php安全教程

① php有什麼安全規則，有哪些

php安全篇值過濾用戶輸入的人參數
規則 1：絕不要信任外部數據或輸入
關於Web應用程序安全性，必須認識到的第一件事是不應該信任外部數據。外部數據(outside data) 包括不是由程序員在PHP代碼中直接輸入的任何數據。在採取措施確保安全之前，來自任何其他來源(比如 GET 變數、表單 POST、資料庫、配置文件、會話變數或 cookie)的任何數據都是不可信任的。
例如，下面的數據元素可以被認為是安全的，因為它們是在PHP中設置的。
復制代碼 代碼如下:
<?php
$myUsername = 'tmyer';
$arrayUsers = array('tmyer', 'tom', 'tommy');define(」GREETING」, 'hello there' . $myUsername);?>
但是，下面的數據元素都是有瑕疵的。
清單 2. 不安全、有瑕疵的代碼
復制代碼 代碼如下:
<?php
$myUsername = $_POST['username']; //tainted!
$arrayUsers = array($myUsername, 'tom', 'tommy'); //tainted!
define(」GREETING」, 'hello there' . $myUsername); //tainted!
?>
為 什麼第一個變數 $myUsername 是有瑕疵的？因為它直接來自表單 POST。用戶可以在這個輸入域中輸入任何字元串，包括用來清除文件或運行以前上傳的文件的惡意命令。您可能會問，「難道不能使用只接受字母 A-Z 的客戶端（Javascrīpt）表單檢驗腳本來避免這種危險嗎？」是的，這總是一個有好處的步驟，但是正如在後面會看到的，任何人都可以將任何錶單下載 到自己的機器上，修改它，然後重新提交他們需要的任何內容。
解決方案很簡單：必須對 $_POST['username'] 運行清理代碼。如果不這么做，那麼在使用 $myUsername 的任何其他時候（比如在數組或常量中），就可能污染這些對象。
對用戶輸入進行清理的一個簡單方法是，使用正則表達式來處理它。在這個示例中，只希望接受字母。將字元串限制為特定數量的字元，或者要求所有字母都是小寫的，這可能也是個好主意。
清單 3. 使用戶輸入變得安全
復制代碼 代碼如下:
<?php
$myUsername = cleanInput($_POST['username']); //clean!
$arrayUsers = array($myUsername, 'tom', 'tommy'); //clean!
define(」GREETING」, 'hello there' . $myUsername); //clean!
function cleanInput($input){
$clean = strtolower($input);
$clean = preg_replace(」/[^a-z]/」, 「」, $clean);$clean = substr($clean,0,12);
return $clean;
}
?>
規則 2：禁用那些使安全性難以實施的 PHP 設置已經知道了不能信任用戶輸入，還應該知道不應該信任機器上配置 PHP 的方式。例如，要確保禁用 register_globals。如果啟用了 register_globals，就可能做一些粗心的事情，比如使用 $variable 替換同名的 GET 或 POST 字元串。通過禁用這個設置，PHP 強迫您在正確的名稱空間中引用正確的變數。要使用來自表單 POST 的變數，應該引用 $_POST['variable']。這樣就不會將這個特定變數誤會成 cookie、會話或 GET 變數。
規則 3：如果不能理解它，就不能保護它
一些開發人員使用奇怪的語法，或者將語句組織得很緊湊，形成簡短但是含義模糊的代碼。這種方式可能效率高，但是如果您不理解代碼正在做什麼，那麼就無法決定如何保護它。
例如，您喜歡下面兩段代碼中的哪一段？
清單 4. 使代碼容易得到保護
復制代碼 代碼如下:
<?php
//obfuscated code
$input = (isset($_POST['username']) ? $_POST['username']:」);//unobfuscated code
$input = 」;
if (isset($_POST['username'])){
$input = $_POST['username'];
}else{
$input = 」;
}
?>
在第二個比較清晰的代碼段中，很容易看出 $input 是有瑕疵的，需要進行清理，然後才能安全地處理。
規則 4：「縱深防禦」 是新的法寶
本教程將用示例來說明如何保護在線表單，同時在處理表單的 PHP 代碼中採用必要的措施。同樣，即使使用 PHP regex 來確保 GET 變數完全是數字的，仍然可以採取措施確保 SQL 查詢使用轉義的用戶輸入。
縱深防禦不只是一種好思想，它可以確保您不會陷入嚴重的麻煩。
既然已經討論了基本規則，現在就來研究第一種威脅：SQL 注入攻擊。
防止 SQL 注入攻擊
在 SQL 注入攻擊 中，用戶通過操縱表單或 GET 查詢字元串，將信息添加到資料庫查詢中。例如，假設有一個簡單的登錄資料庫。這個資料庫中的每個記錄都有一個用戶名欄位和一個密碼欄位。構建一個登錄表單，讓用戶能夠登錄。
清單 5. 簡單的登錄表單
復制代碼 代碼如下:
<html>
<head>
<title>Login</title>
</head>
<body>
<form action=」verify.php」 method=」post」>
<p><label for='user'>Username</label>
<input type='text' name='user' id='user'/>
</p>
<p><label for='pw'>Password</label>
