php字符串操作函数入门篇

php教程字符串操作函数入门篇
1.字符串的定义与显示
定义:通过””,''来标志
显示:echo()和print(),但print()具有返回值值，1，而echo()没有，但echo比print()要快，print()能用在复合语句中。
2.字符串的格式化
printf(string $format[,mixed$args])
第一参数是格式字符串，$args是要替换进来的值，prinf(“%d”,$num);
说明，如果想打印一个”%”，必须用”%”,浮点数f,八进制用”0”
3.常用的字符串函数
1.计算字符串的长度
strlen(string $string),说明，1个英文长度1个字符，1个汉字长度为2个字符，空格也算一个字符。
2.将字符串改变大小写
转为小写：strtolower()
转为大写：strtoupper()
将第一个字符大写: ucfirst()
将每个单词的第一个字母大写 ucwords()
3.字符串裁剪。
当一个字符串的首尾有多余的空白字符，如空格、制表符等可以用
string trim(string $str[,string $charlist])
string rtrim(string $str[sring $charlist])
string itrim(string $str[,string $charlist])
表4.1 trim、itrim、rtrim函数的默认删除字符
字 符
 ASCII码
 意 义
 
" "
 32(0x20)
 空格
 
"t"
 9(0x09)
 制表符
 
"n"
 10(0x)
 换行
 
"r"
 13(0x0D)
 回车
 
""
 0(0x00)
 空字节
 
"x0B"
 11(0x0B)
 垂直制表符
 

4.字符串的查找
string strstr(string $a, string $b)
说明：strstr()函数用于查找字符串指针$b在字符串$a中出现的位置，
并返回$a字符串中从$b开始到$a字符串结束处的字符串。
如果没有返回值，即没有发现$b，则返回FALSE。strstr()函数还有一个同名函数strchr()。
5.字符串与ASCII码
4.字符串的比较
比较函数有
strcmp() //区分大小写
strcasecmp()//不区分大小写
strncmp() //比较部分
strncasecmp()//不区分大小写，比较部分
5.字符串的替换
str_replace(search,replace,subject)
说明使用新的字符串replace替换字符串subject中的search字符串
<?php
$str="I love you";
$replace="lucy";
$end=str_replace("you",$replace,$str);
echo $end; //输出"I love lucy"
?>
对大小写敏感，还可实现多对一、多对多的替换，但无法实现一对多的替换。
<?php
$str="What Is Your Name";
$array=array("a","o","A","O","e");
echo str_replace($array, "",$str); //多对一的替换，输出"Wht Is Yur Nm"
$array1=array("a","b","c");
$array2=array("d","e","f");
echo str_replace($array1,$array2, "abcdef"); //多对多的替换，输出"defdef"
?>
substr_replace
替换字符串的一部分。
6.字符串与HTML
略
7.其它字符串函数
1.字符串与数组
a.字符串转化为数组
explode()函数可以用指定的字符串分割另一个字符串，并返回一个数组
<?php
$str="使用 空格 分割 字符串";
array=explode(" ", $str);
pint_r($array);
输出Array ( [0] => 使用 [1] => 空格 [2] => 分割 [3] => 字符串 )
?>
b.数组转化为字符串
implode(string $glue,array $pieces)
$pieces是保存要连接的字符串的数组，$glue是用于连接字符串的连接符。例如：
<?php
$array=array("hello","how","are","you");
$str=implode(",",$array); //使用逗号作为连接符
echo $str; //输出"hello,how,are,you"
?>
c.字符串的加密函数
md5(); crypt()，但这个函数一旦加密后就无法转化为原来的形式。
4.3实例留言薄内容处理
一个留言簿，留言簿上有Email地址和用户的留言，提取客户的Email地址和留言，要求Email地址中@符号前不能有点“.”或逗号“,”。
将Email地址中@符号前的内容作为用户的用户名，并将用户留言中第一人称“我”修改为“本人”。
复制代码 代码如下:
<form name="f1" method="post" action="">
<font face="方正舒体" size=4>您的Email地址：</font><br>
<input type="text" name="Email" size=31><br>
<font face="方正舒体" size=4>您的留言：</font><br>
<textarea name="note" rows=10 cols=30></textarea>
<br><input type="submit" name="bt1" value="提交">
<input type="reset" name="bt2" value="清空">
</form>
<!--以上是留言簿表单-->
<?php
if(isset($_POST['bt1']))
{
$Email=$_POST['Email']; //接收Eamil地址
$note=$_POST['note']; //接收留言
if(!$Email||!$note) //判断是否取得值
echo "<script>alert('Email地址和留言请填写完整！')</script>";
else
{
$array=explode("@", $Email); //分割Email地址
if(count($array)!=2) //如果有两个@符号则报错
echo "<script>alert('Email地址格式错误！')</script>";
else
{
$username=$array[0]; //取得@符号前的内容
$netname=$array[1]; //取得@符号后的内容
//如果username中含有“.”或“,”则报错
if(strstr($username,".") or strstr($username,","))
echo "<script>alert('Email地址格式错误！')</script>";
else
{
$str1= htmlspecialchars("<"); //输出符号“<”
$str2= htmlspecialchars(">"); //输出符号“>”
//将留言中的“我”用“本人”替代
$newnote=str_replace("我","本人",$note);
echo "<font face='黑体' size=4>";
echo "用户". $str1. $username . $str2. "您好! ";
echo "您是". $netname. "网友!<br>";
echo "<br>您的留言是：<br> ".$newnote."<br>";
echo "</font>";
}
}
}
}
?>

