成人无码h免费动漫在线观看 ,国产高跟黑色丝袜在线,老外和中国女人毛片免费视频

相關推薦

重新認識PHP框架

　　有很多我們已經認識和了解的東西，有時候又會帶給我們不一樣的感覺，以下是百分網小編精心為大家整理的PHP框架的重新認識，從一個全新的角度來詮釋PHP框架。更多內容請關注應屆畢業生網!

　　有人認為，PHP是每次請求都要初始化資源，這個開銷非常大。由此，PHP不適合使用開發框架。對于PHP，確實沒有類的持久化，使得每次請求都要初始化資源，但是，這并不是開銷的主要問題所在。最主要的問題，是在于開發PHP框架的人，對PHP本身的特性了解多少。最簡單的，MVC需要檢測UA，如果使用PHP自帶的get_browser函數，那肯定是死定了。因為，使用上的方便與簡單，導致的是性能的開銷。認為不可使用PHP開發框架的，還有的觀點是：由于需要每次請求的時候初始化整個框架。其實，這也是一種誤解。如果好好看看PHP源碼，就會了解，PHP是按請求加載需要運行的文件，并不是整個框架。所以，對于框架本身，哪一種框架內核代碼時越小，性能越好。

　　還有觀點：由于PHP這種每請求初始化資源的機制，也造成了PHP添加跨請求的高級特性相當困難。其實，跨請求本身，要看在哪一個層面。PHP提供了各類加速的緩存機制。雖然PHP的類是由于目前序列化函數仍有限制，不能持久化，但數據緩存對PHP的加速是相當快的。所以，認為由于這一限制，就使得PHP 只能是一個保持在一個比較簡單的web語言上面，這無疑更是錯誤的。PHP不乏大型的高速與高效的網站。并不是這些網站底層就沒有框架。

　　另外，還有輕信什么測試的結果。對于測試結果，我覺得，沒有一絲一毫的可信度。我們無法相信這些測試結果，主要原因有這么幾個方面。其一，PHP環境配置，是不是最優化配置?第二，測試結果中所選框架，是不是最優框架?僅拿CI與CAKE兩者來說，CI的日志，沒有多種輸出，只有文件輸出。這對于大型網站的管理是極不方便的。但是，如果將其改用LOG4PHP，那性能上的損失將會是多少，是不可想象的。原因在于，LOG4PHP是完全照抄的Java。至于CAKE，更是完全照抄RAILS。完全不顧及PHP的性能與語言本身的特性。比如最簡單的，大量靜態方法的使用。勢必造成以空間換時間。CAKE中無處不在的靜態方法，導致了內存中堆積大量的類。這種以空間換時間，是速度加快了，還是性能損失了，有多少人真正系統測試過?CAKE讓RUBY的人了解PHP是對PHP的一個促進，同時，RAILS框架，也使得PHP框架得以注入新的血液，增加了新的開發思路。但，完全照抄是 PHP目前最大的悲劇。這個當中的經典之作：CAKE：RUBY ON RAILS， SMARTY： Java STRRUTS LOG4PHP：JAVA LOG4J，可悲的是，寫這些抄襲之作的作者，都是對PHP不太了解，大量照搬RUBY，JAVA中的算法與函數，有些可以算是翻譯，比如， LOG4PHP中的PROPERTIIES文件的處理就是這樣，不必再舉更多的實例了。為什么不能把JSF，或TYPESTRY也抄到PHP中，這是因為，如果沒有很好的PHP功底，這幾乎是不可能的。因為，這兩個東西，如果也是照抄過來，勢必慢如蝸牛。

　　再有，夢想不用PHP框架開發大型網站，肯定是錯上加錯。WORDPRESS，DISCUZ這類無框架，無架構的極端糟糕的代碼，網上已屢見不鮮。

　　要訪問數據庫，最小的需求，也要把數據庫訪問封裝成一個類吧?要進行錯誤與異常管理，也需要一個類吧?如果是大型的網站，總要有錯誤日志輸出，以方便調視與運行監視吧。所以這些，拼一下，也算是PHP開發框架呀。

　　看樣子，否認PHP應當有框架的人，肯定也就認定，PHP做不了大網站。或者說，認定，PHP做大網站，也是垃圾架構。這可能是太武斷了。

　　凡認為PHP是反框架的，實際上，是不了解PHP語言的一些瓶頸在何處，無法寫出高效的框架，所以，才這樣認為的。

　　【拓展閱讀】　PHP 安全編程建議

　　簡介

　　要提供互聯網服務，當你在開發代碼的時候必須時刻保持安全意識。可能大部分 PHP 腳本都對安全問題都不在意，這很大程度上是因為有大量的無經驗程序員在使用這門語言。但是，沒有理由讓你因為對你的代碼的不確定性而導致不一致的安全策略。當你在服務器上放任何涉及到錢的東西時，就有可能會有人嘗試破解它。創建一個論壇程序或者任何形式的購物車，被攻擊的可能性就上升到了無窮大。