<input type='password' name='pw' id='pw'/>
</p>
<p><input type='submit' value='login'/></p>
</form>
</body>
</html>
這個表單接受用戶輸入的用戶名和密碼，並將用戶輸入提交給名為 verify.php 的文件。在這個文件中，PHP 處理來自登錄表單的數據，如下所示：
清單 6. 不安全的 PHP 表單處理代碼
復制代碼 代碼如下:
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = 「select count(*) as ctr from users where username='」.$username.」' and password='」. $pw.」' limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data->ctr == 1){
//they're okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION['loginokay'] = true;
header(」index.php」);
}else{
header(」login.php」);
}
?>
這 段代碼看起來沒問題，對嗎？世界各地成百（甚至成千）的 PHP/MySQL 站點都在使用這樣的代碼。它錯在哪裡？好，記住 「不能信任用戶輸入」。這里沒有對來自用戶的任何信息進行轉義，因此使應用程序容易受到攻擊。具體來說，可能會出現任何類型的 SQL 注入攻擊。
例如，如果用戶輸入 foo 作為用戶名，輸入 ' or '1′='1 作為密碼，那麼實際上會將以下字元串傳遞給 PHP，然後將查詢傳遞給 MySQL：
復制代碼 代碼如下:
<?php
$sql = 「select count(*) as ctr from users where username='foo' and password=」 or '1′='1′ limit 1″;?>
這個查詢總是返回計數值 1，因此 PHP 會允許進行訪問。通過在密碼字元串的末章節附註入某些惡意 SQL，黑客就能裝扮成合法的用戶。
解 決這個問題的辦法是，將 PHP 的內置 mysql_real_escape_string() 函數用作任何用戶輸入的包裝器。這個函數對字元串中的字元進行轉義，使字元串不可能傳遞撇號等特殊字元並讓 MySQL 根據特殊字元進行操作。清單 7 展示了帶轉義處理的代碼。
清單 7. 安全的 PHP 表單處理代碼
復制代碼 代碼如下:
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = 「select count(*) as ctr from users where username='」.mysql_real_escape_string($username).」' and password='」. mysql_real_escape_string($pw).」' limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data->ctr == 1){
//they're okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION['loginokay'] = true;
header(」index.php」);
}else{
header(」login.php」);
}
?>
使用 mysql_real_escape_string() 作為用戶輸入的包裝器，就可以避免用戶輸入中的任何惡意 SQL 注入。如果用戶嘗試通過 SQL 注入傳遞畸形的密碼，那麼會將以下查詢傳遞給資料庫：
select count(*) as ctr from users where username='foo' and password='\' or \'1\'=\'1′ limit 1″資料庫中沒有任何東西與這樣的密碼匹配。僅僅採用一個簡單的步驟，就堵住了 Web 應用程序中的一個大漏洞。這里得出的經驗是，總是應該對 SQL 查詢的用戶輸入進行轉義。
但是，還有幾個安全漏洞需要堵住。下一項是操縱 GET 變數。
防止用戶操縱 GET 變數
在前一節中，防止了用戶使用畸形的密碼進行登錄。如果您很聰明，應該應用您學到的方法，確保對 SQL 語句的所有用戶輸入進行轉義。
但 是，用戶現在已經安全地登錄了。用戶擁有有效的密碼，並不意味著他將按照規則行事 —— 他有很多機會能夠造成損害。例如，應用程序可能允許用戶查看特殊的內容。所有鏈接指向 template.php?pid=33 或 template.php?pid=321 這樣的位置。URL 中問號後面的部分稱為查詢字元串。因為查詢字元串直接放在 URL 中，所以也稱為 GET 查詢字元串。
在 PHP 中，如果禁用了 register_globals，那麼可以用 $_GET['pid'] 訪問這個字元串。在 template.php 頁面中，可能會執行與清單 8 相似的操作。
清單 8. 示例 template.php
復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
//we create an object of a fictional class Page$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
這 里有什麼錯嗎？首先，這里隱含地相信來自瀏覽器的 GET 變數 pid 是安全的。這會怎麼樣呢？大多數用戶沒那麼聰明，無法構造出語義攻擊。但是，如果他們注意到瀏覽器的 URL 位置域中的 pid=33，就可能開始搗亂。如果他們輸入另一個數字，那麼可能沒問題；但是如果輸入別的東西，比如輸入 SQL 命令或某個文件的名稱（比如 /etc/passwd），或者搞別的惡作劇，比如輸入長達 3,000 個字元的數值，那麼會發生什麼呢？
