php中at @符号的作用使用说明

相信不少和我一样的php新人在学习PHP的时候和我一样，都郁闷过这个问题。@(at)这个记号到底是做什么的呢？

一次，下载别人的源码来看，看到无数@记号，开始以为是注释；后来发现@后面的语句也是会执行的。纳闷了，这个记号究竟是做什么的呢.....

随着学习的不断深入，总算是明白了。这个记号的作用有点类似于asp中的忽略错误"on error resume next "。他们的作用是一样的，当php解释器遇到@开头的语句时候，无论本行的语句是否执行成功，都会继续执行后续的语句，而且不会报错。但特别注意，@(at)记号只对当前行起作用哦。

 
 
希望关于@(at)的问题就在这打住把。
 

eg.下面这句话肯定报错

报错代码

代码如下	复制代码
<?php   $sql = mysql_connect(*);   ?>

 

然而，如果我们加上@(at)记号，就不会报错了，而且继续执行。

不报错代码

代码如下	复制代码
<?php    @$sql = mysql_connect(*);   echo "我一直在执行";   ?>

继续执行下边的代码。

代码如下	复制代码
@$page=$_GET['page']?intval($_GET['page']):1;

这句是从URL中获取page关键字的值，比如"index.php?page=5"，则$page就会取到5。

但是如果有error，比如"index.php"后没有page关键字了，如果去取$_GET['page']不存在就会报错，这时有@就可以忽视这个小错误了。

又比如：

代码如下	复制代码
$conn = mysqli_conncet("q","w","e","r");

这样会输入错误信息，关于连接数据库方面的。

代码如下	复制代码
@$conn = mysqli_conncet("q","w","e","r");

如果$conn前面加@的话就可以不让他输出错误信息了。

变量用于存储值，比如数字、字符串或函数的结果，这样我们就可以在脚本中多次使用它们了变量用于存储值，比如数字、文本字符串或数组。

一旦设置了某个变量，我们就可以在脚本中重复地使用它。

PHP 中的所有变量都是以 $ 符号开始的。

PHP的代码插入很直观，"<?php" 开始 "?>" 结束。

 
所有的变量以"$"开头，例如"$money"。（定义符容易让人遐想）需要使用时，定义即可，可以省略对变量类型的定义，php的编译器会自动为我们选择的。

 
对于条件判断语句，php和c差不多。if(条件A){过程A}即可，还有就是else和elseif。else用于运行条件A以外的过程，elseif(条件N....)则是其他条件为真时运行的代码。

下面是自己写的代码：

代码如下

复制代码

if.php <html>   <body>   <center>   <form action="if.php" method="post">   <input type="radio" name="sex" value="male" /> 男性   </br>   <input type="radio" name="sex" value="female" /> 女性   </br>   <input type="submit" value="提交" />   </form>   <?php   $sex = $_POST["sex"];   if($sex=="male")   {       echo "男性";   }   elseif($sex=="female")   {       echo "女性";   }   else   {       echo "未知性别";   }      ?>   </center>   </body>   </html>

代码的意思就是通过表单以POST方式提交性别选项，分别是男性和女性，然后交给php接收post上来的数据，并传给sex变量。最后进行判断，如果是male则输出男性，female输出女性，其它情况输出未知。

提交后

文中提到的if.php可以到这里测试

然后就是switch，这个也很好理解，类似于if和elseif的组合，只不过遇到很多种条件需要判断时，switch回把代码变得很简洁直观。

PHP代码

代码如下	复制代码
switch (变量名)   {   case 值1:     code to be executed if e­xpression = label1;     break;     case 值2:     code to be executed if e­xpression = label2;     break;   default:     code to be executed     if e­xpression is different      from both label1 and label2;   }

当变量中的值满足“值1”或者“值2”时，分别执行两个case下面的代码，然后千万记住每个“case”之间都要用“break;”分开。当变量中的值既不是“值1”也不是“值2”时就执行“default”下面的代码。

今天做的是个简单的表明表页面，前端我用的是Bootstrap。没办法，自己不懂美工，也只有用别人的工具。BS真的很漂亮，而且插件丰富，不愧是twitter工程师弄出来的东西。

