phpsql參數化

『壹』 linux下安裝php編譯參數

在Linux下安裝PHP，源代碼方式安裝，總需要配置很多參數。這里列出常用配置參數，並詳細用中文解釋說明了。給大家一些參考./configure
--prefix=/usr/local/php php 安裝目錄
--with-apxs2=/usr/local/apache/bin/apxs
--with-config-file-path=/usr/local/php/etc 指定php.ini位置
--with-MySQL=/usr/local/mysql mysql安裝目錄，對mysql的支持
--with-mysqli=/usr/local/mysql/bin/mysql_config mysqli文件目錄,優化支持
--enable-safe-mode 打開安全模式
--enable-ftp 打開ftp的支持
--enable-zip 打開對zip的支持
--with-bz2 打開對bz2文件的支持
--with-jpeg-dir 打開對jpeg圖片的支持
--with-png-dir 打開對png圖片的支持
--with-freetype-dir 打開對freetype字體庫的支持
--without-iconv 關閉iconv函數，種字元集間的轉換
--with-libXML-dir 打開libxml2庫的支持
--with-xmlrpc 打開xml-rpc的c語言
--with-zlib-dir 打開zlib庫的支持
--with-gd 打開gd庫的支持
--enable-gd-native-ttf 支持TrueType字元串函數庫
--with-curl 打開curl瀏覽工具的支持
--with-curlwrappers 運用curl工具打開url流
--with-ttf 打開freetype1.*的支持，可以不加了
--with-xsl 打開XSLT 文件支持，擴展了libxml2庫 ，需要libxslt軟體
--with-gettext 打開gnu 的gettext 支持，編碼庫用到
--with-pear 打開pear命令的支持，php擴展用的
--enable-calendar 打開日歷擴展功能
--enable-mbstring 多位元組，字元串的支持
--enable-bcmath 打開圖片大小調整,用到zabbix監控的時候用到了這個模塊
--enable-sockets 打開 sockets 支持
--enable-exif 圖片的元數據支持
--enable-magic-quotes 魔術引用的支持
--disable-rpath 關閉額外的運行庫文件
--disable-debug 關閉調試模式
--with-mime-magic=/usr/share/file/magic.mime 魔術頭文件位置
CGI方式安裝才用的參數
--enable-fpm 打上php-fpm 補丁後才有這個參數，cgi方式安裝的啟動程序
--enable-fastcgi 支持fastcgi方式啟動php
--enable-force-cgi-redirect 同上 ,幫助里沒有解釋
--with-ncurses 支持ncurses 屏幕繪制以及基於文本終端的圖形互動功能的動態庫
--enable-pcntl freeTDS需要用到的，可能是鏈接mssql 才用到
mhash和mcrypt演算法的擴展
--with-mcrypt 演算法
--with-mhash 演算法
--with-gmp
--enable-inline-optimization
--with-openssl openssl的支持，加密傳輸時用到的
--enable-dbase
--with-pcre-dir=/usr/local/bin/pcre-config perl的正則庫案安裝位置
--disable-dmalloc
--with-gdbm dba的gdbm支持
--enable-sigchild
--enable-sysvsem
--enable-sysvshm
--enable-zend-multibyte 支持zend的多位元組
--enable-mbregex
--enable-wddx
--enable-shmop
--enable-soap

『貳』 php有哪些優化技巧

優化的點有很多，看具體使用環境：

1、 用單引號代替雙引號來包含字元串，這樣做會更快一些。因為 PHP 會在雙引號包圍的 字元串中搜尋變數，單引號則不會，注意：只有 echo 能這么做，它是一種可以把多個字元 串當作參數的「函數」(譯註：PHP 手冊中說 echo 是語言結構，不是真正的函數，故把函數 加上了雙引號)。

2、如果能將類的方法定義成 static，就盡量定義成 static，它的速度會提升將近 4 倍。

3、$row['id'] 的速度是$row[id]的 7 倍。

4、echo 比 print 快，並且使用 echo 的多重參數(譯註：指用逗號而不是句點)代替字元串 連接，比如 echo $str1,$str2。

5、在執行 for 循環之前確定最大循環數，不要每循環一次都計算最大值，最好運用 foreach 代替。

6、注銷那些不用的變數尤其是大數組，以便釋放內存。

7、盡量避免使用__get，__set，__autoload。

8、require_once()代價昂貴。

9、include 文件時盡量使用絕對路徑，因為它避免了 PHP 去 include_path 里查找文件的速 度，解析操作系統路徑所需的時間會更少。

10、如果你想知道腳本開始執行(譯註：即伺服器端收到客戶端請求)的時刻，使用 $_SERVER['REQUEST_TIME'] 要好於 time()

