cookie防止仿造安全讲解

以前我们刚写PHP的时候，做后台，需要管理员身份认证。一般用COOKIE这么做的，特别是刚接触PHP的PHP爱好者：
admin/login.php

if(用户名&&密码正确) {
     setcookie('admin',1,time()+36400);
     echo '登录成功';
}

if($_COOKIE[admin] == 1) {
    echo '有权限';
}

但是这样会造成很大的安全隐患，很多浏览器可以直接修改COOKIE，或者直接在系统里修改。

只要伪造cookie，那么管理权限就拿到了

为了安全，这么做：

if(用户名&&密码正确) {
     setcookie('userid',用户在系统中的ID,time()+36400);
     setcookie('userpass',用户在系统中的32位md5密码,time()+36400);
     echo '登录成功';
}

判断权限的时候这么做：

if($_COOKIE[userid]) {
$query = mysql_query(select * user table where userid = '$_COOKIE[userid]' and userpass = '$_COOKIE[userpass]');
$row = mysql_fetch_array($query);
if($row[rank] <> 1) {
    echo '没有权限';
}
}

这样伪造cookie就没有任何作用了

简介

　　PHP是一种易于学习和使用的服务器端脚本语言。只需要很少的编程知识你就能使用PHP建立一个真正交互的WEB站点。本教程并不想让你完全了解这种语言，只是能使你尽快加入开发动态web站点的行列。我假定你有一些HTML（或者HTML编辑器）的基本知识和一些编程思想。

1.简介

　　PHP是能让你生成动态网页的工具之一。PHP代表：超文本预处理器（PHP: Hypertext Preprocessor）。PHP是完全免费的，不用花钱，你可以从PHP官方站点(http://www.php.net)自由下载。PHP遵守GNU公共许可（GPL)，在这一许可下诞生了许多流行的软件诸如Linux和Emacs。你可以不受限制的获得源码，甚至可以从中加进你自己需要的特色。PHP在大多数Unix平台，GUN/Linux和微软Windows平台上均可以运行。怎样在Windows环境的PC机器或Unix机器上安装PHP的资料可以在PHP官方站点上找到，也可以查阅网页陶吧的“PHP安装全攻备”专题文章。安装过程很简单。

　　如果你的机器解决了2000问题，那么PHP也一样没有千年虫问题！

1.1 历史

　　三年前，Rasmus Lerdorf为了创建他的在线简历而创造了"个人主页工具"（Personal Home Page Tools）。这是一种非常简单的语言。其后越来越多的人们注意到了这种语言并对其扩展提出了各种建议。在许多人的无私奉献下以及这种语言本身的源代码自由性质，它演变成为一种特点丰富的语言，而且现在还在成长中。

　　PHP虽然很容易学习，但是速度上比mod_perl（植入web服务器的perl模块）慢。现在有了可以与mod_perl速度想媲美的被称作Zend的新引擎，而PHP4就可以充分利用这个引擎。现在，PHP4正式版已经发布，大家可以到PHP的官方站点上去下载。Andy Gutmans和Zeev Suraki是Zend的主要作者。可以去Zend站点(http://www.zend.com)了解更多。

　　PHP的应用在个人性质的web工程中增长显著。根据Netcraft在1999年10月的报告，有931122个域和321128个IP地址利用PHP技术。

1.2 PHP的先进之处

　　应用PHP有许多好处。当然已知的不利之处在于PHP由于是开放源码项目，没有什么商业支持，并且由此而带来的执行速度缓慢（直到PHP4之前）。但是PHP的邮件列表很是有用而且除非你正在运行像Yahoo!或者Amazon.com这样的极受欢迎的站点，你不会感觉出PHP的速度与其他的有什么不同。最起码我就没有感觉出来！好了，让我们来看看PHP有那些优点：

- 学习过程

　　我个人更喜欢PHP的非常简单的学习过程。与Java和Perl不同,你不必把头埋进100多页的文档中努力学习才可以写出一个象样的程序。只要了解一些基本的语法和语言特色，你就可以开始你的PHP编码之旅了。之后你在编码过程中如果遇到了什么麻烦，还可以再去翻阅相关文档。

　　PHP的语法类似于C，Perl，ASP或者JSP。对于那些对上述之一的语言较熟悉的人来说，PHP太简单了。相反的，如果你对PHP了解较多，那么你对于其他几种语言的学习都很简单了。

　　你只需要30分钟就可以将PHP的核心语言特点全部掌握，你可能已经非常了解HTML，甚至你已经知道怎样用编辑设计软件或者手工来制作好看的WEB站点。由于PHP代码能够无障碍的添加进你的站点，在你设计和维护站点的同时，你可以很轻松的加入PHP使得你的站点更加具有动态特性。

- 数据库连接

　　PHP可以编译成具有与许多数据库相连接的函数。PHP与MySQL是现在绝佳的组合。你还可以自己编写外围的函数取间接存取数据库。通过这样的途径当你更换使用的数据库时，可以轻松的更改编码以适应这样的变化。PHPLIB就是最常用的可以提供一般事务需要的一系列基库。