在這種情況下，要記住基本規則，不要信任用戶輸入。應用程序開發人員知道 template.php 接受的個人標識符（PID）應該是數字，所以可以使用 PHP 的 is_numeric()函數確保不接受非數字的 PID，如下所示：
清單 9. 使用 is_numeric() 來限制 GET 變數復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
if (is_numeric($pid)){
//we create an object of a fictional class Page$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page}else{
//didn't pass the is_numeric() test, do something else!
}
?>
這個方法似乎是有效的，但是以下這些輸入都能夠輕松地通過 is_numeric() 的檢查：
100 （有效）
100.1 （不應該有小數位）
+0123.45e6 （科學計數法 —— 不好）
0xff33669f （十六進制 —— 危險！危險！）那麼，有安全意識的 PHP 開發人員應該怎麼做呢？多年的經驗表明，最好的做法是使用正則表達式來確保整個 GET 變數由數字組成，如下所示：
清單 10. 使用正則表達式限制 GET 變數
復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
if (strlen($pid)){
if (!ereg(」^[0-9]+$」,$pid)){
//do something appropriate, like maybe logging them out or sending them back to home page}
}else{
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//moderately protected from evil user input$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
需 要做的只是使用 strlen() 檢查變數的長度是否非零；如果是，就使用一個全數字正則表達式來確保數據元素是有效的。如果 PID 包含字母、斜線、點號或任何與十六進制相似的內容，那麼這個常式捕獲它並將頁面從用戶活動中屏蔽。如果看一下 Page 類幕後的情況，就會看到有安全意識的 PHP 開發人員已經對用戶輸入 $pid 進行了轉義，從而保護了 fetchPage() 方法，如下所示：
清單 11. 對 fetchPage() 方法進行轉義
復制代碼 代碼如下:
<?php
class Page{
function fetchPage($pid){
$sql = 「select pid,title,desc,kw,content,status from page where pid='」.mysql_real_escape_string($pid).」'」;}
}
?>
您可能會問，「既然已經確保 PID 是數字，那麼為什麼還要進行轉義？」 因為不知道在多少不同的上下文和情況中會使用 fetchPage() 方法。必須在調用這個方法的所有地方進行保護，而方法中的轉義體現了縱深防禦的意義。
如 果用戶嘗試輸入非常長的數值，比如長達 1000 個字元，試圖發起緩沖區溢出攻擊，那麼會發生什麼呢？下一節更詳細地討論這個問題，但是目前可以添加另一個檢查，確保輸入的 PID 具有正確的長度。您知道資料庫的 pid 欄位的最大長度是 5 位，所以可以添加下面的檢查。
清單 12. 使用正則表達式和長度檢查來限制 GET 變數復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
if (strlen($pid)){
if (!ereg(」^[0-9]+$」,$pid) && strlen($pid) > 5){//do something appropriate, like maybe logging them out or sending them back to home page}
} else {
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//even more protected from evil user input$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
現在，任何人都無法在資料庫應用程序中塞進一個 5,000 位的數值 —— 至少在涉及 GET 字元串的地方不會有這種情況。想像一下黑客在試圖突破您的應用程序而遭到挫折時咬牙切齒的樣子吧！而且因為關閉了錯誤報告，黑客更難進行偵察。
緩沖區溢出攻擊
緩沖區溢出攻擊 試圖使 PHP 應用程序中（或者更精確地說，在 Apache 或底層操作系統中）的內存分配緩沖區發生溢出。請記住，您可能是使用 PHP 這樣的高級語言來編寫 Web 應用程序，但是最終還是要調用 C（在 Apache 的情況下）。與大多數低級語言一樣，C 對於內存分配有嚴格的規則。
緩沖區溢出攻擊向緩沖區發送大量數據，使部分數據溢出到相鄰的內存緩沖區，從而破壞緩沖區或者重寫邏輯。這樣就能夠造成拒絕服務、破壞數據或者在遠程伺服器上執行惡意代碼。
防止緩沖區溢出攻擊的惟一方法是檢查所有用戶輸入的長度。例如，如果有一個表單元素要求輸入用戶的名字，那麼在這個域上添加值為 40 的 maxlength 屬性，並在後端使用 substr() 進行檢查。清單 13 給出表單和 PHP 代碼的簡短示例。

