过滤、验证和转义数据
过滤数据
- 不要相信任何外部数据!
- 常见的有以下几种数据需要过滤:HTML,SQL查询,用户提交的信息(邮件地址、电话号码、身份证)
HTML
- htmlentities()
- HTML Purifier library (https://github.com/ezyang/htmlpurifier)
SQL queries
- PDO
User profile
- filter_var(), filter_input()
验证数据
filter_var() FILTER_VALIDATE_*
aura/filter
respect/validation
symfony/validator
然后看一下 Laravel、Zend 和 CI 框架所使用的验证组件,学习一下它们的源码。
过滤是为了安全,验证是为了数据正确性。
转义输出
- htmlentities() ENT_QUOTES UTF-8
- twig/twig 或 smarty/smarty 等模板引擎默认输出转义
密码
- bcrypt
- Password Hashing API: password_hash(), password_verify(), password_needs_rehash()
时间和日期
不建议自己手动处理时间和日期,因为里面有太多要考虑的东西:时间格式,时区,夏令时,闰年,闰秒,以及不同天数的月份。
而是,应当使用 DateTime, DateInterval, DateTimeZone 类来处理时间
设置默认时区
- php.ini 中设置
date.timezone = 'PRC'
- date_default_timezone_set(‘PRC’)
DateTime类
- new DateTime(‘2014-04-27 5:03 AM’), 传入一个PHP能够理解的时间字符串
- DateTime::createFromFormat(‘Y-m-d H:i:s’, ‘2019-04-02 18:08:00’),从指定的时间格式创建时间
DateInterval
- DateInterval 表示一段长度的时间,在 DateTime 类的 add() 或 sub() 方法中,可以传入一个人 DateInterval 实例,来修改时间
- new DateInterval(‘P2W2DT5H’),实例化需要传入一个字符串,这个字符串第一个字符是”P”,第二个字符表示数量,第三个字符表示单位,合法的单位有:Y(年),M(月),D(天),W(周),H(小时),M(分钟),S(秒)。日期和时间之间使用“T”分隔。比如 “P2W2DT5H” 表示 2周2天5小时
DateTimeZone
- 表示时区,new DateTimeZone(‘PRC’)
- 用途:作为 new DateTime() 的第二个参数。如果不指定,则使用默认的时区设置(上面提到)
- setTimezone() 可以用来修改 DateTime() 的时区
- 在数据库和代码中使用UTC来处理时间很方便,只有当显示给用户看时,再转换为对应的时区。
DatePeriod
- 用于遍历时间(以给定的间隔),用途:日历中重复的事件
- new DatePeriod($datetime, $dateinterval, $number)
- DatePeriod 是一个迭代器,每次迭代输出一个 DateTime 对象
- 推荐使用:nesbot/carbon 库来处理时间
数据库
使用PDO来连接数据库,针对不同的底层数据库,提供了统一的访问方式。但缺点在于不同的数据库有自己的方言,这是PDO所不能支持的。建议是写标准的SQL。
数据库连接和DSN
- new PDO($dsn, $username, $password),会抛出 PDOException
- DSN 示例:”mysql:host=127.0.0.1;dbname=books;port=3306;charset=utf8”,其中 mysql 是驱动名表示 MySQL 数据库驱动
- 安全:(1)不要直接在代码中写用户和密码,应当在web目录之外增加一个配置文件,通过配置获取(2)不要把用户和密码加到版本控制系统中
预处理语句
- 通常我们使用请求参数来构造SQL语句,这样很危险,幸而 PDO 使用预处理语句和参数绑定帮我们处理了参数的过滤。
- 预处理语句就是 PDOStatement 实例,但是我们很少直接实例化它,而是通过 PDO 实例的 prepare() 方法来获取。这个方法第一个参数为一个SQL字符串
- 命名占位符:$sql = “SELECT id FROM users WHERE email = :email”;
- 绑定参数:$statement->bindValue(‘:email’, $email),预处理语句会自动过滤 email 参数,从而防止 SQL 注入。
查询结果
- 调用 PDOStatement::execute() 执行语句查询。
- 调用 PDOStetement::fetch(),fetchAll(),fetchColumn(),fetchObject()来获取结果集
- fetch() 方法返回结果集中的下一行,可以用它来遍历比较大的结果集。
- fetch() 和 fetchAll() 接受一个常量来设置获取结果集的形式,有以下:PDO::FETCH_ASSOC, PDO::FETCH_NUM, PDO::FETCH_BOTH, PDO::FETCH_OBJ
- fetchColumn() 获取一行,可以指定一个参数来获取某列
事务
- 添加事务很简单,在执行查询之前,调用 PDO::beginTransaction(),在执行查询结束后 调用 PDO::commit() 即可。
多字节字符串
- 多字节字符是指ASCII范围之外的字符,PHP默认提供的字符串函数只支持8位的ASCII字符,如果用来处理Unicode字符就会产生错误,为此,可以使用 mbstring 扩展。大部分的PHP字符串处理函数都提供了对应的 mb_* 版本。
字符编码
- 使用 UTF-8,所有现代浏览器都支持
- mbstring 还可以转换字符编码:mb_detect_encoding(),mb_convert_encoding()
输出UTF-8数据
- 在 php.ini 中:default_charset = “UTF-8”,这个设置会被许多PHP函数使用以及作为PHP默认输出编码
- 推荐HTML代码中增加:
<meta charset="UTF-8"/>
流
- 流是现代PHP中最神奇的、也是使用得最少的一个的功能。
- 流是什么?流是数据在起点和终点之间的传输。也就是说起点和终点,可能是一个文件、也可能是一个命令行进程,一个网络连接,或者一个ZIP压缩包,临时内存,标准输入输出,或者其他资源。
- 流提供了许多PHP IO函数的底层实现,比如:file_get_contents(),fopen(),fgets(),fwrite()
流包装器
- 不同种类的流式数据需要各自的协议来读写数据,这些协议就是流包装器。
- 标识流数据:
<scheme>://<target>
- HTTP流:http://www.baidu.com
- 文件流:file:///etc/hosts,由于它是PHP默认流包装器,所以我们在使用文件函数时直接输入路径就可以了,因而感受不到底层其实使用了 file:// 来获取数据的
- php:// 流:命令行脚本会用到,php://stdin, php://stdout, php://memory, php://tmp
- ZIP或TAR流:直接读取写入压缩文件
- FTP或FTPS流:ftp://user:pass@ftp.example.com/foo.txt
流上下文
- 流可以接受一个上下文参数,来自定义流的行为。
- stream_context_create() 创建上下文参数,返回的流上下文对象,可以被传入大多数的文件函数和流函数。
流过滤器
- 之前使用流来打开、读取、写入数据,但是PHP流的真正用武之处是在数据传输过程中进行过滤、添加、转换或删除操作。比如:打开一个markdown文件流,当读取到内存中时,自动转换为HTML。
- php提供了几个默认的流过滤器,没什么用,应当使用自己自定义的流过滤器。
- stream_filter_append($stream, ‘filter.name’) 添加过滤器到流中
创建自定义流过滤器
- 创建一个继承自 php_user_filer 的类,实现 filter(), onCreate(), onClose() 方法,然后使用 stream_filter_register() 注册该过滤器。