用PHP与MySQL的电子贺卡程序

第一步：首先作一个如下面的表单：（注：这个表单里加了php程序）
<form method="post" action="mailtocard.php" name="card" onSubmit="return card_Validator(this)">
<table width="450" border="0" cellspacing="0" cellpadding="0" align="center">
<tr>
<td valign="top" width="143">
<input type="radio" name="inout" value="newyear" checked>
<img src="/images/newyear1.gif" width="75" height="75"> </td>
<td width="170">
<input type="radio" name="inout" value="newyear2_2">
<img src="/images/newyear2.gif" width="75" height="75"> </td>
<td width="137">
<input type="radio" name="inout" value="newyear3_3">
<img src="/images/newyear1.gif" width="75" height="75"> </td>
</tr>
<tr>
<td valign="top" colspan="3">
<textarea name="text" rows="7" cols="60" wrap="VIRTUAL">你好朋友：
</textarea>
</td>
</tr>
<tr>
<td valign="top" colspan="3">
<select name="music">
<option selected>--卡片背景音乐--</option>
<option value="101marry.mid">一千零一夜</option>
<option value="canyon.mid">canyon</option>
</select>
<input onclick=playSound() type=button value="试听音乐">
</td>
</tr>
<tr>
<td valign="top" colspan="3"> </td>
</tr>
<tr>
<td valign="top" colspan="3">
<table width="370" border="0" cellspacing="0" cellpadding="0" align="center" class="p11">
<tr>
<td width="108">

<?

if (strlen($g_username) > 1)
{
//判定是否登陆，若已登陆显示姓名及Email,不用填写。
$db=mysql_connect("localhost","root","");
$result=mysql_db_query("数据库名","select email,http from 数据库表名 where username='$g_username'");

$row=mysql_fetch_array($result);
$bbs_email=$row[email];

echo "<div align='left'>您的姓名：</div>
</td>
<td width=342>
$g_username
<input type=hidden name=username value=$g_username>
</td>
</tr>
<tr>
<td width=108>
<div align=hidden>您的Email：</div>
</td>
<td width=342>
$bbs_email
<input type=hidden name=email value=$bbs_email>

";
}
//if (strlen($g_username) < 0)
else //判定没有登陆，需要填写姓名及Email。
{
echo "<div align='left'>您的姓名：</div>
</td>
<td width='342'>

<input type='text' name='username'>
</td>
</tr>

通过PHP连接MYSQL数据库


$conn = mysql_connect("localhost","root","password") or die("无法连接数据库");
mysql_select_db("table" ,$conn) or die ("找不到数据源");


-----------------------------------------------------------------------
通过PHP创建MYSQL数据库

$conn = mysql_connect("localhost","root","password") or die("无法连接数据库");
mysql_create_db("webjx") or die("无法创建数据库");
$sqlstr = "create database other_webjx";
mysql_query($sqlstr) or die("无法创建,一般请检查权限什么的");

----------------------------------------------------------------------------
创建mysql的表

$conn = mysql_connect("localhost","root","password") or die("无法连接数据库");
mysql_select_db("webjx",$conn) or die("无法连接数据库webjx");
$sql = "create table webjx_table(
ids integer not null auto_increment ,
primary key(ids)
)";
$mysql_query($sql) or die(mysql_error());

本文描述了我在开发我的Blog的过程中所碰到的一些问题以及解决他们的方法。因为本网站采用的是一个免费的远程MySql数据库db4free.net,而且这个数据库是5.1的版本，所以在开发过程中出现了许多问题。故在此发表，以便大家参考。

一、连接远程数据库的方法

对于PHP连接远程MySql数据库，通常要使用如下的语句：

var $serverName = 'db4free.net:3306';//数据库服务器
var $dbName = 'dbname';//数据库名
var $dbUsername = 'username';//用户名
var $dbPassword = '123';//登陆密码
mysql_connect($serverName,$dbUsername ,$dbPassword);
mysql_select_db($dbName);

二、解决中文显示乱码的问题

从MySQL 4.1开始引入多语言的支持,但是用PHP插入的中文会出现乱码.无论用什么编码也不行。非凡是对于这个5.1版本的MySql数据，他在中文的问题上使用较为麻烦。其解决方法如下：

1、在建表的时候设置编码类型为gb2312_chinese_ci.

2、在PHP页面的数据库连接语句加一行mysql_query("SET NAMES 'gb2312'",$link); 例如

$db_host="localhost";
$db_user="root";
$db_password="password";
$db_name="test";
$link=mysql_connect($db_host,$db_user,$db_password);
mysql_query("SET NAMES 'gb2312'",$link);
$db=mysql_select_db($db_name,$link);

这样在MYSQL里面的中文就能正常显示了。也可以用下面这句话：

mysql_query("SET NAMES 'gb2312'");

本地文件上传到服务器后，服务器的脚本对文件进行保存，一般有两种方式，一种是作为
文件保存到机器的特定目录下，但是这里就有很多诸如文件重名带来的种种不便之处，有的程
序自动改文件名字，把名字加上上传时间等方法以保证文件名的唯一性，这样失去了文件的原
始名字，通过文件名查询特定的文件信息也有很多困难，不利于文件的统一治理；一种是把文
件保存到数据库中利用数据库的强大功能，可以方便的实现文件的各种操作。本文采用的是第
二种方法。

