您的位置:首页 > 编程技术 > php  >  PHP窜红:革命尚未成功 Java仍需努力

PHP窜红:革命尚未成功 Java仍需努力

 更新时间:2016年11月25日 16:16  点击:1445
  相对于Java由简入繁的演变趋势,PHP忠于简单易学原味的坚持受到广大开发者的欢迎,近年来声势大涨,而简单就是力量,这句话套用于近日PHP异军突起,再适合也不过了。老实说,原本觉得它不会太厉害,看到它最近的成长和茁壮,直攻Java阵营输于经营之处,让人对它刮目相看。
 
  Netscape前CEO Marc Andressen在Zend/PHP大会上预言,简单易学的描述语言PHP将会比Java被更多人用于Web应用的开发上;再引用Cnet台湾报导的数据,全球大约有2200万个网站使用PHP,而且数量还在稳定增加中。
 
  为什么PHP会如此受欢迎呢?我想简单好用是最大原因。如果网站只是提供使用者搜寻资讯的入口,网际网路上有许多现成、免费的、容易拿到,且已经做好的网站软体,如行事历、网站管理、新闻、报名系统、电子报、天气预报等免费的应用模组供下载安装使用,如此好康的事情,何乐而不为?而且只要买一本书,装一装,简单的设定就有讨论区,不用写任何程式,这对没有程式经验的人来说是好的进入点,也符合中小企业低成本建置网站的需求。作为Java人士,PHP的窜起给了我三个启示:
  Web 开发:PHP夹缝中求生存之道
  这些网路应用软体Java做不到吗?PHP夹在JSP(JavaServer Page )和ASP(Active Server Page )中间,说实在的,应该一点生存的机会都没有,因为他们的难易度、观念和架构、程式语法这三样差异不大;如果从弹性的角度来看,ASP可以去呼叫COM 元件,JSP是呼叫Java Beans元件,从开发延展性和系统的扩充性来说,都比PHP好太多,软体应用空间也相对更广阔。
 
  当然,这些语言因为各有特长,都各自有发展,而PHP在众多网站开发工具市场中没有变得比较差,反而变得比较大,软体是免费虽然是主因之一,但我认为更重要的是,PHP社群很专心地开发动态网页技术,而且这个点作对了,而如果要学ASP就还要再学VB,学元件开发,Java领域除了JSP外,还可以作Severlet,作Severlet就会想说把EJB结合在一起,所以体系会越来越复杂,越复杂就筑起更高的学习门槛,如此一来,学习意愿低,人才少,成本相对较高,直接影响企业采用意愿。
 
  现在的软体世界不只是应用之争,也是平台的拉锯战;过去开发人员会比较哪种程式语言比较棒,组合语言、Cobol、PL1、Ada(人工智慧)、LSPER、C等语言陆续问世,到最后只剩下C语言能留下来,连Pscal都需要有Delphi撑下来才能存活;如果要问说受欢迎的程式语言要具备什么特色,这些特色还真难归纳,例如开发弹性、功能强大、限制少、容易开发、使用性高等,每个语言先天都有这些特色,如果这些条件是程式语言存亡的关键因素,我想上述语言应该都不会结束,但随著技术演进和环境的改变,不适用或不符开发者需求的语言将逐渐被淘汰。
接着我们要关注一下PHP加速的另一个领域—缓存工具软件。这类软件都是从优化PHP运行环境来提速的,不需要改变任何代码。我们可以大概地将它们称为“执行码优化/缓存工具”,你可以理解为它们用来实现比较底层的优化/缓存。
 