函数原型：array explode(string separator,string input);

　　explode函数应用非常广泛，其主要作用是对规定的字符串以设定的分隔符进行拆分，并以数组形式返回。其常使用在分割文件名以判断文件类型、切割用户Email等场合。

　　PHP字符串分割函数explode处理实例

　　1、获取文件扩展名
   
$fileName = "leaps教程oulcn.jpg";
$str = explode(".",$fileName);
print_r($str);

我们知道在PHP文件上传功能中，判断上传文件名是否合法的最基本方法是判断扩展名是否合法，这时候就需要使用PHP字符串函数explode对文件名进行分割处理。在上述代码中explode函数以.为分隔符，对文件名进行分割。输入结果如下
   
Array ( [0] => leapsoulcn [1] => jpg )

2、获取用户Email域名信息
 
$emailInfo = explode("@",$email);

手册

AddSlashes: 字符串加入斜线。
bin2hex: 二进位转成十六进位。
Chop: 去除连续空白。
Chr: 返回序数值的字符。
chunk_split: 将字符串分成小段。
convert_cyr_string: 转换古斯拉夫字符串成其它字符串。
crypt: 将字符串用 DES 编码加密。
echo: 输出字符串。
explode: 切开字符串。
flush: 清出输出缓冲区。
get_meta_tags: 抽出文件所有 meta 标记的资料。
htmlspecialchars: 将特殊字符转成 HTML 格式。
htmlentities: 将所有的字符都转成 HTML 字符串。
implode: 将数组变成字符串。
join: 将数组变成字符串。
ltrim: 去除连续空白。
md5: 计算字符串的 MD5 哈稀。
nl2br: 将换行字符转成 <br>。
Ord: 返回字符的序数值。
parse_str: 解析 query 字符串成变量。
print: 输出字符串。
printf: 输出格式化字符串。
quoted_printable_decode: 将 qp 编码字符串转成 8 位字符串。
QuoteMeta: 加入引用符号。
rawurldecode: 从 URL 专用格式字符串还原成普通字符串。
rawurlencode: 将字符串编码成 URL 专用格式。
setlocale: 配置地域化信息。
similar_text: 计算字符串相似度。
soundex: 计算字符串的读音值
sprintf: 将字符串格式化。
strchr: 寻找第一个出现的字符。
strcmp: 字符串比较。
strcspn: 不同字符串的长度。
strip_tags: 去掉 HTML 及 PHP 的标记。
StripSlashes: 去掉反斜线字符。
strlen: 取得字符串长度。
strrpos: 寻找字符串中某字符最后出现处。
strpos: 寻找字符串中某字符最先出现处。
strrchr: 取得某字符最后出现处起的字符串。
strrev: 颠倒字符串。
strspn: 找出某字符串落在另一字符串遮罩的数目。
strstr: 返回字符串中某字符串开始处至结束的字符串。
strtok: 切开字符串。
strtolower: 字符串全转为小写。
strtoupper: 字符串全转为大写。
str_replace: 字符串取代。
strtr: 转换某些字符。
substr: 取部份字符串。
trim: 截去字符串首尾的空格。
ucfirst: 将字符串第一个字符改大写。
ucwords: 将字符串每个字第一个字母改大写。