② PHP安裝以及教程

tomcat ?
據說tomcat配PHP效果不是很好..還是換apache吧....
apache嗎..反正幾乎是一路next就可以裝好了..不過你如果裝了IIS..就要注意埠問題..可能會有沖突..mysql也是.一路next,php嗎..我是這么樣的..
1.下載下來的php包解壓..文件夾最好直接命名成php.
2.將php.ini-recommended改名為php.ini(這個是php的配置文件).放到c:\windows下(不放這里好像會有問題)
3.php.ini設置:extension_dir = "c:\php\ext"設置成你的ext文件夾的目錄,去掉extension=php_mysql.dll前面的分號(載入mysql擴展).需要什麼擴展可以根據需要修改.
4.apache的設置:apache安裝目錄下的conf文件夾下.找到httpd.conf,DocumentRoot "d:/wwwroot"
這里是你的網站的目錄,
在最後添加
LoadMole php5_mole "c:/php/php5apache2_2.dll"(載入php模塊)
AddType application/x-httpd-php .php (可解析的php擴展名)
AddType application/x-httpd-php-source .phps (這個不記得了.反正肯定要的)

如果發現許可權不夠.找到這里
<Directory />
Options FollowSymLinks
AllowOverride None
Order deny,allow
allow from all
options indexes
</Directory>
原來是deny from all改成allow from all.
最好打開apache的目錄顯示.
Options Indexes FollowSymLinks去掉前面的#,如果還不可以.就在上面的allow from all下面加上options indexes就OK了.
這是win下面的apache+php的配置..
mysql安裝比較簡單..我就不說了...
PHP的電子教程網上非常多..在這里也不可能給你貼出來吧..
還有關於框架..框架網上的教程也很多..網路一下吧..
著名的框架有zend Framework,cakephp,國產的fleaphp,thinkphp等等...

③ PHP入門基礎教程

PHP入門基礎教程大全

PHP於1994年由Rasmus Lerdorf創建，剛剛開始是Rasmus Lerdorf為了要維護個人網頁而製作的一個簡單的用Perl語言編寫的程序。這些工具程序用來顯示 Rasmus Lerdorf 的個人履歷，以及統計網頁流量。後來又用C語言重新編寫，包括可以訪問資料庫。他將這些程序和一些表單直譯器整合起來，稱為 PHP/FI。PHP/FI 可以和資料庫連接，產生簡單的動態網頁程序。為幫助大家入門學習php，我為大家分享PHP入門知識教程如下：

1、嵌入方法：

類似ASP的<%，PHP可以是<?php或者是<?，結束符號是?>，當然您也可以自己指定。

2、引用文件：

引用文件的方法有兩種：require 及 include。

require 的使用方法如 require("MyRequireFile.php"); 。這個函數通常放在 PHP 程序的最前面，PHP 程序在執行前，就會先讀入 require 所指定引入的文件，使它變成 PHP 程序網頁的一部份。常用的函數，亦可以這個方法將它引入網頁中。

include 使用方法如 include("MyIncludeFile.php"); 。這個函數一般是放在流程式控制制的處理部分中。PHP 程序網頁在讀到 include 的文件時，才將它讀進來。這種方式，可以把程序執行時的流程簡單化。

3、注釋方法：

<?php

echo "這是第一種例子。 " ; // 本例是 C++ 語法的注釋 （PHP的注釋跟C差不多！）

/* 本例採用多行的

注釋方式 */

echo "這是第二種例子。 " ;

echo "這是第三種例子。 " ; # 本例使用 UNIX Shell 語法注釋

?>

4、變數類型：

$mystring = "我是字元串" ;