11、函數代替正則表達式完成相同功能。

12、str_replace 函數比 preg_replace 函數快，但 strtr 函數的效率是 str_replace 函數的四倍。

13、如果一個字元串替換函數，可接受數組或字元作為參數，並且參數長度不太長，那麼 可以考慮額外寫一段替換代碼， 使得每次傳遞參數是一個字元， 而不是只寫一行代碼接受數 組作為查詢和替換的參數。

14、使用選擇分支語句(譯註：即 switch case)好於使用多個 if，else if 語句。

15、用@屏蔽錯誤消息的做法非常低效，極其低效。

16、打開 apache 的 mod_deflate 模塊，可以提高網頁的瀏覽速度。

17、資料庫連接當使用完畢時應關掉，不要用長連接。

18、錯誤消息代價昂貴。

19、在方法中遞增局部變數，速度是最快的。幾乎與在函數中調用局部變數的速度相當。

20、遞增一個全局變數要比遞增一個局部變數慢 2 倍。

21、遞增一個對象屬性(如：$this->prop++)要比遞增一個局部變數慢 3 倍。

22、遞增一個未預定義的局部變數要比遞增一個預定義的局部變數慢 9 至 10 倍。

23、僅定義一個局部變數而沒在函數中調用它，同樣會減慢速度(其程度相當於遞增一個局 部變數)。PHP 大概會檢查看是否存在全局變數。

24、方法調用看來與類中定義的方法的數量無關，因為我(在測試方法之前和之後都)添加了 10 個方法，但性能上沒有變化。

25、派生類中的方法運行起來要快於在基類中定義的同樣的方法。

26、調用帶有一個參數的空函數，其花費的時間相當於執行 7 至 8 次的局部變數遞增操作。 類似的方法調用所花費的時間接近於 15 次的局部變數遞增操作。

27、Apache 解析一個 PHP 腳本的時間要比解析一個靜態 HTML 頁面慢 2 至 10 倍。盡量 多用靜態 HTML 頁面，少用腳本。

28、除非腳本可以緩存，否則每次調用時都會重新編譯一次。引入一套 PHP 緩存機制通常 可以提升 25%至 100%的性能，以免除編譯開銷。

29、盡量做緩存，可使用 memcached。memcached 是一款高性能的內存對象緩存系統， 可用來加速動態 Web 應用程序，減輕資料庫負載。對運算碼 (OP code)的緩存很有用，使 得腳本不必為每個請求做重新編譯。

30、 當操作字元串並需要檢驗其長度是否滿足某種要求時， 你想當然地會使用 strlen()函數。 此函數執行起來相當快，因為它不做任何計算，只返回在 zval 結構(C 的內置數據結構，用 於存儲 PHP 變數)中存儲的已知字元串長度。但是，由於 strlen()是函數，多多少少會有些 慢，因為函數調用會經過諸多步驟，如字母小寫化(譯註：指函數名小寫化，PHP 不區分函 數名大小寫)、哈希查找，會跟隨被調用的函數一起執行。在某些情況下，你可以使用 isset() 技巧加速執行你的代碼。 (舉例如下) if (strlen($foo) < 5) { echo 「Foo is too short」$$ } (與下面的技巧做比較) if (!isset($foo{5})) { echo 「Foo is too short」$$ } 調用 isset()恰巧比 strlen()快，因為與後者不同的是，isset()作為一種語言結構，意味著它 的執行不需要函數查找和字母小寫化。 也就是說， 實際上在檢驗字元串長度的頂層代碼中你 沒有花太多開銷。

31、當執行變數$i 的遞增或遞減時，$i++會比++$i 慢一些。這種差異是 PHP 特有的，並不 適用於其他語言， 所以請不要修改你的 C 或 Java 代碼並指望它們能立即變快， 沒用的。 ++$i 更快是因為它只需要 3 條指令(opcodes)，$i++則需要 4 條指令。後置遞增實際上會產生一 個臨時變數，這個臨時變數隨後被遞增。而前置遞增直接在原值上遞增。這是最優化處理的 一種，正如 Zend 的 PHP 優化器所作的那樣。牢記這個優化處理不失為一個好主意，因為 並不是所有的指令優化器都會做同樣的優化處理， 並且存在大量沒有裝配指令優化器的互聯 網服務提供商(ISPs)和伺服器。

32、並不是事必面向對象(OOP)，面向對象往往開銷很大，每個方法和對象調用都會消耗很 多內存。

33、並非要用類實現所有的數據結構，數組也很有用。

34、不要把方法細分得過多，仔細想想你真正打算重用的是哪些代碼?

