关于PHP转义符的一点总结

最近在写bbs中，遇上代码转换问题。寻找了很久，才得到一个比较完善的解决办法，可以彻底还原发文者的原文。
以下贴出，供大家指正。
系统：linux php4 oracle8i

<?
//--标题,名字等字段入库处理(去首尾空格)
function trans_string_trim($str) {
$str=trim($str);
$str=eregi_replace("'","''",$str);
$str=stripslashes($str);
return $str;
}

//--文章入库处理，即textarea字段；
function trans_string($str) {
$str=eregi_replace("'","''",$str);
$str=stripslashes($str);
return $str;
}

//--从库中显示在表单中；在text中以trans转换,在textarea中,无需转换,直接显示

//--显示在WEB页面，过滤HTML代码；包括链接地址
function trans($string) {
$string=htmlspecialchars($string);
$string=ereg_replace(chr(10),"<br>",$string);
$string=ereg_replace(chr(32)," ",$string);
return $string;
}

//--显示在WEB页面，不过滤HTML代码；
function trans_web($string) {
$string=ereg_replace(chr(10),"<br>",$string);
$string=ereg_replace(chr(32)," ",$string);
return $string;
}

//--显示在WEB页面，过滤HTML代码及头尾空格,主要用于显示用户昵称
function trans_trim($string) {
$string=trim($string);
$string=htmlspecialchars($string);
$string=ereg_replace(chr(10),"<br>",$string);
$string=ereg_replace(chr(32)," ",$string);
return $string;
}

//--显示在span中；
function trans_span($string) {
$string=ereg_replace(chr(10),"n",$string);
$string=ereg_replace(chr(32)," ",$string);
$string=ereg_replace('"',""",$string);
return $string;
}

//--在WEB上显示cookie,过滤html
function trans_cookie($str) {
$str=trans($str);
$str=stripslashes($str);
$str=eregi_replace("''","'",$str);
return $str;
}
?>
---------------------------
最后，顺带补充一点，假如在span中显示文章中的一段，采用substr取定长字符串时，记得在span的参数后面多加一个空格，否则遇上截到半个汉字时，会搞乱html代码。

假如您是PHP老手，当然知道当PHP脚本出错时发生了什么事情。此时PHP解析器将在屏幕上给出错误信息，如 Fatal error: Call to undefined function on line 19 --，因此程序在此处终止。这个信息会吓到客户，他可能立即打电话和你进行咨询。

幸运的是，这里有解决办法。PHP拥有内置工具，可以让开发人员捕捉脚本错误然后将它们转到自定义的错误处理器。此时则可以对处理器进行编程显示更多关于错误的具体信息。还可以将错误写入文件或数据库以采取补救措施。有时候还可以对处理器编写程序忽略错误消息。

本文中，我将阐述如何使用PHP的错误处理API构建用户自定义的错误处理器，并且说明如何以简单而友好的方式显示和治理脚本的错误信息。

错误类型和报告级别

我们从最基本的开始。PHP有三种最基本的错误类型，从低级到高级分别为：注重、警告和错误（或致命错误）。通常情况下，注重和警告不会终止程序；但是致命错误则是危险故障（例如，调用一个没有定义的函数或参考一个不存在的对象），将导致程序中断。这些错误有可能在启动、解析、编译或运行时发生。

要害字如E_NOTICE, E_ERROR等用于表明错误的不同类型和等级。在PHP手册上可以获得它们的具体信息列表。

脚本阶段错误显示由error_reporting()函数进行控制。这一函数针对不同的错误等级设置不同的参数。表A给出了使用此函数报告警告和致命错误的脚本程序。

表A

<?php
// display warnings and errors
error_reporting(E_WARNING | E_ERROR);
// this will generate a notice, which will never be displayed
echo $undefinedVar;
// this will generate a fatal error, which will be displayed
callUndefFunc();
?>

将表B中的代码与上面的进行比较发现，Listing B中隐藏错误信息甚至隐藏致命信息，使得错误信息不会被显示出来。

表B

<?php
// turn off error display
// no errors will be displayed
error_reporting(0);
// this will generate a notice
echo $undefinedVar;
// this will generate a fatal error
callUndefFunc();
?>

表C中的代码将所有错误信息甚至简单的注重事项都显示出来：

表C

<?php
// all errors will be displayed
error_reporting(E_ALL);
// this will generate a notice
echo $undefinedVar;
// this will generate a fatal error
callUndefFunc();
?>

