A. php做优化包括哪些内容
1:单引号代替双引号,双引号会去找变量。
2:方法定义为static,性能提升4倍。
3:$arr['id']的性能是$arr[id]的7倍。
4:echo性能快,尽量使用echo $a,$b,$c而非echo $a.$b.$c。
5:循环之前确定循环次数,尽量用foreach。
6:注销不使用的变量,节省内存。
7:尽量不使用魔法函数:__get、__set等。
8:require_once()会检查是否载入,消耗内存。
9:include文件时使用绝对路径,省去查找的时间。
10:脚本开始执行时间$_SERVER[‘REQUEST_TIME’]要好于time()。
11:正则效率低,用函数代替。
12:str_replace函数比preg_replace函数快,但strtr函数的效率是str_replace函数的四倍。
13:接收客串的效率比接收数组的效率高。
14:switch case好于多个if else。
15:用@屏蔽错误消息的方法很低效。
16:打开apache的mod_deflate模块,可以提高网页的浏览速度。
17:数据库连接当使用完毕时应关掉,不要用长连接。
18:错误消息代价昂贵。
19:在方法中递增局部变量,速度是最快的。几乎与在函数中调用局部变量的速度相当。
20:递增一个全局变量要比递增一个局部变量慢2倍。
21:递增一个对象属性(如:$this->prop++)要比递增一个局部变量慢3倍。
22:递增一个未预定义的局部变量要比递增一个预定义的局部变量慢9至10倍。
23:仅定义一个局部变量而没在函数中调用它,同样会减慢速度(其程度相当于递增一个局部变量)。PHP大概会检查看是否存在全局变量。
24:方法调用看来与类中定义的方法的数量无关,因为我(在测试方法之前和之后都)添加了10个方法,但性能上没有变化。
25:派生类中的方法运行起来要快于在基类中定义的同样的方法。
26:调用带有一个参数的空函数,其花费的时间相当于执行7至8次的局部变量递增操作。类似的方法调用所花费的时间接近于15次的局部变量递增操作。
27:Apache解析一个PHP脚本的时间要比解析一个静态HTML页面慢2至10倍。尽量多用静态HTML页面,少用脚本。
28:尽量做缓存,可使用memcached。memcached是一款高性能的内存对象缓存系统,可用来加速动态Web应用程序,减轻数据库负载。对运算码 (OP code)的缓存很有用,使得脚本不必为每个请求做重新编译。
29:当操作字符串并需要检验其长度是否满足某种要求时,你想当然地会使用strlen()函数。此函数执行起来相当快,因为它不做任何计算,只返回在zval 结构(C的内置数据结构,用于存储PHP变量)中存储的已知字符串长度。但是,由于strlen()是函数,多多少少会有些慢,因为函数调用会经过诸多步骤,如字母小写化(译注:指函数名小写化,PHP不区分函数名大小写)、哈希查找,会跟随被调用的函数一起执行。在某些情况下,你可以使用isset() 技巧加速执行你的代码。
30:当执行变量$i的递增或递减时,$i++会比++$i慢一些。这种差异是PHP特有的,并不适用于其他语言,所以请不要修改你的C或Java代码并指望它们能立即变快,没用的。++$i更快是因为它只需要3条指令(opcodes),$i++则需要4条指令。后置递增实际上会产生一个临时变量,这个临时变量随后被递增。而前置递增直接在原值上递增。这是最优化处理的一种,正如Zend的PHP优化器所作的那样。牢记这个优化处理不失为一个好主意,因为并不是所有的指令优化器都会做同样的优化处理,并且存在大量没有装配指令优化器的互联网服务提供商(ISPs)和服务器。
31:并不是事必面向对象(OOP),面向对象往往开销很大,每个方法和对象调用都会消耗很多内存。
32:尽量采用大量的PHP内置函数。
33:如果在代码中存在大量耗时的函数,你可以考虑用C扩展的方式实现它们。
34:mod_zip可作为Apache模块,用来即时压缩你的数据,并可让数据传输量降低80%。
