phppopen

1. php 怎樣讀取excel表格內容 - 技術問答

常用的用PHP讀取EXCEL的方法有以下三種，各自有各自的優缺點。個人推薦用第三種方法，因為它可以跨平台使用。

1. 以.csv格式讀取

將.xls轉換成.csv的文本格式，然後再用PHP分析這個文件，和PHP分析文本沒有什麼區別。

優點：跨平台，效率比較高、可以讀寫。

缺點：只能直接使用.csv的文件，如果經常接受.xls二進制文件的話需要手工轉換，不能自動化。一個文件只有一個SHEET。

PHP有自帶的分析.csv函數：fgetcsv

array fgetcsv ( int $handle [, int $length [, string $delimiter [, string $enclosure]]] )

handle 一個由 fopen()、popen() 或 fsockopen() 產生的有效文件指針。

length （可選）必須大於 CVS 文件內最長的一行。在 PHP 5 中該參數是可選的。如果忽略（在 PHP 5.0.4 以後的版本中設為 0）該參數的話，那麼長度就沒有限制，不過可能會影響執行效率。

delimiter （可選）設置欄位分界符（只允許一個字元），默認值為逗號。

enclosure （可選）設置欄位環繞符（只允許一個字元），默認值為雙引號。該參數是在 PHP 4.3.0 中添加的。 和 fgets() 類似，只除了 fgetcsv() 解析讀入的行並找出 CSV 格式的欄位然後返回一個包含這些欄位的數組。

fgetcsv() 出錯時返回 FALSE，包括碰到文件結束時。

注意: CSV 文件中的空行將被返回為一個包含有單個 null 欄位的數組，不會被當成錯誤。

當然也可以自己手動分析字元串。

還可以利用fputcsv函數將行格式化為 CSV 並寫入文件指針。

2. ODBC鏈接數據源

優點：支持多種格式，cvs, xls等。支持讀寫，使用標准sql語言，和SQLSERVER、MYSQL資料庫幾乎完全一樣。

缺點：值支持windows伺服器

3. PHP自定義類

優點：跨平台。某些類支持寫操作。支持.xls二進制文件

常用的類有phpExcelReader、PHPExcel。其中後者支持讀寫，但是需要php5.2以上版本。

phpExcelReader是專門用來讀取文件的。返回一個數組，包含表格的所有內容。

該 class 使用的方法可以參考網站下載回來的壓縮檔中的 example.php。

不過我下載回來的 (版本 2009-03-30)，有兩點要注意：

reader.php 中的下面這行要修改

將 require_once 『Spreadsheet/Excel/Reader/OLERead.php』;

改為 require_once 『oleread.inc』;

example.php 中

修改 $data->setOutputEncoding(』CP1251′);

為 $data->setOutputEncoding(』CP936′);

example2.php 中

修改 nl2br(htmlentities($data->sheets[$sheet]['cells'][$row][$col]));

為 $table_output[$sheet] .= nl2br(htmlspecialchars($data->sheets[$sheet]['cells'][$row][$col]));

不然中文會有問題。

繁體的話可以修改為CP950、日文是CP932，具體可參考codepage說明。

修改 $data->read(』jxlrwtest.xls』) 為自己的 excel 文件名，zip 檔中附的 jxlrwtest.xls 應該是壞了。

2. PHP非同步處理有哪些方法

客戶端與伺服器端是通過HTTP協議進行連接通訊，客戶端發起請求，伺服器端接收到請求後執行處理，並返回處理結果。
有時伺服器需要執行很耗時的操作，這個操作的結果並不需要返回給客戶端。但因為php是同步執行的，所以客戶端需要等待服務處理完才可以進行下一步。
因此對於耗時的操作適合非同步執行，伺服器接收到請求後，處理完客戶端需要的數據就返回，再非同步在伺服器執行耗時的操作。
1.使用Ajax 與 img 標記
原理，伺服器返回的html中插入Ajax 代碼或 img 標記，img的src為需要執行的程序。
優點：實現簡單，服務端無需執行任何調用
缺點：在執行期間，瀏覽器會一直處於loading狀態，因此這種方法並不算真正的非同步調用。

