1.2 热点关键技术

1.2.1 防SQL注入技术

SQL注入是指一些精通SQL语句的用户,通过在表单或浏览器地址栏中输入SQL语句来绕过系统检验的一种技术。一般防范SQL注入的手段是过滤敏感字符,例如引号等。

PHP相对于ASP来说,要安全得多。但这不代表PHP网站就不会出现SQL注入的情况。幸运的是,在PHP上防SQL注入,要比ASP简单、方便,不需要写一大段的转换语句,只要几个函数就可以了。

1.intval()函数

intval()函数的作用是返回变量的整数值,函数语法如下:

      int intval ( mixed var [, int base] )

2.addslashes()函数

addslashes()函数就是在操作数据库时,对其中的特殊字符进行自动转义,即在特殊字符前加上反斜线(\),包括单引号(' )、双引号(")、NULL,但是不包括“%”和“_”。函数语法如下:

      string addslashes ( string str )

此外,还可以使用mysql_real_escape_string()来进行转义,效果与addslashes()函数一样。

1.2.2 Ajax无刷新验证技术

Ajax(Asynchronous JavaScript and XML)即异步JavaScript和XML,是时下最流行的技术。Ajax不是新的技术,而是原有技术的集合,这从它的名字上就能够看出来。

Ajax的核心技术是XMLHttpRequest。通过XMLHttpRequest中的open()方法和send()方法,可以在不刷新当前页面的情况下向处理页发送数据;通过XMLHttpRequest中的responseText属性和responseXML属性,可以得到处理页的输出结果。

Ajax能够流行的原因,是因为它能为用户提供良好的交互性,这个特性在本模块中被充分地体现出来。注册用户无须经过“漫长”的等待就可以知道输入的账号是否可用,登录用户也不必担心因为输错登录信息而重新刷新整个页面。

使用Ajax,一般分为下面几步。

(1)创建XMLHttpRequest对象。不同的浏览器,创建XMLHttpRequest对象及使用的方法有一些差别,这里只针对IE浏览器进行创建,代码如下:

      var xmlhttp = false;                                    //初始化变量
      //如果ActiveXObject存在,说明是IE 1.0以上的版本,否则使用XMLHttpRequest创建
      if(window.ActiveXObject){
            xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
      }else if(window.XMLHttpReuqest){
            xmlhttp = new XMLHttpRequest();
      }

(2)对象创建成功后,就可以使用对象中的open()方法创建新请求了,方法格式如下:

      xmlhttp.open(rmethod, rurl, isAsync);

参数说明如下。

❑ rmethod:指明请求的方法,如get()或post()。

❑ rurl:指明请求的页面。可以是绝对地址,也可以是相对地址。

❑ isAsync:指明请求是否为异步。默认为True,即异步。

(3)如果isAsync等于True,那么当请求的状态改变时,将调用onreadystatechange属性,该属性指定了一个回调函数,格式如下:

      xmlhttp.onreadystatechange = reabackfunc;

或者

      xmlhttp.onreadystatechange = function(){…}

(4)在回调函数中,首先需要判断http的请求状态和http状态码。这是通过readyState属性和status属性来判断的。readyState属性有5种状态值,常用的是4,表示数据接收完毕。status属性的值比较多,常用的是200,表示请求成功。一般使用这两个属性一起来判断,格式如下:

      xmlhttp.onreadystatechange = function(){
            if(readyState == 4 and status == 200){
              …
            }
      }

(5)当响应页处理结束后,即满足了“readystate==4 and status == 200”这个条件,就可以使用XMLHttpRequest对象的属性获取响应页的值了。常用的有responseText、responesXML、responseStream等,这里以responseText为例进行介绍。

responesText属性是将响应页的输出信息作为字符串返回,格式如下:

      str = xmlhttp.responseText;

(6)最后使用send()方法来接收回应。send()方法可以传递数据,但这取决于open()方法中的rmethod参数,当参数为get时,数据是附在URL中进行传递的;当参数为post时,数据只能使用send()方法进行传递。send()方法的语法如下:

      xmlhttp.send([rdate]);