PHP Session的生存周期与用法详解

session 是一种服务器端用于存储有关用户会话信息的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。

当程序需要为某个客户端的请求创建一个 session 的时候，服务器首先会检查这个客户端是否已经包含了一个 session 标识，这个我们称为 session id（获取方法为 session_id() ），如果已包含一个 session id 则说明此客户端之前已经创建过 session，服务器则按照 session id 把这个 session 中的值检索出来，如果客户端不包含 session id，说明此客户端第一次请求服务器或手动清除过缓存文件，则为此客户端创建一个 session 并且生成一个与此 session 相关联的 session id，一般来说，session id 的值是不会重复的，并且加密的字符串，这个 session id 将被在本次响应中返回给客户端保存。

session 在何时被创建 ？

通常（是指通常）是在浏览器向服务器端第一次请求时被创建，并且它会占用一定的内存空间，因此在不必要的情况下，尽最关闭 session 。

session 何时被删除

通常情况下，session 在会在这几种情况下被删除，一是使用 session_destroy() 重置函数手动删除；二是 session 的上次活动时间距离当前时间的间隔超过了 session 的超时设置的时间；三是服务器进程被停止。

怎么在浏览器关闭时删除 session

理论上来说，是做不到这一点，http是一种无状态协议，因此服务器不知道客户端什么时候关掉的浏览器，并且PHP也没有一个关相的函数来获取此项信息，但这个问题还可以得到解决，就是使用 网页特效 代码 window.oncolose 来监视浏览器的关闭动作，然后用Ajax向服务器端发送一个请求来删除 session ，但这个办法也并不会完全解决问题，原因是在有些情况下比如浏览器崩溃、突然断电、用户死机等这些时候并不能作出反应。

在PHP中有关Session的函数比较多,不过我们最常用到的也就这么几个函数:
session_start(), session_register(),session_unregister(),
session_is_registered(),session_destroy函数.
session_start():启用session机制,在需要用到session的程序文件的最开始调用它.
session_register():注册session变量
session_unregister(): 删除session变量(一个一个删除)
session_is_registered(): 判断session变量是否注册
session_distroy(): 销毁所有session变量(所有session变量销毁)

们来看一下验证程序，假设数据库教程存储的是用户名和 md5 加密后的密码：

＜?php教程

// 表单提交后...
$posts = $_POST;
// 清除一些空白符号
foreach ($posts as $key =＞ $value)
{
$posts[$key] = trim($value);
}
$password = md5($posts["password"]);
$username = $posts["username"];

$query = "SELECT `username` FROM `user` WHERE `password` = '$password'";
// 取得查询结果
$userInfo = $DB-＞getRow($query);

if (!empty($userInfo))
{
if ($userInfo["username"] == $username)
{
// 当验证通过后，启动 Session
session_start();
// 注册登陆成功的 admin 变量，并赋值 true
$_SESSION["admin"] = true;
}
else
{
die("用户名密码错误");
}
}
else
{
die("用户名密码错误");
} 

　　我们在需要用户验证的页面启动 Session，判断是否登陆：

＜?php
// 防止全局变量造成安全隐患
$admin = false;

// 启动会话，这步必不可少
session_start();

// 判断是否登陆
if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true)
{
echo "您已经成功登陆";
}
else
{
// 验证失败，将 $_SESSION["admin"] 置为 false
$_SESSION["admin"] = false;
die("您无权访问");
}

?＞

需要注意下面几个方面:
 1.函数session_start()必须在程序最开始执行,在其前面不能有任何输出内容,否则
    就会出现“Warning:Cannot send session cookie - headers already
   sent"类似这样的警告信息.
 2.函数session_register()用于注册要保存在session中的相关变量,其用法如下:
 <?php
  $val = "session value";
  session_register("val");
 ?>
 val即为要注册的session变量名,在注册时一定不要加上"$"符号,只写其变量名称即可.