35:在可以用file_get_contents替代file、fopen、feof、fgets等系列方法的情况下,尽量用 file_get_contents,因为他的效率高得多!但是要注意file_get_contents在打开一个URL文件时候的PHP版本问题。
36:尽量的少进行文件操作,虽然PHP的文件操作效率也不低的。
37:优化Select SQL语句,在可能的情况下尽量少的进行Insert、Update操作(在update上,我被恶批过)。
38:循环内部不要声明变量,尤其是大变量:对象。
39:多维数组尽量不要循环嵌套赋值。
40:在可以用PHP内部字符串操作函数的情况下,不要用正则表达式。
41:foreach效率更高,尽量用foreach代替while和for循环。
42:用i+=1代替i=i+1。符合c/c++的习惯,效率还高。
43:对global变量,应该用完就unset()掉。
B. 渗透测试——命令执行漏洞(RCE)详解
命令执行漏洞(RCE)是信息安全领域中一种重要的攻击手段,它允许攻击者通过执行不受控制的命令来影响系统或应用的行为。本文旨在深入解析命令执行漏洞的形成原因、利用条件及防范措施。
1. 形成原因:应用中经常需要调用能够执行系统命令的函数,如 PHP 中的 system、exec、shell_exec 等。当开发者未能严格过滤用户控制的参数时,恶意命令可通过拼接正常命令注入,进而导致命令执行攻击。
2. 漏洞分类:
要利用命令执行漏洞,需满足以下条件:
绕过能力的评判取决于攻击者的技术水平,绕过方式将在后续章节中介绍。
1. 利用系统函数实现命令执行的函数:如 eval、assert、preg_replace、call_user_func 等,如果对用户输入未严格过滤,可能引发远程命令执行。
2. 直接执行系统命令的代码函数:system、exec、shell_exec、passthru 等,需注意参数安全。
命令执行漏洞的关键在于命令拼接,恶意命令通常拼接在正常命令后,掌握拼接符号是基础。以下是常用符号及示例:
1. 通配符:如使用通配符替代命令中的关键字符,可绕过部分安全限制。
2. 连接符:如使用引号、反斜杠等来规避安全检查。
3. 未初始化变量:利用未初始化的变量值为 null,插入命令末尾,绕过黑名单检测。
命令执行漏洞最常出现在 CMS 框架、插件及应用的其他关键位置,这些地方往往需要执行系统命令。
1. 升级框架、插件等至最新版本,打上安全补丁。
2. 关注行业动态,及时修复漏洞。
3. 减少框架/CMS 的使用。
4. 过滤危险符号,减少风险。
5. 安全配置 PHP 相关参数,禁用执行命令的函数。
6. 升级中间件。
7. 严格控制传入变量,避免使用危险的魔法函数。
通过上述方法,开发者可有效防范命令执行漏洞,提升系统安全性。
C. php SESSION用法 $_SESSION['']初始值
注意,在使用session之前一定要调用
<?php
session_start();
开始会话,否则会出错。在你的代码里我看不到。
$_SESSION数组的使用类似于普通数组。但它是有”魔法“的。当页面结束后,$_SESSION的内容会被PHP解析器自动保存下来,同时在用户的浏览器留下一个cookie。下次用户访问时,使用该cookie继续会话。
所以,检查一个session是否存在和普通数组一样:
<?php
//正确,检查flag下标是否设置
if(isset($_SESSION['flag']))...
//错误,会导致警告,下标不存在
if($_SESSION['flag'])...
//存储一个session值
$_SESSION['flag']=1;
//删除一个session值
unset($_SESSION['flag']);
一个没有设置的session是没有初始值的。就像你初始化一个空数组一样。
D. PHP中$_get与$get 区别
你是想问$_GET和$_get及$get吗??
$_GET是php内置的一个全局变量,全局可用,也就是说在函数内部和外部都可以用,不受作用域限制,实际是它里面存的是个数组,一般用来获取url中query的相应的值。
$_get 和 $get 都是一般的普通变量,没有什么明显的区别,只能说他们是不同的变量。