以下列出目前比较常用的此类工具,具体哪种效果最好,请用自己的服务器环境测试:
  (一) APC Alternative PHP Cache
  http://pecl.php.net/package-info.php?package=APC
  APC运行于Linux和FreeBSD,你需要自己编译安装。按照其开发人员的说法,在他们的测试环境下可以提高脚本速度50%-400%。并且APC是个开源项目,已经加入了PHP的PECL库,很值得一试。
  (二) Turck MMCache
  http://turck-mmcache.sourceforge.net/
  Turck MMCache似乎是此类软件中目前最受欢迎的一种,它开放源代码,完全免费。它将PHP代码预编译并缓存起来,同时也对PHP运行环境进行一定优化。按照其官方文档的说法,MMCache可以明显地减轻服务器的负载,并提高脚本执行速度1-10倍。
  MMCache与另一个知名的加速软件Zend Optimizer兼容,但注意必需先安装MMCache(php.ini中设置)。除了加快PHP程序的速度,MMCache还可以将PHP代码加密。
  Turck MMCache同时支持Linux和Win32平台。
  (三) PHPA the PHP Accelerator
  http://www.php-accelerator
  PHPA又是另一个流行的PHP加速软件。在其官方网站上有分别使用PHPA与APC、Zend Cache的PHP脚本执行测试对比,其表现略优于APC,略逊于Zend Cache。
  PHPA支持Linux, FreeBSD, OpenBSD, BSDi和Solaris系统.
  (四) Zend Performance Suite
  http://www.zend.com/
  Zend Performance Suite是老牌的PHP加速/优化软件,依托于PHP领域最知名的Zend公司。目前已经推出4.0版本,它可以为PHP应用提供程序加速,内容缓存,文件压缩,下载服务等,功能十分强大,获得好几个PHP杂志的推荐奖—但是不得不提起,它也很昂贵,目前的价格是1875美元。
  以上几种加速软件,希望读者按照服务器环境自行测试并选择其中最适用的,因为我没有办法提供一个普遍适用的测试标准来判断哪种方案是最有效的。综合起来看,我个人认为Turck MMCache是个值得推荐的选择,免费而且功能相当出色。
PHP有很多与文件系统相关的函数,不仅可以帮助你打开文件,还可以显示目录内容、移动文件等。很多人甚至使用PHP写出了基于Web的文件管理器。
 
  首先需要提醒一些关于文件路径的东西:在Windows你可以在文件路径中使用斜线“/”或反斜线“”,而其他操作系统仅使用”/”。出于兼容性考虑,以下实例使用“/”的表示方法:
  下面的简单脚本显示了一个基本的目录列表。注释在代码中并解释了每一步:

<? /* 在变量 $dir_name中给出希望访问的目录完整路径*/
 $dir_name = /home/me/;
 /* 创建句柄,打开给定目录的结果*/
 $dir = opendir($dir_name);
 /* 启动一段文本添加到将要放置列表元素(文件名)的地方 */
 $file_list = <ul>;
 /* 使用while语句,读取所打开目录的所有元素。如果文件名既非“.”及“..”则在列表中输出文件名*/
 while ($file_name = readdir($dir)) {
  if (($file_name != .) && ($file_name != ..)) {
   $file_list .= <li>$file_name;
  }
 }
 /* 终结列表 */
 $file_list .= </ul>;
 /* 关闭打开的目录句柄并结束PHP代码段*/
 closedir($dir);
?>
<!-- Start your HTML -->
<HTML>
<HEAD>
 <TITLE>Directory Listing</TITLE>
</HEAD>
<BODY>
 <!-- Use PHP to print the name of the directory you read -->
 <P>Files in: <? echo $dir_name; ?></p>
 <!-- Use PHP to print the directory listing -->
 <? echo $file_list; ?>
</BODY>
</HTML>
  这时已经有了一个目录列表。需要记住,要读取目录或文件(马上你会见到)中的内容用户所在的PHP运行平台必须至少对目录或文件有read权限。
  以下例子为如何复制文件:

<? /* 将需要复制的文件路径放入变量$original,复制的目标路径放入变量$copied */
 $original = /home/me/mydatabasedump;
 $copied = /archive/mydatabasedumo_1010;
 /* 使用函数copy() 复制源文件至目的地,或以输出错误信息结束*/
 @copy($original, $copied) or die(Couldn't copy file.);
?>
  示例脚本是备份系统的第一步。当脚本运行时,出于安全考虑它先将数据库复制到不同地点。通过对crontab的修改,你可以在选定时间执行此文件而无需用户介入。
  假设系统上已有Lynx,你可以创建crontab入口以运行Lynx并访问文件。访问文件将运行脚本并创建复制文件。以下例子将在早晨5点运行脚本,然后关闭Lynx:
0 5 * * * [username] lynx -dump http://localhost/copyfile.php 1>/dev/null 2>&1
  如果你运行的是PHP的CGI版本,你可以跳过Lynx部分并参考二进制文件:
0 5 * * * [username] php /path/to/copyfile.php 1>/dev/null 2>&1
文件上传我们需要用到HTML里面表单的type=file类型,及其enctype属性。这是我们大家必须要用的。当然了PHP函数库当中的FILE函数库,字符串类型函数库,目录函数库及$_FILES[]的使用是我们必须要用到的。
 
