MySQL Enterprise Edition.v9.0.14 繁體中文版官方下載網址:

http://download.navicat.com/download/navicat9_premium_ct.exe


『將軍』你是武藝高強?膽識過人?精通騎射?您生錯時代啦!
『戰馬』你是汗血寶馬?善奔能越?躍馬中原?此戰場沒有你的舞台!
動態的架站程式時代,要自訂PHP程式頁面有那麼難嗎?
MySQL『資料庫』與『資料表』,用PHP程式有那麼難呼叫嗎?
不用死背『PHP程式』與『MySQL資料庫』語法也能設計嗎?
這是自動化軟體程式的年代(用PHPMaker設計在彈指之間完成)
這不是:神話!程式軟體模組取代了這一切複雜的工程
死背『PHP程式』與『MySQL資料庫』語法,是為學校考試用的!
因為,有些人的技術已經離這個網站的實用性非常遙遠!
------------------------------------------------------------
大家都知道網路創業的好處:
1.初期建置網站金額較低,甚至零成本。
2.初期人事、水電成本較低。
3.網路店面比較沒有曝光的地區限制(除非產品、物流、語言的限制)。
4.消費者可以在任何時間瀏覽與選購商品(24小時營業)。
5.初期可採用眾多的網路平台,免費宣傳、曝光方式,之後再採用付費的方式,提高效益。
6.即使沒有成功,成本損失也較低。


想要網路創業自動賺錢,你應該具備那些專業技能呢?

那座而言不如起而行,如何開始您的第一步行動呢?

1.先評估自己會什麼網路技能?不會那些網路技能?
將自己的優勢寫下來,也將自己需要進修的專業技能逐一記錄下來

2.找到您需要的課程(利用下班時間,努力精研)
最好是影片課程,不要只是一般書店的書籍或網路電子書
(因為圖片與文字根本學習效率不好,無法有效迅速學會,學習中有問題要問誰?)
實際網路經營時發生網站語法錯誤或網站被駭客入侵!
那您最好有個專業『會程式語言與架設主機』的老師可以免費技術諮詢
不然,一發生問題,您的網路事業就停擺了,網站一停就無收入!
(就好像上班放無薪假一樣....悽慘!)。
有甚至網站資料全毀,資料庫也出問題,你要在第一時間內就能快速修護!
這一點你可要小心!網路創業絕對要有:技術諮詢!
迅速回覆的專業老師(或專業技術顧問)。
不然,就像大海裡頭的孤鳥,叫天天不應,叫地地也不靈
(自己閉門造車摸索是網路創業者最悲慘的失敗原因!)。


attachments/201208/5398530876.jpg

2.你的網站要自己架設!
(請人設計網站費用貴,小則三四萬高者也有十幾萬元的,往後網站維護也不方便!)

這方面你可以學習:
1.網站架設與網頁設計教學
詳細介紹:
http://por.tw/Website_Design/E_learning/index.php
長期技術支援網站:
http://por.tw/Website_Design

2.購物網站架站教學
詳細介紹:
http://por.tw/sale/cmmerse-4-all/index.php
長期技術支援網站:
http://por.tw/sale

3.部落格架站、行銷、賺錢術教學
詳細介紹:
http://por.tw/blog/E_learning/index.php
長期技術支援網站:
http://por.tw/blog

4.PHP+MySQL+PHPMaker+Dreamweaver整合教學
(PHPMaker運用設計網站教學)

詳細介紹:
http://por.tw/php/new-E_learning/index.php
長期技術支援網站:
http://por.tw/php

5.Flash-動畫製作教學
詳細介紹:
http://por.tw/flash/new-E_learning/index.php
長期技術支援網站:
http://por.tw/flash
-------------------------------------------------------------------------
3.網站圖片非常重要,你如果不會拍照與修圖,那您就要學習:
商業商品攝影教學
詳細介紹:
http://por.tw/design/photographing_Course/index.php
長期技術支援網站:
http://por.tw/design
-------------------------------------------------------------------------
4.影片能讓您的網站更出色,如果您不會錄影
或影片剪接、編輯、上字幕、做特效,那您就要學習:

【錄影影片製作】技術教學
詳細介紹:
http://por.tw/photo-video/video_Course/index.php
長期技術支援網站:
http://por.tw/photo-video
-------------------------------------------------------------------------
5.有了網站,接下來就是『如何將網站經營的有聲有色?』
這就需要專業的網路行銷技術:
A.搜尋引擎排名SEO教學
詳細介紹:
http://por.tw/seo/new-seo/index.php
長期技術支援網站:
http://por.tw/seo

B.EDM電子報製作教學
詳細介紹:
http://por.tw/edm/edm_Marketing/index.php
長期技術支援網站:
http://por.tw/edm

C.電子書製作賺錢密技教學
詳細介紹:
http://por.tw/ebook/new-ebook/index.php
長期技術支援網站:
http://por.tw/ebook

D.【訂單王】超級網路秒殺成交法-A-page 【一頁定江山】行銷賺錢術
詳細介紹:
http://por.tw/page/new-E_learning/index.php
長期技術支援網站:
http://por.tw/page
-------------------------------------------------------------------------
6.如果您想要學習『專案方式』的專業技能,您可以學習:
A.「網路創業賺錢_如何從網路創業賺錢賺到第一個100萬!」課程
詳細介紹:
http://por.tw/soho/new-E_learning/index.php
長期技術支援網站:
http://por.tw/soho

B.藉助『程式』邁向網路自動賺錢術(Auto Rich -自富課程)
詳細介紹:
http://por.tw/Rich/new-E_learning/index.php
長期技術支援網站:
http://por.tw/Rich

C.【正印家族】授權營運專案‧自動印鈔機賺錢術
詳細介紹:
http://por.tw/money/new-E_learning/index.php
長期技術支援網站:
http://por.tw/money
-------------------------------------------------------------------------
7.您的網站可以用兩種方式經營
1.是租用虛擬主機
(創業初期,如果尚無長遠規劃可租虛擬主機空間架設網站)

2.是自己擁有獨立主機!
如果您有此長遠的規劃,那您可以申購此服務:
替你架設Linux主機伺服器+影片教你維護(還有遠端技術協助)讓你自己當家作主!
http://por.tw/linux/new-E_learning/index.php
長期技術支援網站:
http://por.tw/linux
-------------------------------------------------------------------------
8.此外,如果你對國外軟體感覺不好用,那您可以學習:
軟體中文化實戰教學影片
軟體中文化實戰教學影片教學詳細介紹:
http://por.tw/f2blog/new-E_learning/index.php
長期技術支援網站:
http://por.tw/f2blog

不論是英文、日文、大陸簡體或其他軟體,能透過軟體中文化技術變成:繁體中文版
那在網路事業的經營上,所有要用到的軟體,就能通通變成:繁體中文版啦!
那是業經營起來當然是:得心應手!手到擒來!

-------------------------------------------------------------------------
本PHP程式設計+MySQL資料庫+Dreamweaver整合教學(PHPMaker運用設計網站教學)密訓基地立志於收集各類PHP程式設計、MySQL資料庫及網頁設計技術教學資訊,便於本人和廣大網友及網友查詢檢索,無論公司或個人認為本站存在侵權內容均可與本站聯繫,任何此類反饋資訊一經查明屬實後,將立即移除!