$.get("doRequest.php", { name: "fdipzone"} );
<img src="doRequest.php?name=fdipzone">

2.使用popen
使用popen執行命令，語法：

// popen — 打開進程文件指針
resource popen ( string $command , string $mode )
pclose(popen('php /home/fdipzone/doRequest.php &', 'r'));

優點：執行速度快
缺點：

1）.只能在本機執行
2）.不能傳遞大量參數
3）.訪問量高時會創建很多進程
3.使用curl
設置curl的超時時間 CURLOPT_TIMEOUT 為1 （最小為1），因此客戶端需要等待1秒

<?php
$ch = curl_init();
$curl_opt = array(
CURLOPT_URL, 'http://www.example.com/doRequest.php'
CURLOPT_RETURNTRANSFER,1,
CURLOPT_TIMEOUT,1
);
curl_setopt_array($ch, $curl_opt);
curl_exec($ch);
curl_close($ch);
?>

4.使用fsockopen
fsockopen是最好的，缺點是需要自己拼接header部分。

<?php

$url = 'http://www.example.com/doRequest.php';
$param = array(
'name'=>'fdipzone',
'gender'=>'male',
'age'=>30
);

doRequest($url, $param);

function doRequest($url, $param=array()){

$urlinfo = parse_url($url);

$host = $urlinfo['host'];
$path = $urlinfo['path'];
$query = isset($param)? http_build_query($param) : '';

$port = 80;
$errno = 0;
$errstr = '';
$timeout = 10;

$fp = fsockopen($host, $port, $errno, $errstr, $timeout);

$out = "POST ".$path." HTTP/1.1\r\n";
$out .= "host:".$host."\r\n";
$out .= "content-length:".strlen($query)."\r\n";
$out .= "content-type:application/x-www-form-urlencoded\r\n";
$out .= "connection:close\r\n\r\n";
$out .= $query;

fputs($fp, $out);
fclose($fp);
}

?>

注意：當執行過程中，客戶端連接斷開或連接超時，都會有可能造成執行不完整，因此需要加上

ignore_user_abort(true); // 忽略客戶端斷開
set_time_limit(0); // 設置執行不超時

3. PHP如何做好最基礎的安全防範

PHP如何做好最基礎的安全防範

php給了開發者極大的靈活性，但是這也為安全問題帶來了潛在的隱患，PHP如何做好最基礎的安全防範呢？下面我為大家解答一下，希望能幫到您！

當開發一個互聯網服務的時候，必須時刻牢記安全觀念，並在開發的代碼中體現。PHP腳本語言對安全問題並不關心，特別是對大多數沒有經驗的開發者來說。每當你講任何涉及到錢財事務等交易問題時，需要特別注意安全問題的考慮，例如開發一個論壇或者是一個購物車等。

安全保護一般性要點

不相信表單

對於一般的javascript前台驗證，由於無法得知用戶的行為，例如關閉了瀏覽器的javascript引擎，這樣通過POST惡意數據到伺服器。需要在伺服器端進行驗證，對每個php腳本驗證傳遞到的數據，防止XSS攻擊和SQL注入。

不相信用戶

要假設你的網站接收的每一條數據都是存在惡意代碼的，存在隱藏的威脅，要對每一條數據都進行清理

關閉全局變數

在php.ini文件中進行以下配置：

register_globals = Off

如果這個配置選項打開之後，會出現很大的安全隱患。例如有一個process.php的腳本文件，會將接收到的數據插入到資料庫，接收用戶輸入數據的表單可能如下：

< input name="username" type ="text" size = "15" maxlength = "64" >

這樣，當提交數據到process.php之後，php會注冊一個$username變數，將這個變數數據提交到process.php，同時對於任何POST或GET請求參數，都會設置這樣的變數。如果不是顯示進行初始化那麼就會出現下面的問題：

<?php

// Define $authorized = true only if user is authenticated

if

(authenticated_user()) {

$authorized = true;