$NewLine = "換行了 " ;

$int1 = 38 ;

$float1 = 1.732 ;

$float2 = 1.4E+2 ;

$MyArray1 = array( "子" , "丑" , "寅" , "卯" );

這里引出兩個問題，首先PHP變數以$開頭，第二PHP語句以;結尾，可能ASP程序員會不適應。這兩個遺漏也是程序上大多錯誤所在。

5、運算符號：

數**非法字眼已被屏蔽**算：

符號 意義

+ 加法運算

- 減法運算

* 乘法運算

/ 除法運算

% 取余數

++ 累加

-- 遞減

字元串運算：

運算符號只有一個，就是英文的句號。它可以將字元串連接起來，變成合並的新字元串。類似ASP中的&

<?

$a = "PHP 4" ;

$b = "功能強大" ;

echo $a.$b;

?>

這里也引出兩個問題，首先PHP中輸出語句是echo，第二類似ASP中的<%=變數%>，PHP中也可以<?=變數?>。

邏輯運算：

符號 意義

< 小於

> 大於

<= 小於或等於

>= 大於或等於

== 等於

!= 不等於

&& 而且 (And)

and 而且 (And)

或者 (Or)

or 或者 (Or)

xor 異或 (Xor)

! 不 (Not)

學習目的：掌握php的流程式控制制

1、if..else 循環有三種結構

第一種是只有用到 if 條件，當作單純的判斷。解釋成 "若發生了某事則怎樣處理"。語法如下：

if (expr) { statement }

其中的 expr 為判斷的條件，通常都是用邏輯運算符號當判斷的條件。而 statement 為符合條件的執行部分程序，若程序只有一行，可以省略大括弧 {}。

範例：本例省略大括弧。

<?php

if ($state==1)echo "哈哈" ;

?>

這里特別注意的是，判斷是否相等是==而不是=，ASP程序員可能常犯這個錯誤，= 是賦值。

範例：本例的執行部分有三行，不可省略大括弧。

<?php

if ($state==1) {

echo "哈哈 ;

echo "<br>" ;

}

?>

第兩種是除了 if 之外，加上了 else 的條件，可解釋成 "若發生了某事則怎樣處理，否則該如何解決"。語法如下

if (expr) { statement1 } else { statement2 } 範例：上面的例子來修改成更完整的處理。其中的 else 由於只有一行執行的指令，因此不用加上大括弧。

<?php

if ($state==1) {

echo "哈哈" ;

echo "<br>";

}

else{

echo "呵呵";

echo "<br>";

}

?>

第三種就是遞歸的 if..else 循環，通常用在多種決策判斷時。它將數個 if..else 拿來合並運用處理。

直接看下面的例子

<?php

if ( $a > $b ) {

echo "a 比 b 大" ;

} elseif ( $a == $b ) {

echo "a 等於 b" ;

} else {

echo "a 比 b 小" ;

}

?>

上例只用二層的 if..else 循環，用來比較 a 和 b 兩個變數。實際要使用這種遞歸 if..else 循環時，請小心使用，因為太多層的循環容易使設計的邏輯出問題，或者少打了大括弧等，都會造成程序出現莫名其妙的問題。

2、 for 循環就單純只有一種，沒有變化，它的語法如下

for (expr1; expr2; expr3) { statement }

其中的 expr1 為條件的`初始值。expr2 為判斷的條件，通常都是用邏輯運算符號 (logical operators) 當判斷的條件。expr3 為執行 statement 後要執行的部份，用來改變條件，供下次的循環判斷，如加一..等等。而 statement 為符合條件的執行部分程序，若程序只有一行，可以省略大括弧 {}。

下例是用 for 循環寫的的例子。

<?php

for ( $i = 1 ; $i <= 10 ; $i ++) {

echo "這是第".$i."次循環<br>" ;

}

?>

3、 switch 循環，通常處理復合式的條件判斷，每個子條件，都是 case 指令部分。在實作上若使用許多類似的 if 指令，可以將它綜合成 switch 循環。

語法如下

switch (expr) { case expr1: statement1; break; case expr2: statement2; break; default: statementN; break; }