- 可扩展性

　　就像前面说的那样，PHP已经进入了一个高速发展的时期。对于一个非程序员来说为PHP扩展附加功能可能会比较难，但是对于一个PHP程序员来说并不困难。

- 面向对象编程

　　PHP提供了类和对象。基于web的编程工作非常需要面向对象编程能力。PHP支持构造器、提取类等。

- 可伸缩性

　　传统上网页的交互作用是通过CGI来实现的。CGI程序的伸缩性不很理想，因为它为每一个正在运行的CGI程序开一个独立进程。解决方法就是将经常用来编写CGI程序的语言的解释器编译进你的web服务器(比如mod_perl,JSP)。PHP就可以以这种方式安装，虽然很少有人愿意这样以CGI方式安装它。内嵌的PHP可以具有更高的可伸缩性。

- 更多特点

　　PHP的开发者们为了更适合web编程，开发了许多外围的流行基库，这些库包含了更易用的层。你可以利用PHP连接包括Oracle，MS-ACCESS，MySQL在内的大部分数据库。你可以在苍蝇上画图，编写程序下载或者显示e-mail。你甚至可以完成网络相关的功能。最好的是，你可以选择你的PHP安装版本需要哪些功能。引用Nissan的Xterra的话来说就是PHP可以做到你想让它做到的一切而且无所不能。

//[原创]ajax 实现用户注册功能教程四

本教程由本站原创,转载请注明来处

作者:www.111cn.net

邮箱:drise@163.com

QQ:271728967

//

现在是最后一步了,那就是注册了,这里就不多写了,只要会php的都能实现了.

各位有什么意见请直接留言评论.

下次写个ajax的文件文件平管理系统

//[原创]ajax 实现用户注册功能教程三

本教程由本站原创,转载请注明来处

作者:www.111cn.net

邮箱:drise@163.com

QQ:271728967

//

现在到了第三步,我们来写type.php文件,这个文件的作用是判断用户名是否存在,再然后数据给用户.

<?php
header("Content-type:text/html;charset=gb2312");//为了不让其出现乱码所以把文档编码设置为gb2312
$xm=Strreplace(isset($_GET['txt'])?$_GET['txt']:'null');//取得用户名
if(preg_match("/^[".chr(0xa1)."-".chr(0xff)."]+$/", $xm)){//判断用户名第一个是否为汉字,
  echo("<div id='phperblog_showinfo_red'>对不起,不能使用中文作为用户名! </div>");
  exit();
  }
if($xm=='null' || $xm=='' || strlen($xm)>10 || strlen($xm)<3){//判断用户名的合法性
 echo("<div id='phperblog_showinfo_red'>对不起,你输入的用户名不合法,用户由3-10Aa_zZ及数字组成! </div>");
 exit();
}else{
 $result=mysql_query("select uname from tablename where uname='$xm' ") or die('Error !'."Error system busy.....plase wait!");
 if(!mysql_num_rows($result)){
  echo("<div id='phperblog_showinfo_reg'>恭喜你!用户名".$xm."还未注册,你可以注册! </div>");
 }else{
  echo("<div id='phperblog_showinfo_red'>对不起,用户己注册请选择其它名称!</div>");
 }
}
?>

[原创]ajax 实现用户注册功能教程二','

//

本教程由本站原创,转载请注明来处

作者:www.111cn.net

邮箱:drise@163.com

QQ:271728967

//

上面第一个reg.php文件己经做好了,我就来做第二步

var xmlHttp = false;
function ajaxcreate(){//这里是创建xmlhttpt对像

try {
  xmlHttp = new ActiveXObject("Msxml2.XMLHTTP");
 } catch (e) {

try {
   xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
 } catch (e2) {

  xmlHttp = false;
 }

 }

if (!xmlHttp && typeof XMLHttpRequest != \\\'undefined\\\') {

  xmlHttp = new XMLHttpRequest();

 }

if(!xmlHttp){alert(\\\'Create Xmlhttp Fail \\\');return false;}

}

function ajax(){//这里是接到reg.php onblur()事件后要进行的操作,

 ajaxcreate();

 var xmvalue=document.getElementById("xm").value;

 var url="/boke/blog/type.php?txt="+encodeURI(xmvalue);

 if (xmvalue== null || xmvalue.length>20 || xmvalue == "") return false;

 xmlHttp.open("POST",url,true); 

 xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

 xmlHttp.send(xmvalue); 

 xmlHttp.onreadystatechange=returnstate; 

}

function returnstate(){

 if(xmlHttp.readyState != 4 ){

  document.getElementById("divxm").innerHTML="<div id=\\\'phperblog_showinfo_red\\\'><font color=red>正在验证中,请稍后...</font></div>";

 }

 if(xmlHttp.readyState == 4 ){

  document.getElementById("divxm").innerHTML=xmlHttp.responseText;

 }

}