php返回值怎么处理

1、php返回值怎么处理，我们常见的提交方式有哪些？

WEB安全之SQL注入

引言：

在开发网站的时候，出于安全考虑，需要过滤从页面传递过来的字符。通常，用户可以通过以下接口调用数据库的内容：URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露，重则服务器被拿下。

1、SQL注入步骤

a)寻找注入点，构造特殊的语句

传入SQL语句可控参数分为两类 1. 数字类型，参数不用被引号括起来，如 2. 其他类型，参数要被引号扩起来,如

b)用户构造SQL语句(如：'or 1=1#；admin'#（这个注入又称PHP的万能密码，是已知用户名的情况下，可绕过输入密码）以后再做解释)

c)将SQL语句发送给DBMS数据库

d)DBMS收到返回的结果，并将该请求解释成机器代码指令，执行必要得到操作

e)DBMS接受返回结果，处理后，返回给用户

因为用户构造了特殊的SQL语句，必定返回特殊的结果(只要你的SQL语句够灵活)

下面，我通过一个实例具体来演示下SQL注入 二、SQL注入实例详解(以上测试均假设服务器未开启magic_quote_gpc)

1) 前期准备工作 先来演示通过SQL注入漏洞，登入后台管理员界面 首先，创建一张试验用的数据表：

CREATE TABLE `users` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(64) NOT NULL, `password` varchar(64) NOT NULL, `email` varchar(64) NOT NULL,PRIMARY KEY (`id`),UNIQUE KEY `username` (`username`) ) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

添加一条记录用于测试：

INSERT INTO users (username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@test.com');

接下来，贴上登入界面的源代码

<html><head><title>Sql注入演示</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body ><form action="validate.php" method="post"><fieldset ><legend>Sql注入演示</legend><table><tr><td>用户名：</td><td><input type="text" name="username"></td></tr><tr><td>密 码：</td><td><input type="text" name="password"></td></tr><tr><td><input type="submit" value="提交"></td><td><input type="reset" value="重置"></td></tr></table></fieldset></form></body></html>

附上效果图：

当用户点击提交按钮的时候，将会把表单数据提交给validate.php页面，validate.php页面用来判断用户输入的用户名和密码有没有都符合要求（这一步至关重要，也往往是SQL漏洞所在）

! <!--前台和后台对接--><html><head><title>登录验证</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body><?php $conn=@mysql_connect("localhost",'root','') or die("数据库连接失败！");; mysql_select_db("injection",$conn) or die("您要选择的数据库不存在"); $name=$_POST['username']; $pwd=$_POST['password']; $sql="select * from users where username='$name' and password='$pwd'"; $query=mysql_query($sql); $arr=mysql_fetch_array($query);if(is_array($arr)){ header("Location:manager.php"); }else{ echo "您的用户名或密码输入有误，<a href=\"Login.php\">请重新登录！</a>"; } ?></body></html>

注意到了没有，我们直接将用户提交过来的数据(用户名和密码)直接拿去执行，并没有实现进行特殊字符过滤，待会你们将明白，这是致命的。 代码分析：如果，用户名和密码都匹配成功的话，将跳转到管理员操作界面(manager.php)，不成功，则给出友好提示信息。 登录成功的界面：

登录失败的提示：

到这里，前期工作已经做好了，接下来将展开我们的重头戏：SQL注入

2) 构造SQL语句 填好正确的用户名(marcofly)和密码(test)后，点击提交，将会返回给我们“欢迎管理员”的界面。 因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的： select * from users where username='marcofly' and password=md5('test') 很明显，用户名和密码都和我们之前给出的一样，肯定能够成功登陆。但是，如果我们输入一个错误的用户名或密码呢？很明显，肯定登入不了吧。恩，正常情况下是如此，但是对于有SQL注入漏洞的网站来说，只要构造个特殊的“字符串”，照样能够成功登录。

比如：在用户名输入框中输入:' or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为： select * from users where username='' or 1=1#' and password=md5('') 语义分析：“#”在mysql中是注释符，这样井号后面的内容将被mysql视为注释内容，这样就不会去执行了，换句话说，以下的两句sql语句等价：

select * from users where username='' or 1=1#' and password=md5('')

等价于

select* from users where usrername='' or 1=1

因为1=1永远是都是成立的，即where子句总是为真，将该sql进一步简化之后，等价于如下select语句：

select * from users 没错，该sql语句的作用是检索users表中的所有字段

上面是一种输入方法，这里再介绍一种注入的方法，这个方法又称PHP的万能密码

我们再已知用户名的条件下，可以不能密码即可登入，假设用户名：admin

构造语句：

select * from users where username='admin'#' and password=md5('')

等价于

select * from users where username='admin'