其中的 expr 條件，通常為變數名稱。而 case 後的 exprN，通常表示變數值。冒號後則為符合該條件要執行的部分。注意要用 break 跳離循環。

<?php

switch ( date ( "D" )) {

case "Mon" :

echo "今天星期一" ;

break;

case "Tue" :

echo "今天星期二" ;

break;

case "Wed" :

echo "今天星期三" ;

break;

case "Thu" :

echo "今天星期四" ;

break;

case "Fri" :

echo "今天星期五" ;

break;

default:

echo "今天放假" ;

break;

}

?>

這里需要注意的是break;別遺漏了，default，省略是可以的。

很明顯的，上述的例子用 if 循環就很麻煩了。當然在設計時，要將出現機率最大的條件放在最前面，最少出現的條件放在最後面，可以增加程序的執行效率。上例由於每天出現的機率相同，所以不用注意條件的順序。

學會構建資料庫

在PHP中，MY SQL的命令行編輯可能會令初學者感到很麻煩，不要緊，你下載一個PHPMYADMIN安裝一下，以後建立編輯資料庫可以靠它了。

下面說一下它的使用。

進入了phpmyadmin後，我們首先需要建立一個資料庫，

Language (*) 這里選擇中文簡體，然後在左邊的 創建一個新的資料庫 這里填寫資料庫名字，點擊創建即可。

然後在左邊下拉菜單中選擇那個已經創建的資料庫。在下面的

在資料庫 shop 中創建一個新表 :

名字 :

欄位數 :

中填寫表名字和大致你認為的欄位數（不夠或者多了都不要緊，以後可以再添加或者預設），按執行。

然後就可以開始建立表了。

第一欄是欄位的名字；第二欄選擇欄位類型：

我們常用的是以下幾個：

1）VARCHAR，文本類型

2）INT，整數類型

3）FLOAT，浮點數類型

4）DATE，日期型

5）大家或許會問，自動添加的ID在哪裡？這個只要選擇INT類型，在後面的額外中選擇 auto_increment 就可以了。

建立了表以後，可以在左邊看到你建立的表，點擊以後，你可以：

1）按右邊的結構：查看修改表結構

2）按右邊的瀏覽：查看錶中的數據

3）按右邊的SQL：運行SQL語句

4）按右邊的插入：插入一行記錄

5）按右邊的清空：刪除表中所有記錄

6）按右邊的刪除：刪除表

還有一個很重要的功能就是導入和導出，當我們本機做好了程序和資料庫的時候，需要在伺服器上也有一個本地鏡像，如果是ASP的ACCESS簡單了，直接上傳MDB文件即可，如果是SQL SERVER也可以連接遠端伺服器進行導入。那麼MY SQL中你可以導出所有的SQL語句，到了遠端伺服器的PHPMYADMIN上，創建資料庫後按SQL，粘帖你剛才復制下來的所有本級生成的SQL語句即可。

學會連接資料庫

PHP簡直就是一個函數庫，豐富的函數使PHP的某些地方相當簡單。建議大家down一本PHP的函數手冊，總用的到。

我這里就簡單說一下連接MYSQL資料庫。

1、mysql_connect

打開 MySQL 伺服器連接。

語法: int mysql_connect(string [hostname] [:port], string [username], string [password]); 返回值: 整數

本函數建立與 MySQL 伺服器的連接。其中所有的參數都可省略。當使用本函數卻不加任何參數時，參數 hostname 的默認值為 localhost、參數 username 的默認值為 PHP 執行行程的擁有者、參數 password 則為空字元串 (即沒有密碼)。而參數 hostname 後面可以加冒號與埠號，代表使用哪個埠與 MySQL 連接。當然在使用資料庫時，早點使用 mysql_close() 將連接關掉可以節省資源。

2、 mysql_select_db

選擇一個資料庫。

語法: int mysql_select_db(string database_name, int [link_identifier]); 返回值: 整數

本函數選擇 MySQL 伺服器中的資料庫以供之後的資料查詢作業 (query) 處理。成功返回 true，失敗則返回 false。

最簡單的例子就是：

$conn=mysql_connect ("127.0.0.1", "", "");

mysql_select_db("shop");

連接機MY SQL資料庫，打開SHOP資料庫。在實際應用中應當加強點錯誤判斷。

學會讀取數據

先看兩個函數：

1、mysql_query

送出一個 query 字元串。 語法: int mysql_query(string query, int [link_identifier]); 返回值: 整數

本函數送出 query 字元串供 MySQL 做相關的處理或者執行。若沒有指定 link_identifier 參數，則程序會自動尋找最近打開的 ID。當 query 查詢字元串是 UPDATE、INSERT 及 DELETE 時，返回的可能是 true 或者 false；查詢的字元串是 SELECT 則返回新的 ID 值，當返回 false 時，並不是執行成功但無返回值，而是查詢的字元串有錯誤。

2、mysql_fetch_object 返回類資料。 語法: object mysql_fetch_object(int result, int [result_typ]); 返回值: 類

本函數用來將查詢結果 result 拆到類變數中。若 result 沒有資料，則返回 false 值。

看一個簡單的例子：

<?