 3.函数session_unregister()与上面函数用法完全相同,但功能相反,上面函数是注册
session变量,而其则是删除指定的session变量.
 4.函数session_is_registered()用于判断session变量是否注册.
 5.函数session_destroy()主要用于在系统注销和退出时，销毁所有的session变量，
它没有参数，直接调用即可。

php教程设计模式 建造者模式 与Adapter(适配器模式)

适配器模式
*
* 将一个类的接口转换成客户希望的另外一个接口,使用原本不兼容的而不能在一起工作的那些类可以在一起工作

建造者模式
*
* 将一个复杂对象的构建与它的表示分离,使用同样的构建过程可以创建不同的表示

<?php
/**
* 适配器模式
*
* 将一个类的接口转换成客户希望的另外一个接口,使用原本不兼容的而不能在一起工作的那些类可以在一起工作
*/

// 这个是原有的类型
class OldCache
{
public function __construct()
{
echo "OldCache construct<br/>";
}

public function store($key,$value)
{
echo "OldCache store<br/>";
}

public function remove($key)
{
echo "OldCache remove<br/>";
}

public function fetch($key)
{
echo "OldCache fetch<br/>";
}
}

interface Cacheable
{
public function set($key,$value);
public function get($key);
public function del($key);
}

class OldCacheAdapter implements Cacheable
{
private $_cache = null;
public function __construct()
{
$this->_cache = new OldCache();
}

public function set($key,$value)
{
return $this->_cache->store($key,$value);
}

public function get($key)
{
return $this->_cache->fetch($key);
}

public function del($key)
{
return $this->_cache->remove($key);
}
}

$objCache = new OldCacheAdapter();
$objCache->set("test",1);
$objCache->get("test");
$objCache->del("test",1);

php设计模式 Builder(建造者模式)

<?php

/**
* 建造者模式
*
* 将一个复杂对象的构建与它的表示分离,使用同样的构建过程可以创建不同的表示
*/
class Product
{
public $_type = null;
public $_size = null;
public $_color = null;

public function setType($type)
{
echo "set product type<br/>";
$this->_type = $type;
}

public function setSize($size)
{
echo "set product size<br/>";
$this->_size = $size;
}

public function setColor($color)
{
echo "set product color<br/>";
$this->_color = $color;
}
}

$config = array(
"type"=>"shirt",
"size"=>"xl",
"color"=>"red",
);

// 没有使用bulider以前的处理
$oProduct = new Product();
$oProduct->setType($config['type']);
$oProduct->setSize($config['size']);
$oProduct->setColor($config['color']);

// 创建一个builder类
class ProductBuilder
{
var $_config = null;
var $_object = null;

public function ProductBuilder($config)
{
$this->_object = new Product();
$this->_config = $config;
}

public function build()
{
echo "--- in builder---<br/>";
$this->_object->setType($this->_config['type']);
$this->_object->setSize($this->_config['size']);
$this->_object->setColor($this->_config['color']);
}

public function getProduct()
{
return $this->_object;
}
}

$objBuilder = new ProductBuilder($config);
$objBuilder->build();
$objProduct = $objBuilder->getProduct();

PHP中那么多排序函数还自己写这个干吗？！后来想想，原来我错了，编程并不是死记硬背的机械运动，更是多种思维的集合；经常练习算法的目的就是扩展自己思维的目的。

<?php教程
$array = array(10,5,36,86,2,56,9,15,8,4,3,41);
$num = count($array);
for($i = 0;$i<$num-1;$i++){
for($j = $i+1;$j<$num;$j++){
if($array[$j]>$array[$i]){//这里交换数组的值
$temp = $array[$i];
$array[$i] = $array[$j];
$array[$j] =$temp;
}
}
}
print_r($array);
?>
　　这是写的冒泡排序算法，结果还是可以的：

---------- PHP Debug ----------
Array
(
[0] => 86
[1] => 56
[2] => 41
[3] => 36
[4] => 15
[5] => 10
[6] => 9
[7] => 8
[8] => 5
[9] => 4
[10] => 3
[11] => 2
)