35、當你需要時，你總能把代碼分解成方法。

36、盡量採用大量的 PHP 內置函數。

37、如果在代碼中存在大量耗時的函數，你可以考慮用 C 擴展的方式實現它們。

38、 評估檢驗(profile)你的代碼。 檢驗器會告訴你， 代碼的哪些部分消耗了多少時間。 Xdebug 調試器包含了檢驗程序，評估檢驗總體上可以顯示出代碼的瓶頸。

39、mod_zip 可作為 Apache 模塊，用來即時壓縮你的數據，並可讓數據傳輸量降低 80%。

40、在可以用 file_get_contents 替代 file、fopen、feof、fgets 等系列方法的情況下，盡量 用 file_get_contents，因為他的效率高得多!但是要注意 file_get_contents 在打開一個 URL 文件時候的 PHP 版本問題;

41、盡量的少進行文件操作，雖然 PHP 的文件操作效率也不低的;

42、優化 Select SQL 語句，在可能的情況下盡量少的進行 Insert、Update 操作(在 update 上，我被惡批過);

43、盡可能的使用 PHP 內部函數(但是我卻為了找個 PHP 裡面不存在的函數，浪費了本可 以寫出一個自定義函數的時間，經驗問題啊!);

44、 循環內部不要聲明變數， 尤其是大變數： 對象(這好像不只是 PHP 裡面要注意的問題吧?);

45、多維數組盡量不要循環嵌套賦值;

46、在可以用 PHP 內部字元串操作函數的情況下，不要用正則表達式;

47、foreach 效率更高，盡量用 foreach 代替 while 和 for 循環;

48、用單引號替代雙引號引用字元串;

49、「用 i+=1 代替 i=i+1。符合 c/c++的習慣，效率還高」

50、對 global 變數，應該用完就 unset()掉;

『叄』 php如何防止sql注入

防止SQL注入的關鍵在於避免直接將用戶的輸入插入到SQL查詢字元串中，因為這樣使得攻擊者能夠操縱查詢，從而進行注入攻擊。例如，如果用戶輸入的是 `'); DROP TABLE table;--`，那麼最終的SQL語句將變成 `DROP TABLE table;`，這將導致表被刪除。

要避免這種情況，需要採用准備語句和參數化查詢。這種方法將SQL語句和參數分開發送和解析，攻擊者無法利用注入來執行惡意SQL。以下是兩種實現方式：

首先，可以使用MySQLi擴展。

如果你使用的是非MySQL資料庫，例如PostgreSQL，可以通過使用`pg_prepare()`和`pg_execute()`方法實現類似功能。PDO（PHP Data Objects）則提供了更廣泛的兼容性。

在設置資料庫連接時，確保關閉准備模擬選項，以確保真正的SQL語句准備和參數分離。例如，如下代碼展示了如何正確設置連接：

設置錯誤模式為推薦的，以便在遇到問題時提供有用的錯誤信息。

重點在於設置`PDO`屬性為不模擬准備語句，而是真正准備語句。這樣，PHP不會自行解析SQL，而是將SQL語句發送給MySQL伺服器，防止了攻擊者注入惡意SQL。

值得注意的是，某些老版本的PHP（<5.3.6）會忽略DSN中的字元集參數。

通過參數化查詢，SQL語句與參數分離。這樣，參數和編譯過的語句結合，而不是與SQL字元串結合，避免了混淆參數和語句的攻擊機制。例如，如果`$name`變數是 `'Sarah'; DELETE FROM employees`，實際執行的SQL語句將為 `'Sarah'; DELETE FROM employees'`，而不是刪除整個表。這保證了數據安全。

另一個優勢是，對於重復執行的相同查詢，SQL語句只需編譯一次，可以提高執行效率。

對於需要執行動態查詢的場景，最好採用白名單限制輸入。准備語句僅用於准備參數，查詢結構不能改變。

『肆』 php如何防止sql注入

PHP防止sql注入是一個比較低級的問題了，這個問題其實在我大一上學期做第一個個人博客的時候就已經關注過了，不過簡單的說一下關於PHP防注入的方式吧。

對於現在的防注入技術其實已經成熟了，對於一個站點該關心的不是防注入了，而是大規模高並發如何處理的問題，或者關於各種其他漏洞，比如現在世界上仍然有百分之80使用redis的站點存在redis漏洞，通過redis漏洞可以直接拿到機器的訪問許可權，一般來說都是直接給你種一個挖礦機器人來。