加固PHP环境(转)

作者：Albert
　　PHP作为Apache的模块运行时，Apache本身的安全起主导作用，因此如果配置正确的话，PHP应该是一个十分安全的环境，但是如果PHP是以CGI方式来运行的话，就没有这么安全了。
　　本文中提到的操作，对Unix和Windows都适用。
　　一、作为Apache模块来运行
　　因为一般说来，Apache会以“nobody”或者“www”来运行，所以，PHP作为模块是十分安全的。
　　如果PHP在虚拟主机环境下，可能会产生用户能浏览其他用户文件的危险。一个简单的脚本如下：
　　
　　// 假定文档根位于 /usr/local/websites/mydomain
　　$location = ../; // 到上一级目录
　　$parent = dir($location);
　　// 显示当前目录: /usr/local/websites
　　while($entry = $parent->read()) {
　　echo $entry .
;
　　}
　　$parent->close();
　　?>
　　这样，只要修改$location，用户就可以浏览虚拟主机上所有其他用户的文件了。为了减少这样的危险，我们需要看一下php.ini ，修改其中的safe_mode, doc_root和usr_dir 参数，把用户限制在他自己的虚拟主机环境下：
　　safe_mode = On
　　doc_root = /usr/local/apache/htdocs
　　user_dir = /home/albertxu/htdocs
　　二、作为CGI
　　把PHP以CGI方式运行需要十分小心，可能会泄露你不想让人知道的信息。
　　第一件事情要注意的就是一定要把执行文件放到文档根目录以外的地方。例如/usr/local/bin，因此所有的CGI文件开头必须带有：
　　#!/usr/local/bin/php
　　防止用户直接调用CGI的办法是在Apache中强迫CGI重定向：
　　Action php-script /cgi-bin/php.cgi
　　AddHandler php-script .php
　　这会把下面的URL
　　http://example.com/mywebdir/test.htm
　　转换为：
　　http://example.com/cgi-bin/php/mywebdir/test.htm
　　在以CGI方式编译PHP时，最好采用下面的选项：
　　--enable-force-cgi-redirect
　　本文讨论的是有关PHP的安全问题，详细的安全信息可以参考PHP老家上手册中关于安全的
　　http://www.php.net/manual/en/security.php
　　那一章。


第3章    安装
    本章将引导您如何安装和设置PHP3。并介绍必要的知识和软件。
基本的UNIX技巧（学会如何操作和“制作”一个C编译器）
一个标准的ANSI C的编译器
一个WEB服务器（显然需要）
　
通过UNIX源码编译安装
    下载源文件
     最新的源代码可以在以下网址找到：http://www.php.net
　
    快速安装说明书（Apache Module 版本）
1. gunzip apache_1.3.x.tar.gz
2. tar xvf apache_1.3.x.tar
3. gunzip php-3.0.x.tar.gz
4. tar xvf php-3.0.x.tar
5. cd apache_1.3.x
6. ./configure --prefix=/www
7. cd ../php-3.0.x
8. ./configure --with-mysql --with-apache=../apache_1.3.x --enable-track-vars
9. make
10. make install
11. cd ../apache_1.3.x
12. ./configure --prefix=/www --activate-module=src/modules/php3/libphp3.a
13. make
14. make install
    Instead of this step you may prefer to simply copy the httpd binaryovertop of your existing binary. Make sure you shut down yourserver first though.
    （也可以使用直接拷贝httpd的二进制文件覆盖已经存在的二进制文件的方法代替上面的步骤，但是，您必须首先关闭您的服务器。）
15. cd ../php-3.0.x
16. cp php3.ini-dist /usr/local/lib/php3.ini
    You can edit /usr/local/lib/php3.ini file to set PHP options. If you prefer this file in another location, use --with-config-file=/path in step 8.
