bbs論壇小結

時間 2019-11-10

標籤 bbs 論壇小結简体版

原文原文鏈接

要求：使用PDO開發論壇，論壇要有登陸註冊退出登錄，修改資料，發帖子，帖子分類，回帖，加好友，送禮物，私信，30秒內間隔發帖等功能。sql考慮防注入，使用絕對路徑等。php

開發中遇到的問題html

1.如何實現sql防注入
2.會話的使用
3.PHP令牌的使用
4.面向對象和麪向過程的區別
5.引用傳遞和值傳遞的區別以及應用
6.資源文件的設置成相對路徑mysql

解決方式
一.相對mysqli, PDO支持12種數據庫驅動和命名參數綁定是其最大優勢
sql防注入
1.pdo prepare防注入原理
PHP是將SQL模板和變量是分兩次發送給MySQL的，由MySQL完成變量的轉義處理，既然變量和SQL模板是分兩次發送的，那麼就不存在SQL注入的問題了
可理解爲將傳入變量中的特殊字符轉譯成普通字符處理
select * from u_user_info where u_name = '999' and u_password ='222' or '1' ='1'; 運行改語句會sql注入，當使用預處理後
二.會話的理解
cookie和session會話
cookie存在客戶端，session存在服務器，session更安全，session文件存放在MAMP/tmp/php.
三.php表單令牌驗證能夠有效的防止表單重複提交
token通過加密後傳到客戶端，用戶每次發出請求時，傳一個token和服務器端的驗證是否一致，不一致則提示用戶非法登陸。
token和session的使用
CSRF：攻擊者盜用了你的身份，以你的名義發送惡意請求。包括：以你名義發送郵件，發消息，盜取你的帳號，甚至於購買商品，虛擬貨幣轉帳......形成的問題包括：我的隱私泄露以及財產安全。
四.面向對象和麪向過程
面向過程的重用性更高。小項目可用面向對象的方式，linux

五.引用傳遞和值傳遞正則表達式

按值傳遞：函數內對值的任何改變在函數外部都會被忽略。redis

引用傳遞：函數內對值的任何改變在函數外部也能反映出這些修改。sql

應用場景：按值傳遞時，php必須複製值，而按引用傳遞則不須要複製值，故引用傳遞通常用於大字符串或對象。數據庫

六.php獲取當前文件的絕對路徑
dirname(__file__)
__FILE__ PHP魔術常量，返回當前執行PHP腳本的完整路徑和文件名
幾個 PHP 的「魔術常量」
名稱說明
__LINE__ 文件中的當前行號。
__FILE__ 文件的完整路徑和文件名。若是用在包含文件中，則返回包含文件名。自 PHP 4.0.2 起，__FILE__ 老是包含一個絕對路徑，而在此以前的版本有時會包含一個相對路徑。
__FUNCTION__ 函數名稱（PHP 4.3.0 新加）。自 PHP 5 起本常量返回該函數被定義時的名字（區分大小寫）。在 PHP 4 中該值老是小寫字母的。
__CLASS__ 類的名稱瀏覽器

須要掌握安全

7.天天一個linux
8.http協議返回碼錶明含義
9.考慮將面向過程開發改成面向對象開發
10.mvc模式單入口index文件
11.如何實現php的低耦合和可擴展性
13如何將PHP項目部署到服務器
14.redis和memcached的優缺點

八.信息提示2.服務器成功地接受了客戶端請求。3重定向4.客服端錯誤5。服務器錯誤
php獲取當前文件的絕對路徑

十.mvc單入口全部的用戶請求都會經過index單入口進入，域名，路由器設置，將用戶請求轉發到不一樣的控制器，初始化類時，自動引入相關文件。
http協議返回碼錶明

參考資料

session和cookie

http://www.javashuo.com/article/p-ovldkjkz-t.html

谷歌瀏覽器調試技巧

http://blog.csdn.net/shenlei19911210/article/details/50992137

Csrf攻擊方式

https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

單入口