过滤、验证和转义数据

过滤数据

  • 不要相信任何外部数据!
  • 常见的有以下几种数据需要过滤:HTML,SQL查询,用户提交的信息(邮件地址、电话号码、身份证)

HTML
* htmlentities()
* HTML Purifier library (https://github.com/ezyang/htmlpurifier)

SQL queries
* PDO

User profile
* filter_var(), filter_input()

验证数据

  • filter_var() FILTER_VALIDATE_*
  • aura/filter
  • respect/validation
  • symfony/validator
  • 然后看一下 Laravel、Zend 和 CI 框架所使用的验证组件,学习一下它们的源码。

  • 过滤是为了安全,验证是为了数据正确性。

转义输出

  • htmlentities() ENT_QUOTES UTF-8
  • twig/twig 或 smarty/smarty 等模板引擎默认输出转义

密码

  • bcrypt
  • Password Hashing API: password_hash(), password_verify(), password_needs_rehash()

时间和日期

不建议自己手动处理时间和日期,因为里面有太多要考虑的东西:时间格式,时区,夏令时,闰年,闰秒,以及不同天数的月份。

而是,应当使用 DateTime, DateInterval, DateTimeZone 类来处理时间

设置默认时区

  1. php.ini 中设置 date.timezone = 'PRC'
  2. date_default_timezone_set(‘PRC’)

DateTime类

  1. new DateTime(‘2014-04-27 5:03 AM’), 传入一个PHP能够理解的时间字符串
  2. DateTime::createFromFormat(‘Y-m-d H:i:s’, ‘2019-04-02 18:08:00’),从指定的时间格式创建时间

DateInterval

  1. DateInterval 表示一段长度的时间,在 DateTime 类的 add() 或 sub() 方法中,可以传入一个人 DateInterval 实例,来修改时间
  2. new DateInterval(‘P2W2DT5H’),实例化需要传入一个字符串,这个字符串第一个字符是”P”,第二个字符表示数量,第三个字符表示单位,合法的单位有:Y(年),M(月),D(天),W(周),H(小时),M(分钟),S(秒)。日期和时间之间使用“T”分隔。比如 “P2W2DT5H” 表示 2周2天5小时

DateTimeZone

  1. 表示时区,new DateTimeZone(‘PRC’)
  2. 用途:作为 new DateTime() 的第二个参数。如果不指定,则使用默认的时区设置(上面提到)
  3. setTimezone() 可以用来修改 DateTime() 的时区
  4. 在数据库和代码中使用UTC来处理时间很方便,只有当显示给用户看时,再转换为对应的时区。

DatePeriod

  1. 用于遍历时间(以给定的间隔),用途:日历中重复的事件
  2. new DatePeriod($datetime, $dateinterval, $number)
  3. DatePeriod 是一个迭代器,每次迭代输出一个 DateTime 对象
  • 推荐使用:nesbot/carbon 库来处理时间

数据库

使用PDO来连接数据库,针对不同的底层数据库,提供了统一的访问方式。但缺点在于不同的数据库有自己的方言,这是PDO所不能支持的。建议是写标准的SQL。

数据库连接和DSN

  • new PDO($dsn, $username, $password),会抛出 PDOException
  • DSN 示例:”mysql:host=127.0.0.1;dbname=books;port=3306;charset=utf8″,其中 mysql 是驱动名表示 MySQL 数据库驱动
  • 安全:(1)不要直接在代码中写用户和密码,应当在web目录之外增加一个配置文件,通过配置获取(2)不要把用户和密码加到版本控制系统中

预处理语句

  • 通常我们使用请求参数来构造SQL语句,这样很危险,幸而 PDO 使用预处理语句和参数绑定帮我们处理了参数的过滤。
  • 预处理语句就是 PDOStatement 实例,但是我们很少直接实例化它,而是通过 PDO 实例的 prepare() 方法来获取。这个方法第一个参数为一个SQL字符串
  • 命名占位符:$sql = “SELECT id FROM users WHERE email = :email”;
  • 绑定参数:$statement->bindValue(‘:email’, $email),预处理语句会自动过滤 email 参数,从而防止 SQL 注入。

查询结果

  • 调用 PDOStatement::execute() 执行语句查询。
  • 调用 PDOStetement::fetch(),fetchAll(),fetchColumn(),fetchObject()来获取结果集
  • fetch() 方法返回结果集中的下一行,可以用它来遍历比较大的结果集。
  • fetch() 和 fetchAll() 接受一个常量来设置获取结果集的形式,有以下:PDO::FETCH_ASSOC, PDO::FETCH_NUM, PDO::FETCH_BOTH, PDO::FETCH_OBJ
  • fetchColumn() 获取一行,可以指定一个参数来获取某列

事务

  • 添加事务很简单,在执行查询之前,调用 PDO::beginTransaction(),在执行查询结束后 调用 PDO::commit() 即可。

多字节字符串

  • 多字节字符是指ASCII范围之外的字符,PHP默认提供的字符串函数只支持8位的ASCII字符,如果用来处理Unicode字符就会产生错误,为此,可以使用 mbstring 扩展。大部分的PHP字符串处理函数都提供了对应的 mb_* 版本。

字符编码

  • 使用 UTF-8,所有现代浏览器都支持
  • mbstring 还可以转换字符编码:mb_detect_encoding(),mb_convert_encoding()

输出UTF-8数据

  • 在 php.ini 中:default_charset = “UTF-8″,这个设置会被许多PHP函数使用以及作为PHP默认输出编码
  • 推荐HTML代码中增加:<meta charset="UTF-8"/>

  • 流是现代PHP中最神奇的、也是使用得最少的一个的功能。
  • 流是什么?流是数据在起点和终点之间的传输。也就是说起点和终点,可能是一个文件、也可能是一个命令行进程,一个网络连接,或者一个ZIP压缩包,临时内存,标准输入输出,或者其他资源。
  • 流提供了许多PHP IO函数的底层实现,比如:file_get_contents(),fopen(),fgets(),fwrite()

流包装器

  • 不同种类的流式数据需要各自的协议来读写数据,这些协议就是流包装器。
  • 标识流数据:<scheme>://<target>
  • HTTP流:http://www.baidu.com
  • 文件流:file:///etc/hosts,由于它是PHP默认流包装器,所以我们在使用文件函数时直接输入路径就可以了,因而感受不到底层其实使用了 file:// 来获取数据的
  • php:// 流:命令行脚本会用到,php://stdin, php://stdout, php://memory, php://tmp
  • ZIP或TAR流:直接读取写入压缩文件
  • FTP或FTPS流:ftp://user:pass@ftp.example.com/foo.txt

流上下文

  • 流可以接受一个上下文参数,来自定义流的行为。
  • stream_context_create() 创建上下文参数,返回的流上下文对象,可以被传入大多数的文件函数和流函数。

流过滤器

  • 之前使用流来打开、读取、写入数据,但是PHP流的真正用武之处是在数据传输过程中进行过滤、添加、转换或删除操作。比如:打开一个markdown文件流,当读取到内存中时,自动转换为HTML。
  • php提供了几个默认的流过滤器,没什么用,应当使用自己自定义的流过滤器。
  • stream_filter_append($stream, ‘filter.name’) 添加过滤器到流中

创建自定义流过滤器

  • 创建一个继承自 php_user_filer 的类,实现 filter(), onCreate(), onClose() 方法,然后使用 stream_filter_register() 注册该过滤器。

错误和异常

发表评论

电子邮件地址不会被公开。 必填项已用*标注