    （您可以直接编辑/usr/local/lib/php3.ini文件来设置PHP选项，如果您将此文件存放在另一个位置，那么请在步骤8中使用with-config-file=/path）
    17. Edit your httpd.conf or srm.conf file and add:
    AddType application/x-httpd-php3 .php3 You can choose any extension you wish here. .php3 is simply the one we suggest.
    （您可以选择任何您希望的扩展，我们认为PHP3是一个十分简单的东西。）
数据验证
清理空格
　　 trim 函数将清除数据头尾的空格，它的语法是：
trim ($first_name);
必填字段的处理
　　在你数据库中，有些字段时必须填写的。这样对应于 HTML 表单的相应的字段也不允许空出来不填。当然，这个检验处理的过程可以用客户端的 JavaScript 脚本来处理，但既然我们讲的是 PHP ，就还使用 PHP 来处理吧。下面的代码检查用户的姓是否输入：
if (ereg(".", $first_name) == 1)
{
print (" 姓 : ");
print ("$first_name");
$verify = "OK";
}
else
{
print ("< b> 错误： < /b> 您的尊姓没有被填写 ");
$verify = "bad";
}
　　 ereg 模式识别函数，用来判定指定的字符串是否包含有某一个子串。它的第一个参数就是判定是否包含的子串，第二个参数指定要搜索的字符串，通常是一个变量。
　Ereg 函数返回“ 0 ”（ false ），表示匹配失败，或者 “ 1 ”（ true ），表示匹配成功。在这儿逗点“ . ”是模式式别的统配符，代表任何的字符。这样表达式 ereg(".", $first_name) == 1 就意味着在变量 $first_name 中包含有至少一个字符了。
检查 e-mail 地址
作 者 : 扬眉 编译 本文点击次数：118
　　用下面的这些字符常量来作为 ereg 函数的第一个参数，就可以轻松的进行 e-mail 地址检查了 :
　　 "@" ：必须包含 @
　　 "^@" ：不能用 @ 打头
　　 "@.*.." ： 在 @ 和 . 中 间必须要有字符存在。
　　 "....*" ：在 . 之后至少要有两个字符
　　 " " ：不允许有空格
　　
　　比照这这几个参数示例，你也可以设计一些其它的输入验证。
检查用户名是否唯一
　　这个动作似乎也是必须要作的了：
mysql_connect (localhost, username, password);
mysql_select_db (dbname);
$result = mysql_query ("SELECT * FROM tablename
WHERE USER_ID = '$USER_ID'
");
if ($row = mysql_fetch_array($result))
{
print ("< b> 错误： < /b> 用户名 < b>");
print ("$USER_ID ");
print ("< /b> 已经被占用，请选者其它的再试试。
1 历史
Rasmus Lerdorf为了创建他的在线简历而创造了"个人主页工具"（Personal Home Page Tools）。这是一种非常简单的语言。其后越来越多的人们注意到了这种语言并对其扩展提出了各种建议。在许多人的无私奉献下以及这种语言本身的源代码自由性质，它演变成为一种特点丰富的语言，而且现在还在成长中。
PHP虽然很容易学习，但是速度上比mod_perl（植入web服务器的perl模块）慢。现在有了可以与mod_perl速度想媲美的被称作Zend的新引擎，而PHP4就可以充分利用这个引擎。PHP4还处在BETA测试阶段。Andy Gutmans和Zeev Suraki是Zend的主要作者。可以去Zend站点(http://www.zend.com)了解更多。
PHP的应用在个人性质的web工程中增长显著。根据Netcraft在1999年10月的报告，有931122个域和321128个IP地址利用PHP技术。
2 PHP的优点
