php怎么连接存储过程

1、php怎么连接存储过程，怎么复制一个网站？

拷贝网页方法：

1、用网站整站下载器下载下来；

2、如果只是单纯的保存一个网页的话，在网页的空白处点击右键，选择网页另存为即可。网页，指的是网站设计人员存放在网站服务器上的页面文件或脚本文件。网页是构成网站的基本元素，是承载各种网站应用的平台，用户可以通过浏览器软件来访问这些页面或脚本文件。页面文件是最基本的网页，是用户访问一个网站的根本途径。现在大多数的页面文件都是使用html语言编写的，扩展名为htm或html，用户可以以此类文件来进行对网站的了解，并获取相关信息。脚本文件则可以使浏览者与网站指定的人员进行交互。此类文件的常用扩展名有cgi、jsp、asp、php等。用户能够通过这些脚本文件，同网站管理人员进行交流，帮助改进网站。除此之外，普通的html或htm文件，一般也被称作“网页文件”。

2、PHP如何避免表单的重复提交？

1. 使用JS让按钮在点击一次后禁用（disable）。采用这种方法可以防止多次点击的发生，实现方式较简单。缺点是若客户端禁止JavaScript脚本，则失效。

2. 在提交成功后执行页面重定向（redirect）。转到提交成功信息页面。特点：避免F5重复提交，消除浏览器前进和后退按钮可导致的同样问题。

3. 表单隐藏域中存放session（表单被请求时生成的标记）。采用此方法在接收表单数据后，检查此标志值是否存在，先进行删除，然后处理数据; 若不存在，说明已提交过，忽略本次提交。

4. 数据库唯一索引约束（最有效的防止重复数据的方法）。

5. 使用验证码

3、我们常见的提交方式有哪些？

WEB安全之SQL注入

引言：

在开发网站的时候，出于安全考虑，需要过滤从页面传递过来的字符。通常，用户可以通过以下接口调用数据库的内容：URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露，重则服务器被拿下。

1、SQL注入步骤

a)寻找注入点，构造特殊的语句

传入SQL语句可控参数分为两类 1. 数字类型，参数不用被引号括起来，如 2. 其他类型，参数要被引号扩起来,如

b)用户构造SQL语句(如：'or 1=1#；admin'#（这个注入又称PHP的万能密码，是已知用户名的情况下，可绕过输入密码）以后再做解释)

c)将SQL语句发送给DBMS数据库

d)DBMS收到返回的结果，并将该请求解释成机器代码指令，执行必要得到操作

e)DBMS接受返回结果，处理后，返回给用户

因为用户构造了特殊的SQL语句，必定返回特殊的结果(只要你的SQL语句够灵活)

下面，我通过一个实例具体来演示下SQL注入 二、SQL注入实例详解(以上测试均假设服务器未开启magic_quote_gpc)

1) 前期准备工作 先来演示通过SQL注入漏洞，登入后台管理员界面 首先，创建一张试验用的数据表：

CREATE TABLE `users` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(64) NOT NULL, `password` varchar(64) NOT NULL, `email` varchar(64) NOT NULL,PRIMARY KEY (`id`),UNIQUE KEY `username` (`username`) ) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

添加一条记录用于测试：

INSERT INTO users (username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@test.com');

接下来，贴上登入界面的源代码

<html><head><title>Sql注入演示</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body ><form action="validate.php" method="post"><fieldset ><legend>Sql注入演示</legend><table><tr><td>用户名：</td><td><input type="text" name="username"></td></tr><tr><td>密 码：</td><td><input type="text" name="password"></td></tr><tr><td><input type="submit" value="提交"></td><td><input type="reset" value="重置"></td></tr></table></fieldset></form></body></html>

附上效果图：

当用户点击提交按钮的时候，将会把表单数据提交给validate.php页面，validate.php页面用来判断用户输入的用户名和密码有没有都符合要求（这一步至关重要，也往往是SQL漏洞所在）

! <!--前台和后台对接--><html><head><title>登录验证</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body><?php $conn=@mysql_connect("localhost",'root','') or die("数据库连接失败！");; mysql_select_db("injection",$conn) or die("您要选择的数据库不存在"); $name=$_POST['username']; $pwd=$_POST['password']; $sql="select * from users where username='$name' and password='$pwd'"; $query=mysql_query($sql); $arr=mysql_fetch_array($query);if(is_array($arr)){ header("Location:manager.php"); }else{ echo "您的用户名或密码输入有误，<a href=\"Login.php\">请重新登录！</a>"; } ?></body></html>