}

?>

此處，假設authenticated_user函數就是判斷$authorized變數的值，如果開啟了register_globals配置，那麼任何用戶都可以發送一個請求，來設置$authorized變數的值為任意值從而就能繞過這個驗證。所有的這些提交數據都應該通過PHP預定義內置的全局數組來獲取，包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等，其中$_REQUEST是一個$_GET/$_POST/$_COOKIE三個數組的聯合變數，默認的順序是$_COOKIE、$_POST、$_GET。

推薦的安全配置選項

error_reporting設置為Off：不要暴露錯誤信息給用戶，開發的時候可以設置為ON

safe_mode設置為Off

register_globals設置為Off

將以下函數禁用：system、exec、passthru、shell_exec、proc_open、popen

open_basedir設置為 /tmp ，這樣可以讓session信息有存儲許可權，同時設置單獨的網站根目錄expose_php設置為Offallow_url_fopen設置為Offallow_url_include設置為Off

SQL注入攻擊

對於操作資料庫的SQL語句，需要特別注意安全性，因為用戶可能輸入特定語句使得原有的SQL語句改變了功能。類似下面的例子：

$sql ="select * from pinfo where proct = '$proct'";

此時如果用戶輸入的$proct參數為：'39'; DROP pinfo; SELECT 'FOO

那麼最終SQL語句就變成了如下的`樣子：

select proct from pinfo where proct = '39';

DROP pinfo;

SELECT 'FOO'

這樣就會變成三條SQL語句，會造成pinfo表被刪除，這樣會造成嚴重的後果。這個問題可以簡單的使用PHP的內置函數解決：

$sql = 'Select * from pinfo where proct = '"' mysql_real_escape_string($proct) . '"';

防止SQL注入攻擊需要做好兩件事：對輸入的參數總是進行類型驗證對單引號、雙引號、反引號等特殊字元總是使用mysql_real_escape_string函數進行轉義但是，這里根據開發經驗，不要開啟php的Magic Quotes，這個特性在php6中已經廢除，總是自己在需要的時候進行轉義。

防止基本的XSS攻擊

XSS攻擊不像其他攻擊，這種攻擊在客戶端進行，最基本的XSS工具就是防止一段javascript腳本在用戶待提交的表單頁面，將用戶提交的數據和cookie偷取過來。XSS工具比SQL注入更加難以防護，各大公司網站都被XSS攻擊過，雖然這種攻擊與php語言無關，但可以使用php來篩選用戶數據達到保護用戶數據的目的，這里主要使用的是對用戶的數據進行過濾，一般過濾掉HTML標簽，特別是a標簽。下面是一個普通的過濾方法：

function transform_HTML( $string , $length null) { // Helps prevent XSS attacks

// Remove dead space.

$string = trim( $string );

// Prevent potential Unicode codec problems.

$string = utf8_decode( $string );

// HTMLize HTML-specific characters.

$string = htmlentities( $string , ENT_NOQUOTES);

$string = str_replace ( "#" , "#" , $string );

$string = str_replace ( "%" , "%" , $string );

$length = intval ( $length );

if ( $length > 0) {

$string = substr ( $string , 0, $length );

}return $string ;

}

這個函數將HTML的特殊字元轉換為了HTML實體，瀏覽器在渲染這段文本的時候以純文本形式顯示。如bold會被顯示為： BoldText 上述函數的核心就是htmlentities函數，這個函數將html特殊標簽轉換為html實體字元，這樣可以過濾大部分的XSS攻擊。但是對於有經驗的XSS攻擊者，有更加巧妙的辦法進行攻擊：將他們的惡意代碼使用十六進制或者utf-8編碼，而不是普通的ASCII文本，例如可以使用下面的方式進行：

這樣瀏覽器渲染的結果其實是：

< a href = "http://host/a.php?variable=" >

< SCRIPT >Dosomethingmalicious

這樣就達到了攻擊的目的。為了防止這種情況，需要在transform_HTML函數的基礎上再將#和%轉換為他們對應的實體符號，同時加上了$length參數來限制提交的數據的最大長度。