如以上3个例子所示，error_reporting()函数在控制错误发生时，在屏幕上显示内容非常重要。这里的要害字是displayed，其表达的意思是错误不被显示而不是错误没有发生。因此，发生致命错误时（例如不正确的函数调用），程序将被终止；但是，此时没有任何消息显示给用户。

本文举例说明了创建可配置 PHP 应用程序的几种方法。文中也探讨了应用程序中理想的配置点，并在应用程序过分可配置和过分封闭之间寻求一个平衡点。

　　假如计划让其他人或公司可以使用您的 PHP 应用程序，需要确保该程序是可配置的。至少，要答应用户以一种安全的方式设置数据库登录及密码，从而使其中的材料不会对外公开。

　　本文展示了几种用于存储配置设置及编辑这些设置的技术。另外，文中也为哪些元素需要设为可配置以及如何避免陷入配置过度或者配置不足的困境提供了指导。

　　使用 INI 文件进行配置

　　PHP 内建了对配置文件的支持。这是通过 php.ini 文件这样的初始化文件（INI）机制实现的，在 php.ini 文件中定义了数据库连接超时或会话如何存储等常量。假如愿意的话，可以在这个 php.ini 文件中为应用程序定制配置。为了说明，我将下列代码行添加到 php.ini 文件中。

　　myapptempdir=foo

　　然后，我编写了一个小 PHP 脚本来读取这个配置项，如清单 1 所示。

　　清单 1. ini1.php

<?php
function get_template_directory()
{
　$v = get_cfg_var( "myapptempdir" );
　return ( $v == null ) ? "tempdir" : $v;
}

echo( get_template_directory()."n" );
?>

　　当在命令行中运行这段代码时，得到如下结果：

% php ini1.php
foo
%

　　太棒了。但为什么不能用标准的 INI 函数来获取 myapptempdir 配置项的值呢？我研究了一下，发现在大多数情况下，定制配置项不能使用这些方法来获取。然而，使用 get_cfg_var 函数却是可以访问的。

　　为使这个方法更加简单，将对变量的访问封装在第二个函数中，该函数使用配置键名及一个缺省值作为参数，如下所示。

　　清单 2. ini2.php

function get_ini_value( $n, $dv )
{
　$c = get_cfg_var( $n );
　return ( $c == null ) ? $dv : $c;
}

function get_template_directory()
{
　return get_ini_value( "myapptempdir", "tempdir" );
}

　　这是对如何访问 INI 文件的一个很好的概括，所以，假如要使用一个不同的机制或将这个 INI 文件存储到其他位置，就不需要为更改大量的函数而大费周折。

　　我不推荐使用 INI 文件作为应用程序的配置，这有两个理由。首先，虽然这样做较轻易读取 INI 文件，但却几乎不可能安全地写 INI 文件。所以这样做只适合于只读配置项。第二，php.ini 文件在服务器的所有应用程序上共享，所以我认为特定于应用程序的配置项不应该写在该文件中。

　　需要对 INI 文件了解什么呢？最重要的是如何重置 include 路径来添加配置项，如下所示。

　　清单 3. ini3.php

<?php
echo( ini_get("include_path")."n" );
ini_set("include_path",
ini_get("include_path").":./mylib" );
echo( ini_get("include_path")."n" );
?>

　　在本例中，我将我的本地 mylib 目录添加到了 include 路径中，所以能够从该目录中 require PHP 文件，而不需要将该路径添加到 require 语句中。

　　PHP 中的配置

　　通常对于在 INI 文件中存储配置条目的一个替代办法是使用一个简单的 PHP 脚本来保持数据。如下是一个样例。

　　清单 4. config.php

<?php
# Specify the location of the temporary directory
#
$TEMPLATE_DIRECTORY = "tempdir";
?>

　　使用该常量的代码如下所示。

测试硬件说明：
测试使用的是我的爱机，配置如下：
CPU：C433
内存：128M
硬盘：酷鱼2代20G

测试软件说明：
WIN32下用的是windows nt server4,sp5,apache 1.3.12,php3.0.15和php4rc1,mysql 3.22.29,oracle 8.0.5
linux下用的是bluepoint linux1.0, apache 1.3.12, php4rc1,mysql 3.22.32