1.2.3 验证码技术

验证码技术是为了防止用户名和密码被暴力破解,在登录页面上生成一组随机数,每次刷新页面时,随机数都会改变。一般是4位,也有更多位的。

1.获取验证码

PHP中的验证码可以通过rand()函数生成随机数的方式得到。rand()函数可以获取指定范围内的随机数,该函数语法如下:

      int rand([int min, int max])

如果省略两个参数,那么将返回0到RAND_MAX之间的随机整数。否则,返回min和max之间的整数。例如本例中要获取4位十六进制的整数,代码如下:

      <? php
            for($i=0; $i<4; $i++){
              $num .= dechex(rand(0,15));               //生成随机数
            }
            …
      ?>

函数dechex()可以将参数转换为十六进制数表示。

使用JavaScript也可以生成十六进制随机数,但是稍有些复杂。JavaScript中不能直接将十进制数转换为十六进制数,需要手动进行转换。首先使用Math.random()函数生成0~15的随机数,然后使用Math.ceil()函数将随机数取整,接下来就要逐次判断该值,如果该值大于9,那么将10~15的数一一对应转换为a、b、…、f。转换完成后,将值累加,最后传给valcode.php页。

使用JavaScript生成十六进制随机数的完整代码如下:

      //生成随机数
      function showval(){
            num = ' ' ;
            for(i=0; i<4; i++){                           //循环输出4位验证码
              tmp = Math.ceil((Math.random() * 15)); //取得1位十六进制的整数
                    if(tmp > 9){                          //依次判断随机数
                        switch(tmp){
                          case(10):                       //如果随机数等于10,则转换为a
                              num += ' a' ;
                              break;
                          case(11):
                              num += ' b' ;               //如果随机数等于11,则转换为b
                              break;
                          case(12):
                              num += ' c' ;               //如果随机数等于12,则转换为c
                              break;
                          case(13):                       //如果随机数等于13,则转换为d
                              num += ' d' ;
                              break;
                          case(14):                       //如果随机数等于14,则转换为e
                              num += ' e' ;
                              break;
                          case(15):                       //如果随机数等于15,则转换为f
                              num += ' f' ;
                              break;
                        }
                    }else{
                        num += tmp;
                    }
            }
            $(' chkid' ).src=' valcode.php? num=' +num;   //将生成的随机数传给图像生成页
            $(' chknm' ).value = num;                     //将随机数的值保存到页面的隐藏域中
      }

2.显示随机数图片

显示随机数的方法很多,将随机数写入一个图片中再显示是目前常用的方法。在PHP中,可以使用GD函数库来实现。使用到的函数主要有imagecreate()函数、imagecolorallocate()函数、imagestring()函数、imagesetpixel()函数、imagepng()函数和imagedestroy()函数。

1)imagecreate()函数

imagecreate()函数用来创建一个基于调色板的空白图像源,这是生成图片的第一步,函数语法如下:

      resource imagecreate ( int width, int height )

其中,参数width和height分别指定了图像的宽和高。

2)imagecolorallocate()函数

imagecolorallocate()函数可以为创建后的图像分配颜色,函数语法如下:

      int imagecolorallocate ( resource image, int red, int green, int blue )

参数说明如下。

❑ image:一个图像源。

❑ red、green和blue:表示红、黄、蓝三元素的成分,每种颜色的取值范围在1~255。

3)imagestring()函数

图像创建完成后,就可以使用imagestring()函数来添加图像文字了,该函数的语法如下:

      bool imagestring ( resource image, int font, int x, int y, string s, int col )

参数说明如下。

❑ image:一个图像源。

❑ font:可以设置字体,如果使用系统默认字体,则可以使用1~5的数字。

❑ x和y:分别表示文字相对于整幅图像的x轴和y轴坐标,即所输入的字符串的左上角坐标。

❑ s:要显示的字符串。

❑ col:为字体颜色,也是使用imagecolorallocate()函数来分配的。

4)imagesetpixel()函数

使用imagecolorallocate()创建的是一个单一背景色的图像,如果希望向图像中添加干扰码,则可以使用imagesetpixel()函数,该函数的作用是画一个像素点,函数语法如下:

      bool imagesetpixel ( resource image, int x, int y, int color )