注意到了没有，我们直接将用户提交过来的数据(用户名和密码)直接拿去执行，并没有实现进行特殊字符过滤，待会你们将明白，这是致命的。 代码分析：如果，用户名和密码都匹配成功的话，将跳转到管理员操作界面(manager.php)，不成功，则给出友好提示信息。 登录成功的界面：

登录失败的提示：

到这里，前期工作已经做好了，接下来将展开我们的重头戏：SQL注入

2) 构造SQL语句 填好正确的用户名(marcofly)和密码(test)后，点击提交，将会返回给我们“欢迎管理员”的界面。 因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的： select * from users where username='marcofly' and password=md5('test') 很明显，用户名和密码都和我们之前给出的一样，肯定能够成功登陆。但是，如果我们输入一个错误的用户名或密码呢？很明显，肯定登入不了吧。恩，正常情况下是如此，但是对于有SQL注入漏洞的网站来说，只要构造个特殊的“字符串”，照样能够成功登录。

比如：在用户名输入框中输入:' or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为： select * from users where username='' or 1=1#' and password=md5('') 语义分析：“#”在mysql中是注释符，这样井号后面的内容将被mysql视为注释内容，这样就不会去执行了，换句话说，以下的两句sql语句等价：

select * from users where username='' or 1=1#' and password=md5('')

等价于

select* from users where usrername='' or 1=1

因为1=1永远是都是成立的，即where子句总是为真，将该sql进一步简化之后，等价于如下select语句：

select * from users 没错，该sql语句的作用是检索users表中的所有字段

上面是一种输入方法，这里再介绍一种注入的方法，这个方法又称PHP的万能密码

我们再已知用户名的条件下，可以不能密码即可登入，假设用户名：admin

构造语句：

select * from users where username='admin'#' and password=md5('')

等价于

select * from users where username='admin'

这样即可不能输入密码登入上去的。

数据库就会错认为不用用户名既可以登入，绕过后台的验证，已到达注入的目的。

同样利用了SQL语法的漏洞。

看到了吧，一个经构造后的sql语句竟有如此可怕的破坏力，相信你看到这后，开始对sql注入有了一个理性的认识了吧~ 没错，SQL注入就是这么容易。但是，要根据实际情况构造灵活的sql语句却不是那么容易的。有了基础之后，自己再去慢慢摸索吧。 有没有想过，如果经由后台登录窗口提交的数据都被管理员过滤掉特殊字符之后呢？这样的话，我们的万能用户名' or 1=1#就无法使用了。但这并不是说我们就毫无对策，要知道用户和数据库打交道的途径不止这一条。

4、php语言网站如何加强安全性？

PHP是一种非常流行之网站脚本语言，但是它本身所固有之安全性是非常薄弱。本文讲述了PHP增强计划（Hardened-PHP project）和新之Suhosi计划，Suhosin提供了增强之PHP之安全配置。

PHP是带有争论地但又是最流行之一种网站脚本语言。它之所以流行，是因为它低廉之价格，然而，这低廉之价格导致用PHP写之网站应用程序越来越多 之同时也越来越多之展现出PHP本身在安全上之脆弱，这种安全特性显示出PHP是极不可靠，不过同时对这个脚本语言本身而言它又是非常灵活之，使用它就能 很容易之实现代码，不过这些代码都是臃肿之且不安全之，虽然是这样它还是一直都拥有很多之使用者。你可以根据实际情况来假设，一次又一次，各种应用软件都 体现了这种脆弱性：容易受到SQL注入、跨站脚本、任意执行指令等等之攻击。

因为象safe_mode和open_basedir这样内置之PHP安全措施将被忽略，PHP增强计划创建之PHP更具有安全性，同时也对PHP 进行校验检查。最初，这些是由增强之PHP补丁完成之，这些补丁需要修补并重新编译PHP自身。最近，PHP增强计划发布了一个名为Suhosin之新工 程。

Sohosin包括有两部分：第一部分是PHP之补丁，这个补丁强化了Zend引擎自身，以免可能产生缓冲溢出，也可以防止相关之弱点。第二部分是 Suhosin之扩展，这是一个PHP之独立使用模块。这两部分可以一起工作，或者是扩展部分单独工作。