测试代码说明：
使用一个很简单的表，mysql和oracle使用的表结构是一样的，都只有三个字段，结构如下：
mysql的表结构：
CREATE TABLE board (
board_id smallint(6) NOT NULL auto_increment,
board_name char(16) NOT NULL,
board_manager char(20),
PRIMARY KEY (board_id)
);
oracle的结构：
CREATE TABLE PHP_ORACLE."BOARD"
("BOARD_ID" FLOAT,
"BOARD_NAME" CHAR(16) NOT NULL,
"BOARD_MANAGER" CHAR(20)) ;

我们只测试了INSERT操作花的时间，对于select，并未作测试。
因为win32下只有PHP3才能连接oracle数据库，所以只测试了用PHP3连接oracle的性能。相
信在PHP4的正式版本出来后，用PHP4连接oracle的速度应该有所提升。
而在LINUX下，因为我没有装oracle，所以只测试了mysql的性能。据说在LINUX下，oracle
的性能不错，只是无法测试。
并且我们将所有的用于数据库连接和oracle用来分析sql语句的代码都放在了统计代码之外
，所以测试得出的时间只是用于执行SQL操作所花费的时间。

用来测试mysql的程序：

<?php
$dblink=mysql_connect("localhost","root","shh123");
mysql_select_db("bbs");
$counter=1;
set_time_limit(300);
$query="insert into board (board_name,board_manager) values ('test','test')";
$begin_time=time();
for ($i=1;$i<=10000;$i ){
mysql_db_query("bbs",$query);
$counter ;
}
$end_time=time();
mysql_close($dblink);
echo "test db speed...<br>";
echo "begin time:".$begin_time."<BR>";
echo "<BR>end time:".$end_time."<BR>";

本章的最后一节,Zeev讨论了Zend引擎带来的对象模型,非凡提到它与PHP的前几个版本中的模型有什么不同.
　　当1997年夏天,我们开发出PHP3, 我们没有计划要使PHP具备面向对象的能力. 当时没有任何与类和对象有关的想法. PHP3是一个纯粹面向过程的语言. 但是,在1997.8.27的晚上PHP3 alpha版中增加了对类的支持. 增加一个新特性给PHP,当时仅需要极少的讨论,因为当时探索PHP的人太少. 于是从1997年八月起, PHP迈出了走向面向对象编程语言的第一步.

　　确实,这只是第一步. 因为在这个设计中只有极少的相关的想法,对于对象的支持不够强大. 这个版本中使用对象仅是访问数组的一个很酷的方法而已. 取代使用$foo[“bar”],你可以使用看起来更漂亮的$foo->bar. 面向对象方法的主要的优势是通过成员函数或方法来储存功能. 例子6.18中显示了一个典型的代码块. 但是它和例6.19中的做法其实并没有太大不同.

　　Listing 6.18 PHP 3 object-oriented programming PHP3中的面向对象编程

<?php
class Example
{
var $value = "some value";
function PrintValue()
{
print $this->value;
}
}
$obj = new Example();
$obj->PrintValue();
?>
　　Listing 6.19 PHP 3 structural programming PHP3 PHP3中的结构化编程

<?php
function PrintValue($arr)
{
print $arr["value"];
}

function CreateExample()
{
$arr["value"] = "some value";
$arr["PrintValue"] = "PrintValue";

return $arr;
}

$arr = CreateExample();

//Use PHP's indirect reference
$arr["PrintValue"]($arr);
?>
　　以上我们在类中写上两行代码,或者显示地传递数组给函数. 但考虑到PHP3中这两种选择并没有任何不同,我们仍然可以仅把对象模型当成一种”语法上的粉饰”来访问数组.

　　想要用PHP来进行面向对象开发的人们,非凡是想使用设计模式的人,很快就发现他们碰壁了. 幸运地,当时(PHP3时代)没有太多人想用PHP来进行面向对象开发.

　　PHP4改变了这种情况. 新的版本带来了引用(reference)的概念, 它答应PHP的不同标识符指向内存中的同一个地址. 这意味着你可以使用两个或更多的名称来给同一个变量命名,就像例6.20那样.

　　Listing 6.20 PHP 4 references PHP4中的引用

<?php
$a = 5;

//$b points to the same place in memory as $a $b与$a指向内存中同个地址
$b = &$a;

//we're changing $b, since $a is pointing to 改变$b,指向的地址改变
//the same place - it changes too $a指向的地址也改变
$b = 7;

//prints 7 输出7
print $a;