参数说明与imagestring()函数相似,这里不再赘述。

5)imagepng()函数

该函数将创建完成的图片以png的格式输出,函数语法如下:

      bool imagepng ( resource image [, string filename] )

参数说明如下。

❑ image:要保存的图像源。

❑ filename:要保存的图像名。如果省略,则直接输出到浏览器。

6)imagedestroy()函数

图像保存完毕后,使用imagedestroy()函数来释放内存,函数语法如下:

      bool imagedestroy ( resource image )

验证码的生成文件是valcode.php,其完整代码如下:

      <? php
       header("content-type:image/png");           //设置页面编码
       $num = $_GET[' num' ];                      //获取超链接传递的随机数
       $imagewidth=60;                             //定义画布的宽
       $imageheight=18;                            //定义画布的高
       $numimage = imagecreate($imagewidth, $imageheight);         //创建画布
       imagecolorallocate($numimage,240,240,240);                  //设置画布颜色
       for($i=0; $i<strlen($num); $i++){                           //循环读取随机数
            $x = mt_rand(1,8)+$imagewidth*$i/4;
            $y = mt_rand(1, $imageheight/4);
       $color=imagecolorallocate($numimage, mt_rand(0,150), mt_rand(0,150), mt_rand
       (0,150));                                                   //定义图像的颜色
            imagestring($numimage,5, $x, $y, $num[$i], $color);   //将随机数写入画布中
       }
        for($i=0; $i<200; $i++){                //for循环语句生成干扰线
        $randcolor=imagecolorallocate($numimage, rand(200,255), rand(200,255), rand
        (200,255));                             //定义颜色
                //生成干扰线
                imagesetpixel($numimage, rand()%70, rand()%20, $randcolor);
        }
        imagepng($numimage);                    //生成图像
        imagedestroy($numimage);                //释放资源
       ?>

1.2.4 E-mail激活技术

为了防止恶意注册,现在有很多的网站采用了E-mail激活技术。当用户注册成功后,并不是马上就可以使用,而是需要先登录邮箱。通过系统发出的E-mail上的链接进行激活,只有激活后,账号才可以使用。对于找回密码的用户,系统会将新密码发送到邮箱中,这在一定程度上,提高了安全性。

本模块使用ZendFramework中的Zend_Mail组件完成邮件的发送操作,在本书的光盘中没有提供Zend_Mail组件,如果要运行这个程序,需要读者自己下载Zend组件,并将其复制到本模块的根目录下,即mr/04文件夹下。

实践真知 说明

在执行邮件的发送时,笔者使用的是搜狐邮箱,邮箱名称是mrsoft8888@sohu.com,密码是mrsoft8888。读者在完成用户注册之后,可以登录这个邮箱完成注册用户的激活操作,否则注册的用户是不能够使用的。

注册用户激活的原理是控制数据库中用户信息表(tb_member)中active字段的值,默认值注册成功后该字段的值是0,但是此时该用户是不能够登录网站的,必须通过邮箱激活,将该字段的值更新为1之后,此用户才可以使用。激活操作的文件存储于activation.php文件中,其关键代码如下:

      <? php
      session_start();
      header(' Content-Type:text/html; charset=gb2312' );
      include_once("conn/conn.php");
      if (! empty($_GET[' name' ]) && ! is_null($_GET[' name' ])){         //激活注册用户
            $num=$conne->getRowsNum("select * from tb_member where name
            =' ".$_GET[' name' ]."' and password = ' ".$_ GET[' pwd' ]."' ");
            if ($num>0){
              $upnum=$conne->uidRst("update tb_member set active = 1 where name=
              '".$_GET[' name' ]."' and password = ' ".$_GET[' pwd' ]."' ");
              if($upnum > 0){
                  $_SESSION[' name' ] = $_GET[' name' ];
                  echo "<script>alert(’用户激活成功!' ); window.location.
                  href=' main.php' ; </script>";
              }else{
                  echo "<script>alert(’您已经激活!' ); window.location.href=' main.php' ;
                    </script>";
              }
            }else{
              echo "<script>alert(’用户激活失败!' ); window.location.href=
              'register.php' ; </script>";
            }
      }
      ?>

