惠新宸于2011年8月作为核心开发人员加入PHP语言官方开发组，目前是该组织的唯一一位国人，也是国内最具影响力的PHP技术专家之一。 惠新宸作为知名PHP技术博客“风雪之隅”(http://www.laruence.com/)的博主， 一直专注与PHP底层原理的研究和分享。 其中《深入理解PHP原理》系列文章被广泛推荐， 成为国内PHP语言深度使用和定制的经典入门教材。

阅读全文 >>

有关 PHP 的 empty()，isset() 还有 is_null() 这三个函数的用法讨论得已经很多了，而且很多资料也未必能说得很清楚。这里再重复一次，但不是从概念去说，直接用程序例子来说话，应该记忆会比较深刻些。由此可见 empty() 可以用来判定所有的数据类型是否为空或假，而 is_null 与 isset 基本一样，只能用来判断是否为NULL和未定义。

阅读全文 >>

序列化是将变量转换为可保存或传输的字符串的过程；反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来，可以轻松地存储和传输数据，使程序更具维护性。当数组值包含如双引号、单引号或冒号等字符时，它们被反序列化后，可能会出现问题。为了克服这个问题，一个巧妙的技巧是使用base64_encode和base64_decode。

阅读全文 >>

最近需要用到发送邮件的功能，原本是用PHP自带的mail()函数发送的。php mail()这个方法非常简单、方便、易用，但是除了网易邮箱、QQ邮箱、GMAIL邮箱等常用的邮箱可以收到之外，经测试HOTMAIL、TOM、LIVE等邮箱是收不到此类邮件的。所以就转而使用PHPMailer这个强大的邮件发送类。

阅读全文 >>

PHP被称为 dirty but quick 的编程语言。尽管在其它编程语言使用者看来，PHP 程序并不简洁美观，但是我们可以通过一些优秀的编程习惯，也能让PHP的代码看起来比较舒服优雅。有哪些方法呢？下面逐一说下。优秀的PHP代码应该有清晰的结构。PHP面向对象的特性允许程序员将应用程序分解为函数或方法。

阅读全文 >>

在PHPCMS的发布页面中有个BUG，即使编辑无权限访问某个栏目，但是也还都可以在发布页面的栏目下拉菜单中选择该栏目，并可以将文章发布到该栏目下。这个BUG如何修复呢？我们先来看看发布页面的下拉菜单是如何生成的。发布页面的模板文件是在 /admin/templates/content_add.tpl.php，其表单是通过下面语句输出的……

阅读全文 >>

PHPCMS可以给某些角色设定权限，比如某些栏目对于某些角色是无法访问的。但是左侧菜单还是会显示该栏目名称，这对编辑来说是不需要的。都访问不了，还显示栏目名称干啥呢。看了一下PHPCMS的代码，简单地实现了隐藏菜单的小功能。

阅读全文 >>

其实，mcrypt本身就提供了强大的加密解密方法，并且支持很多流行的公开的加密算法，如DES, TripleDES, Blowfish (默认), 3-WAY, SAFER-SK64, SAFER-SK128, TWOFISH, TEA, RC2 and GOST in CBC, OFB, CFB and ECB。mcrypt支持多种国际公开的算法，我在这次的项目中使用的是DES算法，DES（Data Encryption Standard）。

阅读全文 >>

很多时候我们需要对数据进行加密解密，比如有些数据需要保存到cookie中，但又不能被用户轻易得到这些数据，这时我们就需要加密这些数据保存到cookie中，等我们需要使用它们的时候再解密。这里记录下这个可逆的加密函数的使用。

阅读全文 >>

很多博客软件都有这么一个功能，比如“生成本次页面一共花费了xx毫秒，进行了xx次数据库查询”等等。那么这个功能是如何实现的呢，下面我大概说下思路。首先在类的构造函数中声明全局变量，定义一个全局变量 $queries 用来统计页面生成经过的数据库查询次数。

阅读全文 >>

PHP 6 出了好些年了，虽然现在普遍用的还是 PHP 5，但是毕竟PHP 6还是未来的趋势。那么PHP 6对于 PHP 5来说，有什么变化，有哪些地方改进了呢？支持Unicode是有其必然，虽然Unicode占用较多的空间，但Unicode带来的便利性，远超过占用空间的缺点，尤其在国际化的今天，硬件设备越来越强大，网速也大幅度的提升，这么一点小小的缺点是可以忽略的。

阅读全文 >>

PHP的safe_mode选项的目的是为了解决本小节前后所述的某些问题。当安全模式生效时，PHP会对正在执行的脚本所读取（或所操作）文件的属主进行检查，以保证与该脚本的属主是相同的。虽然这样确实可以防范本章中的很多例子，但它不会影响其它语言编写的程序。

阅读全文 >>

除了能在共享服务器上读取任意文件之外，攻击者还能建立一个可以浏览文件系统的脚本。由于你的大多数敏感文件不会保存在网站主目录下，此类脚本一般用于找到你的源文件的所在位置。攻击者可能会首先察看/etc/passwd文件或/home目录以取得该服务器上的用户名清单；可以通过语言的结构如include或require来发现保存在网站主目录以外的源文件所在位置。

阅读全文 >>

一个与会话暴露类似的问题是会话注入。此类攻击是基于你的WEB服务器除了对会话存储目录有读取权限外，还有写入权限。因此，存在着编写一段允许其他用户添加，编辑或删除会话的脚本的可能。下例显示了一个允许用户方便地编辑已存在的会话数据的HTML表单。

阅读全文 >>

当你关注于防止源码的暴露时，你的会话数据只同样存在着风险。在默认情况下，SESSION保存在/tmp目录下。这样做在很多情形下是很方便的，其中之一是所有用户都有对/tmp的写入权限，这样Apache同样也有权限进行写入。虽然其他用户不能直接从shell环境读取这些会话文件，但他们可以写一个简单的脚本来进行读取。

阅读全文 >>

你的WEB服务器必须要能够读取你的源确并执行它，这就意味着任意人所写的代码被服务器运行时，它同样可以读取你的源码。在一个共享主机上，最大的风险是由于WEB服务器是共享的，因此其它开发者所写的PHP代码可以读取任意文件。通过在你的源码所在的主机上运行上面脚本，攻击者可以通过把file的值指定为完整的路径和文件名来使WEB服务器读取并显示任何文件。

阅读全文 >>