$exec="select * from user";

$result=mysql_query($exec);

while($rs=mysql_fetch_object($result))

{

echo "username:".$rs->username."<br>";

}

?>

當然，表user中有一個username的欄位，這就類似asp中的

<%

exec="select * from user"

set rs=server.createobject("adodb.recordset")

rs.open exec,conn,1,1

do while not rs.eof

response.write "username:"&rs("username")&"<br>"

rs.movenext

loop

%>

當然先要連接資料庫，一般我們 require_once('conn.php');而conn.php裡面就是上一次說的連接資料庫的代碼。

小小的兩條命令可以完成讀取數據的工作了

學會添加刪除修改數據

mysql_query($exec);

單這個語句就可以執行所有的操作了，不同的就是$exec這個sql語句

添加：$exec="insert into tablename (item1,item2) values ('".$_POST['item1']."',".$_POST['item1'].")";

刪除：$exec="delete from tablename where...";

修改：$exec="update tablename set item1='".$_POST['item1']."' where ...";

說到這里就要說一下表單和php變數傳遞，如果表單中的一個 <input name="item1" type="text" id="item1">

表單以POST提交的，那麼處理表單文件就可以用$_POST['item1']得到變數值，同樣以GET提交的就是$_GET['item1']

是不是很簡單？但是通常$exec會有問題，因為可能您的SQL語句會很長，您會遺漏.連接符，或者'來包圍字元型欄位。

我們可以注釋mysql_query($exec);語句用echo $exec;代替來輸出$exec以檢查正確性。如果您還不能察覺$exec有什麼錯誤的話，可以復制這個sql語句到phpmyadmin中執行，看看它的出錯信息。還有需要注意的是，我們不要使用一些敏感的字元串作為欄位名字，否則很可能會出現問題，比如說date什麼的。變數的命名，欄位的命名遵循一點規律有的時候對自己是一種好處，初學者並不可忽視其重要性。

學會SESSION的使用

SESSION的作用很多，最多用的就是站點內頁面間變數傳遞。

在頁面開始我們要session_start();開啟SESSION；

然後就可以使用SESSION變數了，比如說要賦值就是：$_SESSION['item']="item1";要得到值就是$item1=$_SESSION['item'];，很簡單吧。這里我們可能會使用到一些函數，比如說判斷是不是某SESSION變數為空，可以這么寫：empty($_SESSION['inum'])返回true or false。

下面綜合一下前面所說的我們來看一個登陸程序，判斷用戶名密碼是否正確。

登陸表單是這樣：login.php

<table width="100%" height="100%" border="0" align="center" cellpadding="0" cellspacing="0">

<tr>

<form action="checklogin.php" method="post"><td align="center" valign="middle"><table width="400" border="0" cellpadding="5" cellspacing="1" class="tablebg">

<tr class="tdbg">

<td colspan="2"><p align="center">Administrators Login</p></td>

</tr>

<tr class="tdbg">

<td><p align="center">Username</p></td>

<td><p align="center">

<input name="username" type="text" id="username">

</p></td>

</tr>

<tr class="tdbg">

<td><p align="center">Password</p></td>

<td><p align="center">

<input name="password" type="password" id="password">

</p></td>

</tr>

<tr class="tdbg">

<td colspan="2"><p align="center">

<input type="submit" name="Submit" value="Submit">

<input type="reset" name="Submit2" value="Clear">

</p></td>

</tr>

</table></td></form>

</tr>

</table>

處理文件是這樣

<?php

require_once('conn.php');

session_start();

$username=$_POST['username'];

$password=$_POST['password'];

$exec="select * from admin where username='".$username."'";

if($result=mysql_query($exec))

{

if($rs=mysql_fetch_object($result))

{

if($rs->password==$password)