输出完成 (耗时 0 秒) - 正常终止

<?php
$array = array(10,5,36,86,2,56,9,15,8,4,3,41);
$num = count($array);
for($i=0;$i<$num-1;$i++){
for($j=$i+1;$j<$num;$j++){
if($array[$j]>$array[$i]){//这里是交换键值
$temp = $i;
$i=$j;
$j=$temp;
}
}
}
print_r($array);
?>
　　结果惨不忍睹啊……

---------- PHP Debug ----------
Array
(
[0] => 10
[1] => 5
[2] => 36
[3] => 86
[4] => 2
[5] => 56
[6] => 9
[7] => 15
[8] => 8
[9] => 4
[10] => 3
[11] => 41
)

输出完成 (耗时 0 秒) - 正常终止

当然使用 Session 还有很多优点，比如控制容易，可以按照用户自定义存储等（存储于数据库教程）。我这里就不多说了。

　　Session 在 php教程.ini 是否需要设置呢？一般不需要的，因为并不是每个人都有修改 php.ini 的权限，默认 Session 的存放路径是服务器的系统临时文件夹，我们可以自定义存放在自己的文件夹里，这个稍后我会介绍。

　　开始介绍如何创建 Session。非常简单，真的。

　　启动 Session 会话，并创建一个 $admin 变量：

// 启动 Session
session_start();
// 声明一个名为 admin 的变量，并赋空值。
$_SESSION["admin"] = null;
?>

　　如果你使用了 Seesion，或者该 PHP 文件要调用 Session 变量，那么就必须在调用 Session 之前启动它，使用 session_start() 函数。其它都不需要你设置了，PHP 自动完成 Session 文件的创建。

　　执行完这个程序后，我们可以到系统临时文件夹找到这个 Session 文件，一般文件名形如：sess_4c83638b3b0dbf65583181c2f89168ec，后面是 32 位编码后的随机字符串

,函数bool session_set_save_handler ( callback open, callback close, callback read, callback write, callback destroy, callback gc )就是提供给我们解决这个问题的方案.
该函数使用的6个函数如下:
1. bool open() 用来打开会话存储机制,
2. bool close() 关闭会话存储操作.
3. mixde read() 从存储中装在session数据时使用这个函数
4. bool write() 将给定session ID的所有数据写到存储中
5. bool destroy() 破坏与指定的会话ID相关联的数据
6. bool gc() 对存储系统中的数据进行垃圾收集
例子见php手册session_set_save_handler() 函数.
如果用类来处理,用

session_set_save_handler(
array('className','open'),
array('className','close'),
array('className','read'),
array('className','write'),
array('className','destroy'),
array('className','gc'),
)

关于session安全问题
攻击者通过投入很大的精力尝试获得现有用户的有效会话ID,有了会话id,他们就有可能能够在系统中拥有与此用户相同的能力.
http协议时无状态的，所以通常网站都会用session来标示一个用户。session在客户端就是一个保存一个特殊令牌的cookie，关键的信息是存放在服务器端的。但因为令牌是保存在客户端，并且要经过传输,所以还是很不安全的。

1、会话终止，但令牌仍处于活动状态

情景： 当用户退出时，程序只是删除了令牌（例如，通过发布一个清空令牌的Set-Cookie指令）。然而并没有删除服务器端的数据，如果用户继续使用该令牌，仍然可以使用。
解决方法：退出后删除服务器端的数据。
测试方法：退出后，仍然使用该令牌，如果活动正常，这该令牌仍然有效。（使用Firefox的web developer 插件就可以）

2、令牌可以通过url传输

情景：如果可以通过url传输，攻击者使用攻击者站点上的链接，可以轻松的固定受害人的会话标识符，比如：http://www.example.com/index.php?PHPSESSID=fixed_session_id。假使受害者还没有一个example.com站点会话标识符的cookie，那么会话固定就成功了。一旦受害者使用了攻击者指定的会话标识符，那么攻击者就能劫持受害者的会话，并模仿受害者的用户代理，试图假装成受害者。
解决方法：在PHP中设置 use_only_cookies  的值 1 , 在php中默认就是 1，可以不修改。

