phpsql参数化

‘壹’ linux下安装php编译参数

在Linux下安装PHP，源代码方式安装，总需要配置很多参数。这里列出常用配置参数，并详细用中文解释说明了。给大家一些参考./configure
--prefix=/usr/local/php php 安装目录
--with-apxs2=/usr/local/apache/bin/apxs
--with-config-file-path=/usr/local/php/etc 指定php.ini位置
--with-MySQL=/usr/local/mysql mysql安装目录，对mysql的支持
--with-mysqli=/usr/local/mysql/bin/mysql_config mysqli文件目录,优化支持
--enable-safe-mode 打开安全模式
--enable-ftp 打开ftp的支持
--enable-zip 打开对zip的支持
--with-bz2 打开对bz2文件的支持
--with-jpeg-dir 打开对jpeg图片的支持
--with-png-dir 打开对png图片的支持
--with-freetype-dir 打开对freetype字体库的支持
--without-iconv 关闭iconv函数，种字符集间的转换
--with-libXML-dir 打开libxml2库的支持
--with-xmlrpc 打开xml-rpc的c语言
--with-zlib-dir 打开zlib库的支持
--with-gd 打开gd库的支持
--enable-gd-native-ttf 支持TrueType字符串函数库
--with-curl 打开curl浏览工具的支持
--with-curlwrappers 运用curl工具打开url流
--with-ttf 打开freetype1.*的支持，可以不加了
--with-xsl 打开XSLT 文件支持，扩展了libxml2库 ，需要libxslt软件
--with-gettext 打开gnu 的gettext 支持，编码库用到
--with-pear 打开pear命令的支持，php扩展用的
--enable-calendar 打开日历扩展功能
--enable-mbstring 多字节，字符串的支持
--enable-bcmath 打开图片大小调整,用到zabbix监控的时候用到了这个模块
--enable-sockets 打开 sockets 支持
--enable-exif 图片的元数据支持
--enable-magic-quotes 魔术引用的支持
--disable-rpath 关闭额外的运行库文件
--disable-debug 关闭调试模式
--with-mime-magic=/usr/share/file/magic.mime 魔术头文件位置
CGI方式安装才用的参数
--enable-fpm 打上php-fpm 补丁后才有这个参数，cgi方式安装的启动程序
--enable-fastcgi 支持fastcgi方式启动php
--enable-force-cgi-redirect 同上 ,帮助里没有解释
--with-ncurses 支持ncurses 屏幕绘制以及基于文本终端的图形互动功能的动态库
--enable-pcntl freeTDS需要用到的，可能是链接mssql 才用到
mhash和mcrypt算法的扩展
--with-mcrypt 算法
--with-mhash 算法
--with-gmp
--enable-inline-optimization
--with-openssl openssl的支持，加密传输时用到的
--enable-dbase
--with-pcre-dir=/usr/local/bin/pcre-config perl的正则库案安装位置
--disable-dmalloc
--with-gdbm dba的gdbm支持
--enable-sigchild
--enable-sysvsem
--enable-sysvshm
--enable-zend-multibyte 支持zend的多字节
--enable-mbregex
--enable-wddx
--enable-shmop
--enable-soap

‘贰’ php有哪些优化技巧

优化的点有很多，看具体使用环境：

1、 用单引号代替双引号来包含字符串，这样做会更快一些。因为 PHP 会在双引号包围的 字符串中搜寻变量，单引号则不会，注意：只有 echo 能这么做，它是一种可以把多个字符 串当作参数的“函数”(译注：PHP 手册中说 echo 是语言结构，不是真正的函数，故把函数 加上了双引号)。

2、如果能将类的方法定义成 static，就尽量定义成 static，它的速度会提升将近 4 倍。

3、$row['id'] 的速度是$row[id]的 7 倍。

4、echo 比 print 快，并且使用 echo 的多重参数(译注：指用逗号而不是句点)代替字符串 连接，比如 echo $str1,$str2。

5、在执行 for 循环之前确定最大循环数，不要每循环一次都计算最大值，最好运用 foreach 代替。

6、注销那些不用的变量尤其是大数组，以便释放内存。

7、尽量避免使用__get，__set，__autoload。

8、require_once()代价昂贵。

9、include 文件时尽量使用绝对路径，因为它避免了 PHP 去 include_path 里查找文件的速 度，解析操作系统路径所需的时间会更少。

10、如果你想知道脚本开始执行(译注：即服务器端收到客户端请求)的时刻，使用 $_SERVER['REQUEST_TIME'] 要好于 time()