1.2.5 应用键盘响应事件验证信息是否合法

新用户注册时,随着信息输入,系统实时显示信息的正确性;用户登录时,无须使用鼠标来选择文本框,只要按<Enter>键,焦点就自动下移。这些功能都是通过JavaScript脚本中的键盘响应事件来实现的。随着Ajax技术的流行,JavaScript已经成为一个开发人员必须要掌握的技术。下面,就来简单了解键盘事件。

用户通过onkeydown和onkeyup事件来触发响应事件。使用方法与onclick事件类似。onkeydown表示当键盘上的键被按下时触发,onkeyup和它正好相反,当键盘上的键被按下又抬起时触发。在页面中加载事件的方式有多种,这里介绍两种最常用的方式。

1.将事件直接添加到页面元素中

方法最直接、简单,格式如下:

      <script type="text/javascript">
          …
          function refer(){
            …
          }
      </script>
      <input type="text" onkeydown="refer()" />

当该用户输入完信息后,单击任意键,onkeydown事件被触发,并调用refer()函数。

2.通过window.onload加载

当页面被载入时,事件被载入,格式如下:

      <script>
            window.onload = function(){
              document.getElementById(' lgname' ).onkeydown = function(){
                    …
              }`
            }
      </script>
      …
      <input id="lgname" type="text" />
      …

当用户输入信息时,每输入一个字母,都将触发该事件,在该事件调用的函数中,对用户输入信息进行判断。例如用户名必须大于等于2、密码最短6位、E-mail必须合法等。下面看一段验证用户名的代码:

      //验证用户名
      //为id等于regname的页面元素添加onkeyup事件
      //用户每按一次键,都会调用一次该函数
      $(' regname' ).onkeyup = function (){
            name = $(' regname' ).value;                //获取输入内容
          cname2 = ' ' ;
          if(name.match(/^[a-zA-Z_]*/) == ' ' ){        //判断输入字符是否在有效范围之内
              $(' namediv' ).innerHTML = ' <font color=red>必须以字母或下画线开头</font>' ;
              cname1 = ' ' ;
          }else if(name.length < 2){                 //判断输入的字符长度
              $(' namediv' ).innerHTML = ' <font color=red>注册名称必须大于等于2位</font>' ;
              cname1 = ' ' ;
          }else{
              $(' namediv' ).innerHTML = ' <font color=green>注册名称符合标准</font>' ;
              cname1 = ' yes' ;
          }
          chkreg();
      }
      …

该段代码的运行结果如图1.6所示。

图1.6 验证信息合法性

使用onkeydown事件还可以实现对特定键的控制,包括<Enter>键、<Ctrl>键、<Alt>键等所有的按键,这是通过在onkeydown事件中使用keyCode属性来实现的。keyCode属性能够知道用户按下的是哪个键,例如<Enter>键等于13、空格键等于32等。使用keyCode属性的一般格式如下:

      <script>
          window.onload = function(){
              document.getElementById(' lgname' ) = function(){
                  if(event.keyCode == 13){            //判断用户是否按了<Enter>键
                      …
                  }
              }`
          }
      </script>

在本模块中,实现了焦点自动下移功能。当用户按<Enter>键时,页面的焦点自动移到下一个文本框中,实现后的效果如图1.7所示。

图1.7 焦点自动下移的运行效果

1.2.6 PHP中操作Cookie技术

Cookie的作用是当用户第一次访问某服务器时,服务器将一些信息保存到客户端计算机内。在以后的一段时间内,当用户再次访问这个服务器时,服务器通过Cookie信息,能够识别该用户。在很长一段时间内,Cookie都被当做一个不安全的因素,很少再被使用,转而使用Session。但是,Cookie的功能确实十分方便,自动登录、网站统计等都比其他的实现方式要简单、快捷得多。Cookie只是一个文本文件,不能访问本地硬盘,无法传播病毒木马程序。唯一要注意的地方是,Cookie只能识别计算机,而不会在意谁在使用。