（中文官网：http://www.bootcss.com）好的东西大家都喜欢，但是它对IE6-9的兼容几乎是0。大家也懂的，国外基本是不使用这几款浏览器了。不过在中国，IE依然占有很高的市场份额。所以，有人开发了一款叫做BSIE的Bootstrap插件，美其名曰鄙视IE，使用方法也相当简单。好像有点跑题，后端我用的是CodeIgniter，它是基于PHP的开源框架。CI是今天的正题。

 

  因为CI对于数据的过滤函数只有xss_clean()，（不知道是不是自己才疏学浅，总之没有找到其他的过滤函数）而今天的项目涉及到接收用户数据，然后提交数据库的操作。没有针对SQL语句的过滤，使得这一操作变得很危险。有点蛋蛋的忧桑，我想到的方法是改写CI的xss_clean()函数，使之具备过滤SQL注入语句的功能；一来改起来方便，二来过滤数据的时候不用嵌套两个函数。说干就干，在CI/system/core/目录下找到secure.php文件，找到xss_clean()函数的申明位置，在最后加上这么一段东西。

PHP代码

代码如下

复制代码

$str = str_replace("_","x",$str);     $str = str_replace("%","x",$str);     $str = str_replace(""","x",$str);     $str = str_replace("'","x",$str);     $str = str_replace("select","x",$str);     $str = str_replace("update","x",$str);     $str = str_replace("insert","x",$str);    $str = str_replace("set","x",$str);    $str = str_replace("where","x",$str);    $str = str_replace("from","x",$str);    $str = str_replace("alert","x",$str);     $str = str_replace("like","x",$str);    return $str;

 

  这样差不多能避免一般的SQL注入了。

又码了一个周末的代码，这次在做一些关于文件上传的东西。（PHP UPLOAD）小有收获项目是一个BT种子列表，用户有权限上传自己的种子，然后配合BT TRACK服务器把种子的信息写出来。

开始觉得这玩意很简单，结果嘛惨不忍睹。用CodeIgniter的上传类来上传文件，一开始进展蛮顺利的，但发觉走到上传文件类型的时候就走不下去了。我明明添加了.torrent类型为可上传类型，结果无论我怎么传也传不上去，还提示我上传文件类型不对。汗森了，这可是货真价实的种子文件啊，难道CI只认可岛国的种子吗？

 
打开CI的上传类看代码，原来CI的UPLOAD是通过判断文件的来实现文件识别的。难怪，种子的MIME类型在一般浏览器上返回的都是二进制数据类型，看来只有自己动手改造一下了。

 
为了尽快完成项目，我直接从控制器（Controller）开始写代码。用$_FILE['file']['name']获取上传文件的文件名，然后用explode函数来获取后缀名，最后再调用CI的UPLOAD来上传文件。代码如下：

PHP代码

代码如下

复制代码

$config['upload_path'] = './uploads/';   $config['allowed_types'] = '*';   $config['max_size'] = '100';   $this->load->library('upload',$config);   $this->load->helper('security');   $this->load->helper('date');   $this->load->helper('url');   $this->load->model('bt_model','',TRUE);   $data['source_url'] = base_url().'source';   $data['base_url'] = base_url();            $file = $_FILES['upload_file']['name'];   $file_1 = explode('.',$file);   $file_2 = $file_1[count($file_1)-1];   if($file_2 <> 'torrent'){       echo '<script>alert("只能上传类型为torrent的种子文件");</script>';       echo '<script>window.location.href="'.$data['base_url'].'index.php/index/post";</script>';       return;   }   $data['type'] = xss_clean($this->input->post('type'));   $data['name'] = xss_clean($this->input->post('name'));   $data['space'] = xss_clean($this->input->post('space'));   $data['username'] = xss_clean($this->input->post('username'));   $data['time'] = mdate('%Y-%m-%d %G:%i',gmt_to_local(time(),'UP8'));   if($data['type'] == '' || $data['name'] == '' || $data['space'] == '' || $data['username'] == ''){       echo '<script>alert("信息填写不完整，请重新填写");</script>';       echo '<script>window.location.href="'.$data['base_url'].'index.php/index/post";</script>';       return;   }   $this->upload->do_upload('upload_file');   echo $this->upload->display_errors();   $file = $this->upload->data();   $data['url'] = $data['base_url'].'uploads/'.$file['file_name'];   $this->bt_model->insert($data);   echo '<script>alert("上传成功");</script>';   echo '<script>window.location.href="'.$data['base_url'].'";</script>';