这样即可不能输入密码登入上去的。

数据库就会错认为不用用户名既可以登入，绕过后台的验证，已到达注入的目的。

同样利用了SQL语法的漏洞。

看到了吧，一个经构造后的sql语句竟有如此可怕的破坏力，相信你看到这后，开始对sql注入有了一个理性的认识了吧~ 没错，SQL注入就是这么容易。但是，要根据实际情况构造灵活的sql语句却不是那么容易的。有了基础之后，自己再去慢慢摸索吧。 有没有想过，如果经由后台登录窗口提交的数据都被管理员过滤掉特殊字符之后呢？这样的话，我们的万能用户名' or 1=1#就无法使用了。但这并不是说我们就毫无对策，要知道用户和数据库打交道的途径不止这一条。

2、python方面工作面试的时候会问设计模式的问题吗？

Python诞生很早，但真正火爆时间并不长。目前Python语言的应用领域非常广泛，主要有系统编程、图形处理、数学处理、文本处理、数据库编程、网络编程、Web编程、多媒体应用、pymo引擎、黑客编程等等。这就导致了Python的火爆，不过Python为什么越来越受欢迎呢?一个词：水涨船高。为什么Python越来越火?

Python 是一门更注重可读性和效率的语言，尤其是相较于 Java，PHP 以及 C++ 这样的语言，它的这两个优势让其在开发者中大受欢迎，同时在运维领域也被大量运用到自动化运维场景中。以下是Python的五大优势：

1、Python 易于学习;

2、用少量的代码构建出很多功能;

3、Python 拥有最成熟的程序包资源库之一;

4、Python 紧挨着 R 语言，都是现代数据科学中最常被使用的语言;

5、Python 是跨平台且开源的。

Python的各种优势领各大企业公司开始使用Python开发，这就造成了Python开发人才的紧缺，相应的Python开发人员的薪资待遇也在增高。据统计，目前Python开发人员的薪资待遇为10K以上，这样的诱惑很难让人拒绝。下面就来给大家分享一波面试题：

python2和python3的range（100）的区别

python2返回列表，python3返回迭代器，节约内存

一句话解释什么样的语言能够用装饰器?

函数可以作为参数传递的语言，可以使用装饰器

python内建数据类型有哪些

整型--int

布尔型--bool

字符串--str

列表--list

元组--tuple

字典--dict

简述面向对象中__new__和__init__区别

__init__是初始化方法，创建对象后，就立刻被默认调用了，可接收参数

1、__new__至少要有一个参数cls，代表当前类，此参数在实例化时由Python解释器自动识别

2、__new__必须要有返回值，返回实例化出来的实例，这点在自己实现__new__时要特别注意，可以return父类（通过super(当前类名, cls)）__new__出来的实例，或者直接是object的__new__出来的实例

3、__init__有一个参数self，就是这个__new__返回的实例，__init__在__new__的基础上可以完成一些其它初始化的动作，__init__不需要返回值

4、如果__new__创建的是当前类的实例，会自动调用__init__函数，通过return语句里面调用的__new__函数的第一个参数是cls来保证是当前类实例，如果是其他类的类名，；那么实际创建返回的就是其他类的实例，其实就不会调用当前类的__init__函数，也不会调用其他类的__init__函数。

简述with方法打开处理文件帮我我们做了什么？

打开文件在进行读写的时候可能会出现一些异常状况，如果按照常规的f.open

写法，我们需要try,except,finally，做异常判断，并且文件最终不管遇到什么情况，都要执行finally f.close()关闭文件，with方法帮我们实现了finally中f.close

python中生成随机整数、随机小数、0--1之间小数方法

随机整数：random.randint(a,b),生成区间内的整数

随机小数：习惯用numpy库，利用np.random.randn(5)生成5个随机小数

0-1随机小数：random.random(),括号中不传参

避免转义给字符串加哪个字母表示原始字符串？

r , 表示需要原始字符串，不转义特殊字符

python中断言方法举例

assert（）方法，断言成功，则程序继续执行，断言失败，则程序报错

3、大家一般用什么工具测试HTTP和json接口？

很高兴回答你的问题，我常用到的api接口文档有三款，下面我来分别进行举例说明。

1、apizza

apizza 是一个极客专属的api协作管理工具,你可以在这里进行api测试,方便快捷的编写api文档,智能识别参数,自动生成代码,流程测试,让你的团队协作更高效。

第一步用邮箱注册账号，注册成功之后就可以创建项目了。

第二步注册账号是个人版的，下面是个人版的权限，可以创建8个项目，每个项目可以有两个开发者，每个项目可以创建200个接口，对于大部分的项目来说都是可以满足要求的。

第三步就可以根据自己的项目需要去创建接口了，无论是从界面设计还是功能使用上我都非常喜欢这款软件，这里我也推荐大家去尝试尝试。

2、showdoc

ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。你可以使用Showdoc来编写在线API文档、技术文档、数据字典、在线手册

showdoc区别于其他项目的优势是可以下载源代码，并且部署在自己的服务器，这是我目前知道的最好的开源接口api管理工具。

当然除此之外就是直接在线上使用，它不仅可以记录api接口文档，还可以记录数据库的字典，更加方便与后期的开发。

这款软件也值得大家去使用，好的软件工具总是不由让开发者恋恋不舍。

3、postman

postman是我最早接触的一款接口测试工具，由于是英文的所以对于刚开始接触的小白来说是有一定的难度，并且需要下载安装，因为我喜欢比较用在线的工具，所以再有其他选择的时候我就没有继续在使用，但是因人而异，确实是一款不错的测试工具。