3、在网络上泄露了令牌

情景：网络以非加密方式传输会话令牌，则处在适当位置的监听者可以截取此令牌。
a、当用户登录时是使用http非安全通道时，用户与服务器间传输的所有的数据都是可以截获的。 这时登录者对于监听者是没有什么秘密可言的。这时候，如果截获的数据不足以执行第二次登录  （例如，一些银行系统会要求登录者提交不断变化的验证码）。如果攻击者想执行任何操作，就必须劫持他窃听的会话。

b、一些程序在一些HTTP页面就发送一个令牌，然后再登录页面开始使用https教程，并且登录时也不修改此令牌，结果最初并未通过验证的用户会话在登录后被升级为通过验证的会话。窃听者可以在登录前就拦截到这个令牌。所以为了提高安全性，程序可以在登录的时候发送令牌或发送一个新令牌。

c、程序容许通过HTTP登录，如果攻击者成功将用户的链接降级为HTTP，他仍然能够拦截这个令牌。

d、如果所有的页面都是用HTTPS，但图片和一些js，css教程等的静态文件是使用HTTP传输。这时如果静态文件和登录等页面时在同一个域下，令牌也会通过HTTP泄露。所以将静态文件使用别的域好处是很多的。
其他解决方法：
a、如果应用程序使用HTTP Cookie传送会话令牌，应确认其设置了secure标记，防止他们通过非加密链接传送令牌。
b、不接受非安全登录
c、session和客户端的HTTP_USER_AGENT绑定，但该方法效果不是很理想，攻击者可以伪造这些数据。

4、客户端令牌易被劫持

a、网站存在跨站攻击漏洞，这样用户的令牌很容易被劫持。需要检查全站，避免出现跨站攻击，也可以设置cookie_httponly，可以在一定程度上避免脚本的攻击。具体可以参考  利用httponly提升应用程序安全性 

b、攻击者可以使用其他针对用户的攻击，以不同的方式劫持用户的会话。包括实施会话固定攻击，即攻击者向一名用户发送一个已知的会话令牌，等待他们登录。
解决方法：1、可以每次登录成功后发送新的会话令牌
2、对令牌设定一个特别的格式，不接受其他格式的令牌，该方法效果并不是很好。

5、Cookie范围过于宽泛

浏览器在提交Cookie时会将Cookie提交到设定的域及其任何子域，而不提交到其他域。如果应用程序将Cookie的域设定的过于宽泛，会是程序出现各种漏洞。

6、令牌不够强大

令牌在其生成过程中，过于简单，或者有规律可循，从而使攻击者可以以常规方式预测或推断其他用户的令牌。例如，攻击者可以在A时间得到从网站正常获取一个令牌，在B时间在网站获取一个令牌，则通过分析，得到这个时间段的大量令牌样本，从而攻击。

解决方法：生成一个强大的令牌，得到足够的复杂度。但一些高强度的随机源必须采用足够的步骤获得足够的熵，这需要时间，所以通常不能满足需求。所以可以通过合并一些用户特有的数据来得到足够的熵。可以使用的数据：
1、一串随机数
2、来源IP地址
3、请求中的User_Agent消息头
4、请求时间
5、服务器私密的随机数
串联上面的数据，然后使用适当的散列算法（比如md5，SHA-256）等等对这个字符串处理。（将最容易变化的数据项放在散列输入的开始部分有助于最大化散列算法中的“雪崩”效应。

其他的一些增强安全的方法：

1、每页面令牌
在每个页面使用新的令牌，可以通过HTML表单传送，也可以使用Cookie传送，如果出现不匹配的情况整个会话终止。

2、在执行重要操作前，要求进行两步确认操作

安全是个大问题，细节方面是最重要的。这篇文章是我在阅读《黑客攻防技术宝典-web实战篇》记下的笔记。
--冷锋

<?php
if(!isset($_SESSION['user_agent'])){
$_SESSION['user_agent'] =$_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT'];
}
/* 如果用户session ID是伪造 */
elseif ($_SESSION['user_agent'] != $_SERVER['REMOTE_ADDR'] .$_SERVER['HTTP_USER_AGENT']) {
session_regenerate_id();
}
?>