原理大致是这样的，获取上传文件的文件名，然后通过explode()函数来分割文件名以获取后缀，得到后缀之后与允许上传类型做比较，最后上传。

 
讲到上传，我又想到了原来那个特别流行的MIME上传漏洞。很简单，当网站判断上传文件类型时只判断MIME类型那么就会造成上传漏洞。因为上传时服务器得到的MIME类型是从客户端发过来的，也就是说MIME类型的值是可以被用户控制的，攻击者克构造虚假的MIME类型来上传webshell。

所以判断文件类型的时候还是检测文件后缀名吧，最好只给上传目录一个可读权限，关闭执行权限，这样比较靠谱。

在php中cookie和session经常是配合使用的，但是cookie安全性没有session高了，session只在服务器端而cookie在客户端，这个自然就明白它们的区别了，但它们经常用于各种登录验证，下面我来介绍。

Cookie和Session算是网站登陆验证的常用手段了。不管论坛也好，微博也好，它们都依赖于cookie和session以完成各项工作。

这里就不具体介绍Cookie和Session的概念了，我们可以简单的把它们理解为临时钥匙，用于开启不同的网络资源。
 

下面开始介绍在PHP里如何操作Cookie和Session。
 

Cookie：

  在PHP里，我们可以使用setcookie()函数来设置cookie。但特别注意，setcookie函数必须置于<html>标签之前。setcookie函数包含了一下几个参数：setcookie(name, value, expire, path, domain)。name参数是用来规定cookie的名称的，而value则是规定对应名称cookie的值，expire则是设定cookie有效期的。特别注意path和domain参数可选的。（path是规定cookie的服务器路径，而domain是规定cookie的所有域名）。

一般我们这样设置cookie

 
设置cookie

代码如下	复制代码
<?php   setcookie("username","Ku_Andrew",time()+3600);   ?>

username就是我们cookie的名字了，而Ku_Andrew则是username的值，time()+3600就是一小时后该cookie过期。

 

现在我们用$_COOKIE来做一个实例

 
设置、读取cookie

代码如下	复制代码
<?php   $username = $_COOKIE['username'];   if ($username == "")       {       setcookie("username","Ku_Andrew",time()+3600);       echo "we've not found your username from your cookie";       echo "but now we've give it to you , please refresh this page";       die("<a href=$PHP_SELF>kick me and refresh</a>");       }   else       {       echo ("hello $usernama");       }   ?>

如果想做出更复杂的判断，例如用户登陆等，我们可以在IF语句中的加入从数据库从检索出来的值。

 
Session：

  与Cookie不同，Session是保存在服务器上的，同时Session会随着浏览器的关闭而自动灭亡，生命周期较短。在PHP上，我们使用session_start()函数来启动session；与设置cookie相同，我们必须在<html>标签之前使用这个函数。使用这个函数之后我们就可以开始设置我们的Session变量了。方法也是极为简单：用$_SESSION数组直接定义。完成了定义，在不使用的时候为了节约服务器资源，我们要关闭它。这时可以使用unset()函数或者session_destroy()函数；unset()是解除变量，session_destroy()则是彻底终结session。下面是代码片段。

 
Session设置、读取

代码如下	复制代码
<?php   session_start();   if ($_SESSION['pid'] == "")   {       $_SESSION['pid'] = 1;   }   else   {       $_SESSION['pid'] += 1;   }   echo "this is your $_SESSION['pid'] times watching this page";   ?>

 
这是一个简单的网页计数器，通过设置pid来实现计数。第一次判断中，如果session为空，那么设置成一，并且读取session，反馈给用户。以后的每次访问，都会在原有session的基础上逐次加一反馈给用户。