每天5分钟，细读PHP手册-13

支持的协议和封装协议

• file:// — 访问本地文件系统
• http:// – https:// — 访问 HTTP(s) 网址
• ftp:// – ftps:// — 访问 FTP(s) URLs
• php:// — 访问各个输入/输出流（I/O streams）
• zlib:// – bzip2:// – zip:// — 压缩流
• data:// — 数据（RFC 2397）、
• glob:// — 查找匹配的文件路径模式
• phar:// — PHP 归档
• ssh2:// — Secure Shell 2
• rar:// — RAR
• ogg:// — 音频流
• expect:// — 处理交互式的流

doc_root和user_dir

• 可以通过配置文件内的 doc_root 或设置环境变量 PHP_DOCUMENT_ROOT 来定义 PHP 脚本主目录。如果设置了该项，那么 PHP 就只会解释 doc_root 目录下的文件，并确保目录外的脚本不会被 PHP 解释器执行（下面所说的 user_dir 除外）;
• 另一个可用的选项就是 user_dir。当 user_dir 没有设置的时候，doc_root 就是唯一能控制在哪里打开文件的选项。访问如 http://my.host/~user/doc.php 这个 URL 时，并不会打开用户主目录下文件，而只会执行 doc_root 目录下的 ~user/doc.php（这个子目录以 [~] 作开头）;
• 如果设置了 user_dir，例如 public_php，那么像 http://my.host/~user/doc.php 这样的请求将会执行用户主目录下的 public_php 子目录下的 doc.php 文件。假设用户主目录的绝对路径是 /home/user，那么被执行文件将会是 /home/user/public_php/doc.php;

文件系统安全

• PHP被设计成以用户来级别来访问文件系统，在Linux中一切皆文件，如果权限控制不当，则有越权攻击的可能；
• PHP中的null字符同C语言中的一样，有截取字符串的作用，可以造成类似于SQL中的’;'SQL注入攻击；

数据库安全

• 应用程序永远不要使用超级用户来链接数据库；
• 权限最小原则；
• 事务可以使用数据库的视图、触发器来实现，不建议全部使用业务代码控制；

register_globals

• PHP4.2开始，将register_global的默认值从on改为了off。因为该选项on的话，会默认将传过来的参数加入到上下文中，如果不小心使用了该变量，则会造成不可预估的问题，例如越权；
• 推荐使用 超全局变量而不要依赖 register_globals；

最后

以上就是文艺白羊为你收集整理的每天5分钟，细读PHP手册-13的全部内容，希望文章能够帮你解决每天5分钟，细读PHP手册-13所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。