精于心、简于形
很多时候“不留神”就会在脚本上留下隐患,比如常见的注入漏洞等等。由于加上 PHP 是动态类型的语言,所以在安全方面要尤其注意。
除了上述的注入漏洞以外,一些函数也能造成一定的安全问题。PHP Bug Scanner 则可以帮助你找到调用这些函数的语句,以便编写者确认这条语句是否有问题。
另外,除了常见的 default.cfg,还有多种 perset 可以选择,比如需要检查 SQL 函数方面的调用函数,则选择 sql.cfg 即可。
下面是此程序的打包下载。另,提供 Zend 方面的 PHP 安全 Tips。
考虑下述代码的输出
<?php
class clsParent {
static public function say( $str ) {
self::do_print($str);
}
static public function do_print( $str ) {
echo "parent says $str";
}
}
class clsChild extends clsParent{
static public function do_print( $str ) {
echo "child says $str";
}
}
clsChild::say('Hello');
?>你可能很希望输出 'child says Hello',但是实际上输出的是 'parent says Hello'。这是因为 self:: 指向的是类的本身,也就是 clsParent(同道理,__CLASS__ 也是一样)。
针对这一情况,PHP5.3 引入了 static:: 指向静态调用类的本身,那么很容易上述的相应函数改成
static public function say( $str ) {
static::do_print($str);
}就可以得到期望的结果。
类似 __call 这样的“魔术方法(magic methods)”,__callstatic 提供了静态调用的可能。回顾 __call 的用法:
__call 方法说明了如何调用未经定义的方法。当调用未 定义方法时,方法名和方法接收的参数将会传给 __call 方法。PHP 传递 __call 的值返回给未定义的方法。
那么,可以理解 __callstatic 是针对静态调用的方法。同样,理解下面的代码
<?php
class clsChild {
static function a() {
echo "i'm a";
}
static function __callstatic($method, $args) {
echo 'Unknown static method' . $method . ' called with parameters:';
echo '<pre>' . print_r($args, true) . '</pre>';
}
}
clsChild::a();
clsChild::b();
clsChild::b('param1', 'param2');
?>新增加的功能,使变量直接静态调用成为了可能,而不用去使用call_user_func_array 甚至 eval 等函数。考虑下面的代码
<?php $classname = 'clsChild'; $methodname = 'say'; $classname::$methodname(); $methodname = 'clsChild'; $param = 'gracecode.com'; $classname::$methodname($param); ?>
进一步,变量的静态调用同时支持命名空间:
<?php // defined __autoload function. $class = 'Project::Module::User'; $user = new $class(); $user->register($register_info); ?>
PHP5.3 增强的静态调用功能,从某种意义上说,可以改变我们传统调用类甚至是编写代码的方式。
比如在传统的写法中,可以用到 __call 重载某个类,而通常的 function 通常为了调用的方便,而不是直接封装在类中。上述的调用方法能很方便得将“类似”的函数封装到某个命名空间以及类中,使代码更加的友好。
上次说过,PHP 5.3 的一个新的重要特性就是 命名空间(namespace)。
这一特性在 PHP5.0x 时候就提出过,后来被取消并安排在 PHP6 中实现。而此次又再次“提前”到了 PHP5.3 发布,可见开发人员对其的重视以及谨慎的态度。
官方发布时说明文档的内容可能已过期(documentation maybe out dated),所以在这里简单的说明命名空间的用法:首先是声明一个命名空间,加入了新的关键字 namespace ,其应在类文件的开头
<?php
namespace Project::Module;
class User {
const STATUS_OK = true;
function register($data) {
...
}
...
}然后在控制器中(可能是其他文件)就可以这样调用
$user = new Project::Module::User(); $user->register($register_info);
的确与平常的并无两样,但是我们可以将两个相互独立的类联系起来。比如
Project::Module::User; Project::Module::Blog;
这样就能从语言本身更容易描述和理解变量、类之间的关系,从而避免了“传统”上的 Project_Module_Blog 这样冗长的命名方式。
上面的说明可能很难说明使用命名空间带来了什么好处,新增加的 use 和 as 关键字或许能更好的说明问题。use 和 as 语句可以引用和声明 命名空间的“别名”。比如,上述的控制器中实例化类的代码可以这样写
use Project::Module; $user = new Module::User(); $user->register($register_info);
甚至
use Project::Module::User as ModuleUser; $user = new ModuleUser; $user->register($register_info);
类中的常量也可以通过命名空间访问,比如上述类中的 STATUS_OK 就可以通过命名空间
Project::Module::User::STATUS_OK
访问。进一步的,也可以用别名简化那么长的“变量名称”
use Project::Module::User::STATUS_OK as STATUS_OK; echo STATUS_OK;
顺便提下“超空间(The Global Namespace)”的概念。所谓的“超空间”,就是没有指定命名空间的变量、类和函数。比如
function foo() {
...
}这的函数,可以使用 foo() 执行的同时,也可以使用 ::foo(); 这样执行。
最后,配合使用 autoload 函数即可载入指定命名空间的类。简单的函数如下
function __autoload( $classname ) {
$classname = strtolower( $classname );
$classname = str_replace( '::', DIRECTORY_SEPARATOR, $classname );
require_once( dirname( __FILE__ ) . '/' . $classname . '.class.php' );
}这样,比如调用
__autoload('Project::Module::User');就可以自动载入 Project_Module_User.class.php 文件(虽然这样看起来并不方便多少)。