{

$_SESSION['adminname']=$username;

header("location:index.php");

}

else

{

echo "<script>alert('Password Check Error!');location.href='login.php';</script>";

}

}

else

{

echo "<script>alert('Username Check Error!');location.href='login.php';</script>";

}

}

else

{

echo "<script>alert('Database Connection Error!');location.href='login.php';</script>";

}

?>

conn.php是這樣：

<?php

$conn=mysql_connect ("127.0.0.1", "", "");

mysql_select_db("shop");

?>

由於 $_SESSION['adminname']=$username;我們可以這樣寫驗證是否登陸語句的文件：checkadmin.php

<?php

session_start();

if($_SESSION['adminname']=='')

{

echo "<script>alert('Please Login First');location.href='login.php';</script>";

}

?>

做一個分頁顯示

關鍵就是用到了SQL語句中的limit來限定顯示的記錄從幾到幾。我們需要一個記錄當前頁的變數$page，還需要總共的記錄數$num

對於$page如果沒有我們就讓它=0，如果有<0就讓它也=0，如果超過了總的頁數就讓他=總的頁數。

$execc="select count(*) from tablename ";

$resultc=mysql_query($execc);

$rsc=mysql_fetch_array($resultc);

$num=$rsc[0];

這樣可以得到記錄總數

ceil($num/10))如果一頁10記錄的話，這個就是總的頁數

所以可以這么寫

if(empty($_GET['page']))

{

$page=0;

}

else

{

$page=$_GET['page'];

if($page<0)$page=0;

if($page>=ceil($num/10))$page=ceil($num/10)-1;//因為page是從0開始的，所以要-1

}

這樣$exec可以這么寫 $exec="select * from tablename limit ".($page*10).",10";

//一頁是10記錄的

最後我們需要做的就是幾個連接：

<a href="xxx.php?page=0">FirstPage</a>

<a href="xxx.php?page=<?=($page-1)?>">PrevPage</a>

<a href="xxx.php?page=<?=($page+1)?>">NextPage</a>

<a href="xxx.php?page=<?=ceil($num/10)-1?>">LastPage</a>

注意事項

1、注意不要漏了分號

2、注意不要漏了變數前的$

3、使用SESSION的時候注意不要遺漏session_start();

如果發生錯誤的時候，可以採用以下方法：

1、如果是SQL語句出錯，就注釋瞭然後輸出SQL語句，注意也要注釋調後續的執行SQL語句

2、如果是變數為空，大多是沒有傳遞到位，輸出變數檢查一下，檢查一下表單的id和name

3、如果是資料庫連接出錯，檢查是否正確打開MY SQL和是否遺漏了連接語句

4、注意縮進，排除括弧不區配的錯誤

在做大網站的時候，我的思路是先構建資料庫，確定每一個欄位的作用，和表之間的關系。然後設計後台界面，從添加數據開始做起，因為添加是否成功可以直接到資料庫裡面驗證，做好了添加再做顯示的頁面，最後才是兩者的結合。一般來說後台就包括添加刪除修改和顯示，後台沒有問題了，前台也沒有什麼大問題。前台還需要注意安全性和容錯還有就是輸出格式。

學會用PHP上傳文件和發郵件

上傳文件表單必須加上 enctype="multipart/form-data"

和 <input type="file" name="file">

下面看一下代碼：

$f=&$HTTP_POST_FILES['file'];

$dest_dir='uploads';//設定上傳目錄

$dest=$dest_dir.'/'.date("ymd")."_".$f['name'];//我這里設置文件名為日期加上文件名避免重復

$r=move_uploaded_file($f['tmp_name'],$dest);

chmod($dest, 0755);//設定上傳的文件的屬性

上傳的文件名為date("ymd")."_".$f['name'] ，可以在以後插入到資料庫的時候用到，PHP實際上是把你上傳的文件從臨時目錄移動到指定目錄。move_uploaded_file($f['tmp_name'],$dest);這是關鍵

至於發郵件就更加簡單，可以使用mail()函數

mail("收件人地址","主題","正文","From:發件人 Reply-to:發件人的地址");

不過mail()需要伺服器的支持，在WINDOWS下還需要配置SMTP伺服器，一般來說外面的LINUX空間都行。

好像上傳文件和發郵件比ASP簡單很多，只要調用函數就可以了。ASP還需要用到伺服器的不同組件比如FSO、JMAIL什麼的。