这一组程序演示了，如何将硬盘的一个文件通过网页，上传到服务器的数据库里面，并且
读出文件的内容。

使用说明：
一共有5个程序,说明如下：
1. file.sql --- 本程序要用到的数据库表的结构[注：数据库用的是test]
2. upload.php --- 上传表单
3. submit.php --- 上传处理程序
4. show_info.php --- 显示部分上传的文件信息
5. show_add.php --- 显示[下载]文件

//////////////////////////////////////////////////////////////////////
（1）file.sql ---
//简要说明
保存上传得文件的基本信息的数据库结构，此处注重保存文件内容的字段，使用longtext类型
因为普通的blob类型最大存储64K字节。另外，一般php的默认配置最大上传文件为2M,假如上
传的文件非凡大，莫忘了调整php.ini的设置哦。
//文件源码
create table receive(
id int NOT NULL auto_increment, #主键,自动累加
file_data longblob, #文件内容
file_type varchar(100), #文件类型
file_name varchar(255), #文件名字
file_size int, #文件大小
PRIMARY KEY(id) #主键
)

//////////////////////////////////////////////////////////////////////
（2）upload.php ---
//简要说明
上传界面，用户选择文件，然后提交给submit.php处理
值得注重的是一个 MAX_FILE_SIZE的隐藏值域，通过设置其VALUE可
以限制上载文件的大小。
//程序源码
<html>
<head>
<title>文件上传表单</title>
</head>
<body>
<table>
<form enctype='multipart/form-data' name='myform' action='submit.php'
method='post'>
<INPUT TYPE = "hidden" NAME = "MAX_FILE_SIZE" VALUE ="1000000">
<tr><td>选择上传文件</td><td>
<input name='myfile' type='file'></td></tr>
<tr><td colspan='2'><input name='submit' value='上传'
type='submit'></td></tr>
</table>
</body>
</html>

当今大多数 Web 应用程序都需要至少采用某种基本的安全策略。例如，提供用口令保护的内容的网站、仅具有治理员后端的网站、网志和个人杂志、电子商务网站、企业内联网，等等。
　　

　　构建这些类型的 Web 应用程序最常用的设计方法是将安全策略整合到 Web 应用程序的业务逻辑中，即由应用程序决定某个用户是否有权访问数据库中的某个数据。在这种情形下，数据库的角色仅为存储数据和依请求提供数据。换句话说，假如 Web 应用程序命令数据库提供特定信息，则数据库会直接执行该命令而不检查用户的权限。


　　在该文中，您将学习如何利用 Oracle 内置的安全特性在数据库级执行应用程序安全规则，以提高应用程序的整体安全性。作为附带的好处，直接在数据库中实现数据访问安全不但有助于提高应用程的安全性，而且有助于降低复杂性。


　　对数据库端安全性的需求


　　从 Web 应用程序控制数据访问会怎么样？大多数情况下没有问题；这是个不错的解决方案，尤其是在涉及的数据为非任务要害或绝密的时候。许多书和在线资源中都用到了该方法。实际上，有本很受欢迎的 PHP/MySQL 书明确反对每个应用程序创建一个以上的数据库用户帐户，这是因为“额外的用户或复杂的权限会因某个操作在继续前要检查更多的信息而降低 MySQL 的执行速度”。确实如此；但是，在放弃将安全性整合到数据库逻辑中的想法前可能要考虑几件事情。我们来看以下示例。


　　假设创建一个内容治理系统 (CMS)。其中使用数据库来存储网站上发布的内容。大部分数据是公开的，答应匿名 Web 用户读取；但只答应编辑更改数据。使用单一数据库帐户访问和修改数据库中的记录，并通过用口令保护仅治理员可以访问的页面的访问权限用 PHP 代码控制安全性。


　　假如 Web 应用程序的公共端遭受了一个诸如公共搜索表单（即编码不够严密的表单）上的 SQL 注入的攻击，则该入侵者可能能够对该公共帐户可以访问的数据库对象执行任意 SQL 语句。当然，就这里的情形而言，执行 SELECT 语句不会造成什么大问题，这是因为数据本来就是公共的。但由于公共权限和治理权限使用同一数据库帐户，因此入侵者还能执行 UPDATE 和 DELETE 语句，甚至是从数据库中删除表。


　　怎么才能防止该情况的发生呢？最简单的方法就是彻底限制公共数据库帐户修改数据的权限。我们来看看 Oracle 是如何解决这个问题的。


　　Oracle 安全性基本概述


　　Oracle 数据库为 Web 开发人员提供了控制数据访问的许多方法，从治理对特定数据库对象（如表、视图和过程）的访问到控制个别行或列的数据的访问。很显然，对 Oracle 每个安全特性或可用选项的讨论超出了本文的范围。在这里，我们将不涉及过多细节，而仅介绍 Oracle 数据访问安全性的最基本方面：


　　验证和用户帐户


　　权限


　　角色


　　验证和用户帐户。 与其他数据库一样，请求访问 Oracle 的每个用户（数据库帐户）必须通过验证。验证工作可以由数据库、操作系统或网络服务来做。除基本的验证（口令验证）外，Oracle 还支持强验证机制，如Kerberos、CyberSafe、RADIUS，等等。


　　角色。 Oracle 角色是一个权限的有名集。尽管可以直接授予用户帐户权限，但使用角色可以极大简化用户治理，尤其是需要治理大量用户时。创建易治理的小角色，然后根据用户的安全级别授予用户一个或多个角色，这样做的效率非常高。更不用说修改权限变得如何简单了