以上就是我给大家推荐的三款api测试接口文档，当然在市场上也不仅限于此，大家可以在评论区进行留言讨论。

欢迎大家点赞关注转发，谢谢。

4、C语言从哪学起？

学习C语言从什么开始学起。我来说说我的学习经验，说句实在话我真正学会C语言是从开始学习单片机开始的，以前在上学时也学过C语言，由于只是应付考试，没有深入去学习，当时只是学习了C语言的一些皮毛没有领会C语言的精髓。后来由于工作的需要接触到单片机，刚开始使用汇编语言编写，感觉这种汇编语言晦涩难懂，在一次偶然的机会我从书中看到C语言也可以进行单片机程序的编写，我如获至宝就进入了用C语言编写单片机程序的阶段，下面我和朋友们谈谈我是如何从C语言开始学起的。

学习C语言要找到一个合适的平台

通过我这些年对C语言的学习，我认为学习C语言要有一个平台，这样去学习进步才更快。特别是对刚接触这种C语言的朋友来说更为重要，我学习就是通过单片机这个硬件平台才逐渐深入理解了C语言的，起初我是从新开始学习最基本的C语言知识的，比如先从 if、while、 for、 switch等基本语句和逻辑运算与赋值表达式开始编写循环流水灯。尽可能多地运用这些语句和表达式编写流水灯的程序，通过生成目标代码下载到单片机实验板中观察现象，通过反复的调试程序达到自己想要控制的效果，这样慢慢的就对C语言产生了浓厚的兴趣了，我想如果只用纯软件的C语言编译软件虽然能够看到执行的最终结果，但是看不到每一步所执行的效果。我们通过Keil C编程软件，在通过单步执行每一步程序，可以看到所设置的变量里数据值的变化，从而对程序每一步执行的过程和结果我们通过这个软件都能看的到，最后的结果通过发光LED管或者数码管等显示器件显示出来，这对我们树立学会C语言的信心非常重要。就是通过这样的一个平台我找到了快速学习C语言的方法。

学习C语言要找到一个适合自己的方法

学习C语言的平台有了之后，下面就要探索一个适合自己的学习方法的问题了，在这方面我还是根据自己学习的一点体会和朋友们分享我学习C语言的方法吧！我学习的第一步就是“看”,我主要是看别人的例程，然后按照“描葫芦画瓢”式，自己仿照别人的例程敲写代码，比如大部分朋友都学过这样一个例程“滴水拖尾流水灯”，就像我们看到屋檐下的一颗水滴慢慢变大，达到一定程度突然坠落的过程，我就是通过别人的例程学会自己编写这个程序的，编写好程序通过八个发光二极管来验证这个具有拖尾的流水灯程你会感觉到有一种成功后的喜悦感；看例程到一定程度后，我们就可以自己编写一些简单的程序了，又例如我们在中学课本上学了这样一个数学故事的例子，从1+2+3+4+......+100。我相信朋友们都知道结果，我们就可以用C语言来编写程序。最后用单片机控制数码管来显示这个式子的结果，就是这样通过“看”、“模仿”、“自己编写”这样一个流程把C语言的很多方面都理解的更透彻了，特别是对指针这一块的学习。我们可以用在简单的流水灯程序上，虽然有点像“杀用牛刀”的嫌疑，但对我们理解指针的本质有很大的帮助；也可以用在动态LCD1602显示或者LCD12864等液晶显示程序上。通过这样的方法学习使我走向了一个适合自己的学习C语言之路，我相信很多朋友都会找到适合自己学习C语言的方法的。

学习C语言要建立学习的兴趣

“说一千，道一万”关键学习C语言要有兴趣，要有内驱力。这样才是我们学习好C语言的关键。只要我们找到一个适合自己学习C语言的平台，然后有一个合适自己学习的方法，通过训练“培养”出自己学习C语言的兴趣，那么你进入C语言的神秘的大门就为期不远了！

以上就是我给学习C语言朋友们的一个小小的建议，希望能对大家有所启迪！欢迎朋友们讨论这个话题！敬请关注电子及工控技术。

5、golang2特性？

1. 垃圾回收

a. 内存⾃动回收，再也不需要开发⼈员管理内存

b. 开发人员专注业务实现，降低了心智负担

c. 只需要new分配内存，不需要释放

2. 天然并发

a. 从语⾔层面⽀持并发，⾮常简单。只需要go一下

b. goroutine，轻量级线程，创建成千上万个goroute成为可能

3. channel

a. 管道，类似unix/linux中的pipe

b. 多个goroute之间通过channel进行通信

c. ⽀支持任何类型

4. 多返回值

a. ⼀个函数返回多个值

5. 编译型语言

a. 性能只比C语言差10%

b. 开发效率和python、php差不多