11、函数代替正则表达式完成相同功能。

12、str_replace 函数比 preg_replace 函数快，但 strtr 函数的效率是 str_replace 函数的四倍。

13、如果一个字符串替换函数，可接受数组或字符作为参数，并且参数长度不太长，那么 可以考虑额外写一段替换代码， 使得每次传递参数是一个字符， 而不是只写一行代码接受数 组作为查询和替换的参数。

14、使用选择分支语句(译注：即 switch case)好于使用多个 if，else if 语句。

15、用@屏蔽错误消息的做法非常低效，极其低效。

16、打开 apache 的 mod_deflate 模块，可以提高网页的浏览速度。

17、数据库连接当使用完毕时应关掉，不要用长连接。

18、错误消息代价昂贵。

19、在方法中递增局部变量，速度是最快的。几乎与在函数中调用局部变量的速度相当。

20、递增一个全局变量要比递增一个局部变量慢 2 倍。

21、递增一个对象属性(如：$this->prop++)要比递增一个局部变量慢 3 倍。

22、递增一个未预定义的局部变量要比递增一个预定义的局部变量慢 9 至 10 倍。

23、仅定义一个局部变量而没在函数中调用它，同样会减慢速度(其程度相当于递增一个局 部变量)。PHP 大概会检查看是否存在全局变量。

24、方法调用看来与类中定义的方法的数量无关，因为我(在测试方法之前和之后都)添加了 10 个方法，但性能上没有变化。

25、派生类中的方法运行起来要快于在基类中定义的同样的方法。

26、调用带有一个参数的空函数，其花费的时间相当于执行 7 至 8 次的局部变量递增操作。 类似的方法调用所花费的时间接近于 15 次的局部变量递增操作。

27、Apache 解析一个 PHP 脚本的时间要比解析一个静态 HTML 页面慢 2 至 10 倍。尽量 多用静态 HTML 页面，少用脚本。

28、除非脚本可以缓存，否则每次调用时都会重新编译一次。引入一套 PHP 缓存机制通常 可以提升 25%至 100%的性能，以免除编译开销。

29、尽量做缓存，可使用 memcached。memcached 是一款高性能的内存对象缓存系统， 可用来加速动态 Web 应用程序，减轻数据库负载。对运算码 (OP code)的缓存很有用，使 得脚本不必为每个请求做重新编译。

30、 当操作字符串并需要检验其长度是否满足某种要求时， 你想当然地会使用 strlen()函数。 此函数执行起来相当快，因为它不做任何计算，只返回在 zval 结构(C 的内置数据结构，用 于存储 PHP 变量)中存储的已知字符串长度。但是，由于 strlen()是函数，多多少少会有些 慢，因为函数调用会经过诸多步骤，如字母小写化(译注：指函数名小写化，PHP 不区分函 数名大小写)、哈希查找，会跟随被调用的函数一起执行。在某些情况下，你可以使用 isset() 技巧加速执行你的代码。 (举例如下) if (strlen($foo) < 5) { echo “Foo is too short”$$ } (与下面的技巧做比较) if (!isset($foo{5})) { echo “Foo is too short”$$ } 调用 isset()恰巧比 strlen()快，因为与后者不同的是，isset()作为一种语言结构，意味着它 的执行不需要函数查找和字母小写化。 也就是说， 实际上在检验字符串长度的顶层代码中你 没有花太多开销。

31、当执行变量$i 的递增或递减时，$i++会比++$i 慢一些。这种差异是 PHP 特有的，并不 适用于其他语言， 所以请不要修改你的 C 或 Java 代码并指望它们能立即变快， 没用的。 ++$i 更快是因为它只需要 3 条指令(opcodes)，$i++则需要 4 条指令。后置递增实际上会产生一 个临时变量，这个临时变量随后被递增。而前置递增直接在原值上递增。这是最优化处理的 一种，正如 Zend 的 PHP 优化器所作的那样。牢记这个优化处理不失为一个好主意，因为 并不是所有的指令优化器都会做同样的优化处理， 并且存在大量没有装配指令优化器的互联 网服务提供商(ISPs)和服务器。

32、并不是事必面向对象(OOP)，面向对象往往开销很大，每个方法和对象调用都会消耗很 多内存。

33、并非要用类实现所有的数据结构，数组也很有用。

34、不要把方法细分得过多，仔细想想你真正打算重用的是哪些代码?