在PHP中操作Cookie使用setcookie()函数和$_COOKIE预定义变量。setcookie()函数的语法格式如下:

      bool setcookie ( string name [, string value [, int expire [, string path [, string
  domain [, bool secure]]]]] )

参数说明如下。

❑ name:设置了Cookie的名字。

❑ value:Cookie的值,即参数name的值。

❑ expire:用来设置Cookie的过期时间,该参数以时间戳的形式存在。一般设置Cookie过期时间的时候,通过time()+秒数来实现,如time()+60×10,表示Cookie将在10分钟后失效。设置Cookie马上失效,可以将时间设为当前日期之前,如time()-1,那么Cookie会立即失效。

❑ path:表示Cookie在服务器端的有效范围。如果path设为“/”,那么Cookie在整个服务器内都有效,如果Cookie为“/05/”,那么Cookie只在服务器下的05目录有效。

❑ domain:指定了Cookie有效的域名范围,以www.mrbccd.com为例,如果domain设为“.mrbccd.com”,那么Cookie在该域的所有子域都有效;如果domain为“www.mrbccd.com”,那么Cookie只在www.mrbccd.com域内有效。

❑ secure:表明是否在https传送。如果是True, Cookie仅在https连接中被设置,默认是False。

1.2.7 在JavaScript中操作Cookie技术

在JavaScript中可以通过document对象中的Cookie属性对Cookie进行创建、读取、删除等操作。先来看创建Cookie的格式(代码中加粗的部分是需要用户设置的)。

      documen.cookie = "Name=Value; expires=time; path=URL; domain= Domain"

其中各个参数的含义与PHP中的基本相同,这里不再赘述。

在JavaScript中读取Cookie有一点复杂。在JavaScript看来,Cookie就是一个字符串。例如一个名字为“Count”、值是“10”的Cookie,在JavaScript中的格式是

      count=10

如果有多个Cookie,那么它的格式如下:

      count=10; name=mr; …

而真正需要的值,其实只有10而已。所以,要获取Cookie的值,就要使用split()函数将Cookie进行拆分,获取count值的代码为

      <script>
                 if(document.cookie==' ' ){                      //Cookie等于空时
                    document.write(' no cookie' );
                 }else{
                    //以分号为分隔符,对Cookie进行分隔
                    cookiearr = document.cookie.split(' ; ' );
                     leng = cookiearr.length;                   //获取数组长度
                     for(i=0; i<leng; i++){
                          //判断哪一个Cookie等于count
                          if(cookiearr[i].split(' =' )[0] == ' count' ){
                               //输出count的值
                               document.write(cookiearr[i].split(' =' )[1]);
                         }
                    }
         }
</script>

1.2.8 用户自动登录技术

自动登录的原理是:当用户打开登录页面时,登录页面首先判断用户客户端机器中的Cookie值。如果该值不存在,或者Cookie已失效,这时,将显示登录表单;如果Cookie值存在,则直接使用Cookie中所保存的用户名进行登录。

在本模块中,用户首先打开的是index.php页,该页判断Cookie值,如果没有,则跳转到login.php进行登录;如果Cookie有值,则将Cookie中的用户名保存到Session,直接进入主页面,实现代码如下:

      <? php
            session_start();                                //开启Session支持
            header(' Content-Type:text/html; charset=gb2312' );      //设置页面编码
            //判断Cookie是否为空
            if(! empty($_COOKIE[' name' ]) and ! is_null($_COOKIE[' name' ])){
              $_SESSION[' name' ] = $_COOKIE[' name' ];     //将Cookie保存到Session中
                //跳转到main.php页
              header(' location:http://localhost/model/05/01/main.php' );
            }else{                                          //Cookie为空,说明没有登录
                //跳转到login.php页
              header(' location:http://localhost/model/05/01/login.php' );
            }
      ?>

这里$_COOKIE[' name' ]的值是在登录成功时设置的,相关代码如下:

      <? php
            …                                                //如果登录成功
            setcookie(' name' , $name, time()+60*10);         //保存$name的同时设置时间
            …
      ?>