　　背景

　　為了確保你的 web 內容安全，這里有一些常規的安全準則：

　　別相信表單

　　攻擊表單很簡單。通過使用一個簡單的 JavaScript 技巧，你可以限制你的表單只允許在評分域中填寫 1 到 5 的數字。如果有人關閉了他們瀏覽器的 JavaScript 功能或者提交自定義的表單數據，你客戶端的驗證就失敗了。

　　用戶主要通過表單參數和你的腳本交互，因此他們是最大的安全風險。你應該學到什么呢?在 PHP 腳本中，總是要驗證傳遞給任何 PHP 腳本的數據。在本文中，我們向你演示了如何分析和防范跨站腳本(XSS)攻擊，它可能會劫持用戶憑據(甚至更嚴重)。你也會看到如何防止會玷污或毀壞你數據的 MySQL 注入攻擊。

　　別相信用戶

　　假定你網站獲取的每一份數據都充滿了有害的代碼。清理每一部分，即便你相信沒有人會嘗試攻擊你的站點。

　　關閉全局變量

　　你可能會有的最大安全漏洞是啟用了 register_globals 配置參數。幸運的是，PHP 4.2 及以后版本默認關閉了這個配置。如果打開了 register_globals，你可以在你的 php.ini 文件中通過改變 register_globals 變量為 Off 關閉該功能：

　　register_globals = Off

　　新手程序員覺得注冊全局變量很方便，但他們不會意識到這個設置有多么危險。一個啟用了全局變量的服務器會自動為全局變量賦任何形式的參數。為了了解它如何工作以及為什么有危險，讓我們來看一個例子。

　　假設你有一個稱為 process.php 的腳本，它會向你的數據庫插入表單數據。初始的表單像下面這樣：

　　運行 process.php 的時候，啟用了注冊全局變量的 PHP 會將該參數賦值到 $username 變量。這會比通過 $_POST['username'] 或 $_GET['username'] 訪問它節省擊鍵次數。不幸的是，這也會給你留下安全問題，因為 PHP 會設置該變量的值為通過 GET 或 POST 的參數發送到腳本的任何值，如果你沒有顯示地初始化該變量并且你不希望任何人去操作它，這就會有一個大問題。

　　看下面的腳本，假如 $authorized 變量的值為 true，它會給用戶顯示通過驗證的數據。正常情況下，只有當用戶正確通過了這個假想的 authenticated_user() 函數驗證，$authorized 變量的值才會被設置為真。但是如果你啟用了 register_globals，任何人都可以發送一個 GET 參數，例如 authorized=1 去覆蓋它：

　　// Define $authorized = true only if user is authenticated

　　if (authenticated_user()) {

　　$authorized = true;

　　}

　　這個故事的寓意是，你應該從預定義的服務器變量中獲取表單數據。所有通過 post 表單傳遞到你 web 頁面的數據都會自動保存到一個稱為 $_POST 的大數組中，所有的 GET 數據都保存在 $_GET 大數組中。文件上傳信息保存在一個稱為 $_FILES 的特殊數據中。另外，還有一個稱為 $_REQUEST 的復合變量。

　　要從一個 POST 方法表單中訪問 username 字段，可以使用 $_POST['username']。如果 username 在 URL 中就使用 $_GET['username']。如果你不確定值來自哪里，用 $_REQUEST['username']。

　　$post_value = $_POST['post_value'];

　　$get_value = $_GET['get_value'];

　　$some_variable = $_REQUEST['some_value'];

　　$_REQUEST 是 $_GET、$_POST、和 $_COOKIE 數組的結合。如果你有兩個或多個值有相同的參數名稱，注意 PHP 會使用哪個。默認的順序是 cookie、POST、然后是 GET。

　　推薦安全配置選項

　　這里有幾個會影響安全功能的 PHP 配置設置。下面是一些顯然應該用于生產服務器的：

　　register_globals 設置為 off

　　safe_mode 設置為 off

　　error_reporting 設置為 off。如果出現錯誤了，這會向用戶瀏覽器發送可見的錯誤報告信息。對于生產服務器，使用錯誤日志代替。開發服務器如果在防火墻后面就可以啟用錯誤日志。(LCTT 譯注：此處據原文邏輯和常識，應該是“開發服務器如果在防火墻后面就可以啟用錯誤報告，即 on。”)

　　停用這些函數：system()、exec()、passthru()、shell_exec()、proc_open()、和 popen()。

　　open_basedir 為 /tmp(以便保存會話信息)目錄和 web 根目錄，以便腳本不能訪問這些選定區域外的文件。