35、当你需要时，你总能把代码分解成方法。

36、尽量采用大量的 PHP 内置函数。

37、如果在代码中存在大量耗时的函数，你可以考虑用 C 扩展的方式实现它们。

38、 评估检验(profile)你的代码。 检验器会告诉你， 代码的哪些部分消耗了多少时间。 Xdebug 调试器包含了检验程序，评估检验总体上可以显示出代码的瓶颈。

39、mod_zip 可作为 Apache 模块，用来即时压缩你的数据，并可让数据传输量降低 80%。

40、在可以用 file_get_contents 替代 file、fopen、feof、fgets 等系列方法的情况下，尽量 用 file_get_contents，因为他的效率高得多!但是要注意 file_get_contents 在打开一个 URL 文件时候的 PHP 版本问题;

41、尽量的少进行文件操作，虽然 PHP 的文件操作效率也不低的;

42、优化 Select SQL 语句，在可能的情况下尽量少的进行 Insert、Update 操作(在 update 上，我被恶批过);

43、尽可能的使用 PHP 内部函数(但是我却为了找个 PHP 里面不存在的函数，浪费了本可 以写出一个自定义函数的时间，经验问题啊!);

44、 循环内部不要声明变量， 尤其是大变量： 对象(这好像不只是 PHP 里面要注意的问题吧?);

45、多维数组尽量不要循环嵌套赋值;

46、在可以用 PHP 内部字符串操作函数的情况下，不要用正则表达式;

47、foreach 效率更高，尽量用 foreach 代替 while 和 for 循环;

48、用单引号替代双引号引用字符串;

49、“用 i+=1 代替 i=i+1。符合 c/c++的习惯，效率还高”

50、对 global 变量，应该用完就 unset()掉;

‘叁’ php如何防止sql注入

防止SQL注入的关键在于避免直接将用户的输入插入到SQL查询字符串中，因为这样使得攻击者能够操纵查询，从而进行注入攻击。例如，如果用户输入的是 `'); DROP TABLE table;--`，那么最终的SQL语句将变成 `DROP TABLE table;`，这将导致表被删除。

要避免这种情况，需要采用准备语句和参数化查询。这种方法将SQL语句和参数分开发送和解析，攻击者无法利用注入来执行恶意SQL。以下是两种实现方式：

首先，可以使用MySQLi扩展。

如果你使用的是非MySQL数据库，例如PostgreSQL，可以通过使用`pg_prepare()`和`pg_execute()`方法实现类似功能。PDO（PHP Data Objects）则提供了更广泛的兼容性。

在设置数据库连接时，确保关闭准备模拟选项，以确保真正的SQL语句准备和参数分离。例如，如下代码展示了如何正确设置连接：

设置错误模式为推荐的，以便在遇到问题时提供有用的错误信息。

重点在于设置`PDO`属性为不模拟准备语句，而是真正准备语句。这样，PHP不会自行解析SQL，而是将SQL语句发送给MySQL服务器，防止了攻击者注入恶意SQL。

值得注意的是，某些老版本的PHP（<5.3.6）会忽略DSN中的字符集参数。

通过参数化查询，SQL语句与参数分离。这样，参数和编译过的语句结合，而不是与SQL字符串结合，避免了混淆参数和语句的攻击机制。例如，如果`$name`变量是 `'Sarah'; DELETE FROM employees`，实际执行的SQL语句将为 `'Sarah'; DELETE FROM employees'`，而不是删除整个表。这保证了数据安全。

另一个优势是，对于重复执行的相同查询，SQL语句只需编译一次，可以提高执行效率。

对于需要执行动态查询的场景，最好采用白名单限制输入。准备语句仅用于准备参数，查询结构不能改变。

‘肆’ php如何防止sql注入

PHP防止sql注入是一个比较低级的问题了，这个问题其实在我大一上学期做第一个个人博客的时候就已经关注过了，不过简单的说一下关于PHP防注入的方式吧。

对于现在的防注入技术其实已经成熟了，对于一个站点该关心的不是防注入了，而是大规模高并发如何处理的问题，或者关于各种其他漏洞，比如现在世界上仍然有百分之80使用redis的站点存在redis漏洞，通过redis漏洞可以直接拿到机器的访问权限，一般来说都是直接给你种一个挖矿机器人来。