应用PHP有许多好处。当然已知的不利之处在于PHP由于是开放源码项目，没有什么商业支持，并且由此而带来的执行速度缓慢（直到PHP4之前）。但是PHP的邮件列表很是有用而且除非你正在运行像Yahoo!或者Amazon.com这样的极受欢迎的站点，你不会感觉出PHP的速度与其他的有什么不同。最起码我就没有感觉出来！好了，让我们来看看PHP有那些优点：
- 学习过程
与Java和Perl不同,你不必把头埋进100多页的文档中努力学习才可以写出一个象样的程序。只要了解一些基本的语法和语言特色，你就可以开始你的PHP编码之旅了。之后你在编码过程中如果遇到了什么麻烦，还可以再去翻阅相关文档。
PHP的语法与C，Perl，ASP或者JSP。对于那些对上述之一的语言较熟悉的人来说，PHP太简单了。相反的，如果你对PHP了解较多，那么你对于其他几种语言的学习都很简单了。
你只需要30分钟就可以将PHP的核心语言特点全部掌握，你可能已经非常了解HTML，甚至你已经知道怎样用编辑设计软件或者手工来制作好看的WEB站点。由于PHP代码能够无障碍的添加进你的站点，在你设计和维护站点的同时，你可以很轻松的加入PHP使得你的站点更加具有动态特性。
- 数据库连接
PHP可以编译成具有与许多数据库相连接的函数。PHP与MySQL是现在绝佳的组合。你还可以自己编写外围的函数取间接存取数据库。通过这样的途径当你更换使用的数据库时，可以轻松的更改编码以适应这样的变化。PHPLIB就是最常用的可以提供一般事务需要的一系列基库。
- 可扩展性
就像前面说的那样，PHP已经进入了一个高速发展的时期。对于一个非程序员来说为PHP扩展附加功能可能会比较难，但是对于一个PHP程序员来说并不困难。
PHP的面向对象编程：开发大型PHP项目的方法(五)
作者：Luis Argerich 译者：limodou
使用类进行数据存储
　　对于PHP和OOP一件非常好的事情就是，你可以很容易地定义一个类来操作某件事情，并且无论何时你想
用的时候都可以调用相应的类。假设你有一个HTML表单，用户可以通过选择产品ID号来选择一个产品。在数
据库中有产品的信息，你想把产品显示出来，显示它的价格等等。你拥有不同类型的产品，并且同一个动作
可能对不同的产品具有不同的意思。例如，显示一个声音可能意味着播放它，但是对于其它种类的产品可能
意味着显示一个存在数据库中的图片。你可以使用OOP或PHP来减少编码并提高质量：
　　定义一个产品的类，定义它应该有的方法（例如：显示），然后定义对每一种类型的产品的类，从产品
类派后出来（SoundItem类，ViewableItem类，等等），覆盖在产品类中的方法，使它们按你的想法动作。
　　根据数据库中每一种产品的类型(type)字段给类命名，一个典型的产品表可能有(id, type, price,
description, 等等字段)...然后在处理脚本中，你可以从数据库中取出type值，然后实例化一个名为type
的对象：
--------------------------------------------------------------------------------
<?php
$obj=new $type();
$obj->action();
?>--------------------------------------------------------------------------------
　　这是PHP的一个非常好的特性，你可以不用考虑对象的类型，调用$obj的显示方法或其它的方法。使用
这个技术，你不需要修改脚本去增加一个新类型的对象，只是增加一个处理它的类。
　　这个功能很强大，只要定义方法，而不去考虑所有对象的类型，在不同的类中按不同的方法实现它们，然后在主脚本中对任意对象使用它们，没有if...else，也不需要两个程序员，只有高兴。
　　现在你同意编程是容易的，维护是便宜的，可重用是真的吗？
　　如果你管理一组程序员，分配工作就是很简单的了，每个人可能负责一个类型的对象和处理它的类。
　　可以通过这个技术实现国际化，根据用户所选的语言字段应用相应的类就可以了，等等。
拷贝和克隆
　　当你创建一个$obj的对象时，你可以通过$obj2=$obj来拷贝对象，新的对象是$obj的一个拷贝（不是一
个引用），所以它具有$obj在当时的状态。有时候，你不想这样，你只是想生成一个象obj类一样的一个新