PHP

2018安全的PHP系统构架指南

The 2018 Guide to Building Secure PHP Software!

前言

2018 年将至,一般程序员(特别是 Web 开发程序员)应当抛弃过去开发PHP程序的很多不好的习惯和观念了。虽然部分人不以为意,但是这确实是事实。

这个指南应该以重点部分作为 PHP: The Right Way 安全章节的补充,而不是以一般的 PHP 编程话题。

正文

PHP 版本

请在 2018 年使用 PHP 7.2, 并且计划 2019 年初切换到 PHP 7.3。

PHP 7.2 已于 2017 年 11

        

PHP 7.4 新特性

PHP 7.4 新特性

PHP7.4 新增加了一些非常给力的新特性。在未来很长一段时间内,这无疑是一个非常重大的版本升级。

PHP 7.4可能会在2019年12月发布。此页面将同时定期更新。最后更新时间:2019.5.27.

 

短闭包

 

短封闭允许更简洁的单行函数。

array_map(function (User $user) { 
    return $user->id; 
}, $users)
array_map(fn(User $user) => $user->id, $users)

关于短闭包的一些注意事项:

  • 他们可以访问父作用域,不需要use关键字。
  • $this 可以像普通的闭包一样使用。
  • 短闭包只能包含一行,也就是return语句。

你可以在这里

    

一篇文章帮你了解 PHP 7.3 更新

file

PHP 目前依旧是其它脚本语言强劲的竞争对手,这主要归功于其核心维护团队的快速更新。

自从 PHP 7.0 发布以来,社区见证了许多新特性的诞生,极大地改进了开发者在项目中应用 PHP 的方式。提高 PHP 应用的性能和安全性,是这些改进的主要目的。

PHP 最近实现了又一个里程碑 —— 发布 PHP 7.3。新版本带来了一些急需的更新。

在本文中,我将论述新推出的 PHP 7.3 特性 和更新。好消息是,你可以在你的测试服务器上自行安装新版本、查看新功能。但老生常谈,切勿在生产服务器上使用 RC 版本更新,可能会破坏你已经上线的应用。

以下是7.3版中引入的一些更新,与以前的版本相比,它们大大提高了 PHP 7.3 的性能 。

  • 灵活的 Heredoc 和 Nowdoc 语法
  • 函数调用时允许尾随逗号
  • JSON_THROW_ON_ERROR
  • PCRE2 迁移
  • list() 分配参考

启用mysqli报告,捕获PHP程序中未使用索引的查询语句.

启用mysqli报告,捕获PHP程序中未使用索引的查询语句.

使用mysqli_report($flags)函数

在代码开发和测试期间有助于改进查询的函数。根据标志,它报告来自mysqli函数调用或不使用索引的查询(或使用错误索引)的错误。

代码如下

<?php
/* 激活报告 */
mysqli_report(MYSQLI_REPORT_ALL);

$link = mysqli_connect("localhost", "my_user", "my_password", "world");

/* 检查连接 */
if (mysqli_connect_errno()) {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
}

/* 此查询会报告错误 */
$result = mysqli_query("SELECT Name FROM Nonexistingtable WHERE population 
        

composer :错误:Could not find a version of package matching your minimum-stability (stable). Require it with an explicit version constraint allowing its desired stability

composer 安装 composer require --dev sandrokeil/php-to-zephir 时出现

Could not find a version of package matching your minimum-stability (stable). Require it with an explicit version constraint allowing its desired stability

解决方法:https://github.com/composer/composer/issues/5118

用以下命令解决:

composer require "sandrokeil/php-to-zephir @dev"

PHP 在不调用构造函数的情况下创建对象

PHP 在不调用构造函数的情况下创建对象

可以利用PHP的反射功能ReflectionClass :: newInstanceWithoutConstructor,实现这一需求。

例子:

<?php
class a
{
    public $foo=0;
    public $bar=9;
    public function __construct()
    {
        $this->foo=1;
        echo "调用构造函数\n";
    }
}
  
  $ref = new ReflectionClass('a');
  $inst = $ref->newInstanceWithoutConstructor();
  print_r($inst);

 

以上输出:

a Object
(
    [foo] => 0
    [bar] 
    

漫谈php框架之中间件

市面上常见的php框架有很多,最近因为有技术需求,所以对常见的php框架的中间件进行了一些了解。各个框架尽管在目标上对php框架的定义大同小异,但是在实现方式上却各有不同,且看下文:

定义

首先什么是php的中间件?

根据zend-framework中的定义:

所谓中间件是指提供在请求和响应之间的,能够截获请求,并在其基础上进行逻辑处理,与此同时能够完成请求的响应或传递到下一个中间件的代码。

这一介绍十分的简洁,但却略显抽象,接下来我们通过例子来一个个看。

处在原始时代的CI

首先来看CI框架,php star数 12830.
作为一款非常简洁的框架,CI被吐槽的不少,但是也有很多人喜欢。首先来看它官方给出的一张请求时序图:

CI框架请求时序

CI框架请求时序

根据上文中对中间件的定义,那么对于CI框架来说,唯一称得上是内置中间件的:Security模块

Security模块是在请求进入controller之前实现的逻辑:

  • 请求在完成路由之后,进入controller之前;
  • CI框架支持通过配置的方式,决定是否启用包括“URI安全、XSS过滤、CSRF保护”在内的功能模块;
  • 一旦框架初始化时探测到模块启用,那么优先进行模块逻辑;
  • 触发安全模块,请求即告终止。

乍看起来,CI框架的中间件十分的局限,但是其实它却提供了无限的可能性。。因为CI中还提供了一个叫做Hooks的功能。即钩子。

下面来看两个个hooks的例子:

定义一个在controller逻辑之前的钩子,并指定钩子的参数、类名或函数名信息:

$hook['pre_controller'] = array(
    'class'    => 'MyClass',
    'function' => 'Myfunction',
    'filename' => 'Myclass.php',
    'filepath'
    

PHP的SimpleXML遍历所有子元素及访问特定节点元素和属性

PHP的SimpleXML遍历所有子元素

    

PHP获取远程http或ftp文件的md5值

PHP获取远程http或ftp文件的md5值

获取本地文件的md5值:

md5_file("/path/file.jpg");

获取远程http文件的md5值:

md5_file("https://www.baidu.com/img/bd_logo1.png")

PHP获取远程ftp文件的md5值:

md5_file("ftp://username:password@192.168.6.1/aa4c319f1b8197e381beeb8c45e6c68d.apk")

如果远程文件很大的话,执行会非常费时,因为要先下载下来。