很多时候「不留神」就会在脚本上留下隐患，比如常见的 注入漏洞 等等。由于加上 PHP 是动态类型的语言，所以在安全方面要尤其注意。

除了上述的注入漏洞以外，一些函数也能造成一定的安全问题。PHP Bug Scanner 则可以帮助你找到调用这些函数的语句，以便编写者确认这条语句是否有问题。

另外，除了常见的 default.cfg，还有多种 perset 可以选择，比如需要检查 SQL 函数方面的调用函数，则选择 sql.cfg 即可。

下面是此程序的 打包下载 。另， 提供 Zend 方面的 PHP 安全 Tips 。

Late Static Bindings

考虑下述代码的输出

<?php
class clsParent {
    static public function say( $str ) {
        self::do_print($str);
    }

    static public function do_print( $str ) {
        echo "parent says $str";
    }
}

class clsChild extends clsParent{
    static public function do_print( $str ) {
        echo "child says $str";
    }
}

clsChild::say('Hello');
?>

你可能很希望输出 'child says Hello'，但是实际上输出的是 'parent says Hello'。这是因为 self:: 指向的是类的本身，也就是 clsParent（同道理，__CLASS__ 也是一样）。

针对这一情况，PHP5.3 [引入了

上次说过 ，PHP 5.3 的一个新的重要特性就是 命名空间 （namespace）。

这一特性在 PHP5.0x 时候就提出过，后来被取消并安排在 PHP6 中实现。而此次又再次「提前」到了 PHP5.3 发布，可见开发人员对其的重视以及谨慎的态度。

官方发布时说明 文档的内容 可能已过期（documentation maybe out dated），所以在这里简单的说明命名空间的用法：首先是声明一个命名空间，加入了新的关键字 namespace ，其应在类文件的开头

<?php
namespace Project::Module; 

class User {
    const STATUS_OK = true;

    function register($data) {
        ...
    }
    
    ...
}

然后在控制器中（可能是其他文件）就可以这样调用

$user = new Project::Module::User(); 
$user->register($register_info);

的确与平常的并无两样，但是我们可以将两个相互独立的类联系起来。比如

Project::Module::User; 
Project::Module::Blog;

这样就能从语言本身更容易描述和理解变量、类之间的关系，从而避免了「传统」上的 Project_Module_Blog 这样冗长的命名方式。

上面的说明可能很难说明使用命名空间带来了什么好处，新增加的 use 和 as 关键字或许能更好的说明问题。use 和 as 语句可以引用和声明 命名空间的「别名」。比如，上述的控制器中实例化类的代码可以这样写

use Project::Module;
$user = new Module::User(); 
$user->register($register_info);

甚至

use Project::Module::User as ModuleUser;
$user = new ModuleUser; 
$user->register($register_info);

类中的常量也可以通过命名空间访问，比如上述类中的 STATUS_OK 就可以通过命名空间

Project::Module::User::STATUS_OK

访问。进一步的，也可以用别名简化那么长的「变量名称」

use Project::Module::User::STATUS_OK as STATUS_OK;
echo STATUS_OK;

顺便提下「 超空间（The Global Namespace） 」的概念。所谓的「超空间」，就是没有指定命名空间的变量、类和函数。比如

function foo() {
    ...
}

这的函数，可以使用 foo() 执行的同时，也可以使用 ::foo(); 这样执行。

最后，配合使用 autoload 函数即可载入指定命名空间的类。简单的函数如下

function __autoload( $classname ) {
    $classname = strtolower( $classname );
    $classname = str_replace( '::', DIRECTORY_SEPARATOR, $classname );
    require_once( dirname( __FILE__ ) . '/' . $classname . '.class.php' );
}

这样，比如调用

__autoload('Project::Module::User');

就可以自动载入 Project_Module_User.class.php 文件（虽然这样看起来并不方便多少）。