开发人员不希望为了达到安全性而总去维护他们自己之PHP安装设置和他们当然更喜欢直接使用销售商提供之Linux分布系统上PHP，使用扩展模块 能提供更多PHP本身所不能具有之安全特点。

扩展模块很容易安装；它也能通过PECL安装，或者是下载后通过编译安装：

$ tar xvzf suhosin-0.9.17

$ cd suhosin-0.9.17

$ phpize

$ ./configure

$ make

$ sudo make install

为了使用suhosin，还需要增加/etc/php.ini，如下所示：

extension=suhosin.so

对于大部分人来说默认之配置选项已经足够了。为了加强设置，可以在/etc/php.ini中增加相应之值。网站中详细地介绍了有关之各种配置选 项，这些说明可以帮助你进行初始化配置。

使用Suhosin，你可以得到一些错误日志，你能把这些日志放到系统日志中，也可以同时写到其他任意之日志文件中去；它还可以为每一个虚拟主机创 建黑名单和白名单；可以过滤GET和POST请求、文件上载和cookie。你还能传送加密之会话和cookie，可以设置不能传送之存储上线等等。它不 像原始之PHP强化补丁，Suhosin是可以被像Zend Optimizer这样之第三方扩展软件所兼容之。

下面是我写的一个操作方法：

wget -c http://soft.vpser.net/web/suhosin/suhosin-patch-5.2.10-0.9.7.patch.gz

gzip -d ./suhosin-patch-5.2.10-0.9.7.patch.gz

cd php-5.2.10

patch -p 1 -i ../suhosin-patch-5.2.10-0.9.7.patch

编译的时候

./configure --prefix=/usr/local/php --with-config-file-path=/usr/local/php/etc --with-mysql=/usr/local/mysql --with-mysqli=/usr/local/mysql/bin/mysql_config --with-iconv-dir --with-freetype-dir --with-jpeg-dir --with-png-dir --with-zlib --with-libxml-dir=/usr --enable-xml --enable-discard-path --enable-magic-quotes --enable-safe-mode --enable-bcmath --enable-shmop --enable-sysvsem --enable-inline-optimization --with-curl --with-curlwrappers --enable-mbregex --enable-fastcgi --enable-fpm --enable-force-cgi-redirect --enable-mbstring --with-mcrypt --enable-ftp --with-gd --enable-gd-native-ttf --with-openssl --with-mhash --enable-pcntl --enable-sockets --with-xmlrpc --enable-zip --enable-soap --without-pear --with-gettext --with-mime-magic --enable-suhosin

把suhosin编译进去就好了

5、怎么实现redis的数据库的缓存？

大致为两种措施：

一、脚本同步：1、自己写脚本将数据库数据写入到Redis/memCached。2、这就涉及到实时数据变更的问题（MySQL row binlog的实时分析），binlog增量订阅Alibaba 的canal ，以及缓存层数据 丢失/失效 后的数据同步恢复问题。

二、业务层实现：1、先读取NoSQL缓存层，没有数据再读取mysql层，并写入数据到nosql。2、nosql层做好多节点分布式（一致性hash），以及节点失效后替代方案（多层hash寻找相邻替代节点），和数据震荡恢复了。

redis实现数据库缓存的分析：

对于变化频率非常快的数据来说，如果还选择传统的静态缓存方式（Memocached、File System等）展示数据，可能在缓存的存取上会有很大的开销，并不能很好的满足需要，而Redis这样基于内存的NoSQL数据库，就非常适合担任实时数据的容器。

但是往往又有数据可靠性的需求，采用MySQL作为数据存储，不会因为内存问题而引起数据丢失，同时也可以利用关系数据库的特性实现很多功能。所以就会很自然的想到是否可以采用MySQL作为数据存储引擎，Redis则作为Cache。

MySQL到Redis数据复制方案，无论MySQL还是Redis，自身都带有数据同步的机制，比较常用的MySQL的Master/Slave模式，就是由Slave端分析Master的binlog来实现的，这样的数据复制其实还是一个异步过程，只不过当服务器都在同一内网时，异步的延迟几乎可以忽略。那么理论上也可用同样方式，分析MySQL的binlog文件并将数据插入Redis。

因此这里选择了一种开发成本更加低廉的方式，借用已经比较成熟的MySQL UDF，将MySQL数据首先放入Gearman中，然后通过一个自己编写的PHP Gearman Worker，将数据同步到Redis。比分析binlog的方式增加了不少流程，但是实现成本更低，更容易操作。