  也许每一个站点都可能会对上传文件有许多的限制,这些限制会包括 文件类型,文件大小,扩展名,以及上传目录的存在与否,上传文件的存在与否,目录的可写性,可读性,上传文件的改名及怎样把文件从缓存当中复制到你所需要的目录当中。
  当然出错的预处理也是我们不容忽视的!如果再深一步的讨论我们还可以对文件的操作起用事件日志的记录。
  下面我们通过一段程序来实现这些功能:
  
  首先是我们预设的变量值,它包括文件大小,文件扩展名类型,MIMI类型,及是否删除的开关变量

$MAX_SIZE = 2000000;
$FILE_MIMES = array('image/jpeg','image/jpg','image/gif'
,'image/png','application/msword');
$FILE_EXTS = array('.zip','.jpg','.png','.gif');
$DELETABLE = true;

  下一部就是设置浏览器访问变量及目录访问变量:

$site_name = $_SERVER['HTTP_HOST'];
$url_dir = http://.$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF']);
$url_this = http://.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];
$upload_dir = files/;
$upload_url = $url_dir./files/;
$message =;

  建立上传目录并相应改变权限:

if (!is_dir(files)) {
 if (!mkdir($upload_dir))
  die (upload_files directory doesn't exist and creation failed);
 if (!chmod($upload_dir,0755))
  die (change permission to 755 failed.);
}

  用户请求的处理:

if ($_REQUEST[del] && $DELETABLE) {
 $resource = fopen(log.txt,a);
 fwrite($resource,date(Ymd h:i:s).DELETE - $_SERVER[REMOTE_ADDR].$_REQUEST[del]n);
 fclose($resource);
 if (strpos($_REQUEST[del],/.)>0); //possible hacking
 else if (strpos($_REQUEST[del],files/) === false); //possible hacking
 else if (substr($_REQUEST[del],0,6)==files/) {
国内不少论坛都存在跨站脚本漏洞,国外也很多这样的例子,甚至Google也出现过,不过在12月初时修正了。(编者注:关于跨站脚本漏洞攻击,读者可参阅《详解XSS跨站脚本攻击》)。跨站攻击很容易就可以构造,而且非常隐蔽,不易被查觉(通常盗取信息后马上跳转回原页面)。
  如何攻击,在此不作说明(也不要问我),主要谈谈如何防范。首先,跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的,所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等,可以使用htmlentities() 。
 

<?php
$str = "A 'quote' is <b>bold</b>";
// Outputs: A 'quote' is <b>bold</b>
echo htmlentities($str);
// Outputs: A 'quote' is <b>bold</b>
echo htmlentities($str, ENT_QUOTES);
?>

  这样可以使非法的脚本失效。
  但是要注意一点,htmlentities()默认编码为 ISO-8859-1,如果你的非法脚本编码为其它,那么可能无法过滤掉,同时浏览器却可以识别和执行。这个问题我先找几个站点测试后再说。
  这里提供一个过滤非法脚本的函数:

function RemoveXSS($val) {
 // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
 // this prevents some character re-spacing such as <javascript>
 // note that you have to handle splits with , , and later since they *are* allowed in some inputs
 $val = preg_replace('/([x00-x08][x0b-x0c][x0e-x20])/', '', $val);
 // straight replacements, the user should never need these since they're normal characters
 // this prevents like <IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&
    _#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>
 $search = 'abcdefghijklmnopqrstuvwxyz';
 $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
 $search .= '1234567890!@#$%^&*()';
 $search .= '~`";:? /={}[]-_|'';
[!--infotagslink--]

相关文章