使用SafeHTML防止XSS攻擊

上述關於XSS攻擊的防護非常簡單，但是不包含用戶的所有標記，同時有上百種繞過過濾函數提交javascript代碼的方法，也沒有辦法能完全阻止這個情況。目前，沒有一個單一的腳本能保證不被攻擊突破，但是總有相對來說防護程度更好的。一共有兩個安全防護的方式：白名單和黑名單。其中白名單更加簡單和有效。一種白名單解決方案就是SafeHTML，它足夠智能能夠識別有效的HTML，然後就可以去除任何危險的標簽。這個需要基於HTMLSax包來進行解析。安裝使用SafeHTML的方法：

1、前往http://pixel-apes.com/safehtml/?page=safehtml 下載最新的SafeHTML

2、將文件放入伺服器的classes 目錄，這個目錄包含所有的SafeHTML和HTMLSax庫

3、在自己的腳本中包含SafeHTML類文件

4、建立一個SafeHTML對象

5、使用parse方法進行過濾

<?php/* If you're storing the HTMLSax3.php in the /classes directory, along

with the safehtml.php script, define XML_HTMLSAX3 as a null string. */define(XML_HTMLSAX3, '' );// Include the class file.require_once ( 'classes/safehtml.php' );

// Define some sample bad code.

$data = This data would raise an alert

" ;// Create a safehtml object.$safehtml = new safehtml();// Parse and sanitize the data.$safe_data = $safehtml ->parse( $data );// Display result. echo 'The sanitized data is ' . $safe_data ;

?>

SafeHTML並不能完全防止XSS攻擊，只是一個相對復雜的腳本來檢驗的方式。

使用單向HASH加密方式來保護數據

單向hash加密保證對每個用戶的密碼都是唯一的，而且不能被破譯的，只有最終用戶知道密碼，系統也是不知道原始密碼的。這樣的一個好處是在系統被攻擊後攻擊者也無法知道原始密碼數據。加密和Hash是不同的兩個過程。與加密不同，Hash是無法被解密的，是單向的；同時兩個不同的字元串可能會得到同一個hash值，並不能保證hash值的唯一性。MD5函數處理過的hash值基本不能被破解，但是總是有可能性的，而且網上也有MD5的hash字典。

使用mcrypt加密數據MD5 hash函數可以在可讀的表單中顯示數據，但是對於存儲用戶的信用卡信息的時候，需要進行加密處理後存儲，並且需要之後進行解密。最好的方法是使用mcrypt模塊，這個模塊包含了超過30中加密方式來保證只有加密者才能解密數據。

<?php$data = "Stuff you want encrypted" ;

$key = "Secret passphrase used to encrypt your data" ;

$cipher = "MCRYPT_SERPENT_256" $mode = "MCRYPT_MODE_CBC" ;function encrypt( $data, $key , cipher , $mode ) {// Encrypt datareturn (string) base64_encode ( mcrypt_encrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), $data , $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) ) );

}function decrypt( $data , $key ,$cipher , $mode ) {// Decrypt data

return (string) mcrypt_decrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), base64_decode ( $data ), $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) );

}?>

mcrypt函數需要以下信息：

1、待加密數據

2、用來加密和解密數據的key

3、用戶選擇的加密數據的特定演算法（cipher：

如 MCRYPT_TWOFISH192

,MCRYPT_SERPENT_256， MCRYPT_RC2

, MCRYPT_DES

, and MCRYPT_LOKI97

）

4、用來加密的模式

5、加密的種子，用來起始加密過程的數據，是一個額外的二進制數據用來初始化加密演算法

6、加密key和種子的長度，使用mcrypt_get_key_size函數和mcrypt_get_block_size函數可以獲取如果數據和key都被盜取，那麼攻擊者可以遍歷ciphers尋找開行的方式即可，因此我們需要將加密的key進行MD5一次後保證安全性。同時由於mcrypt函數返回的加密數據是一個二進制數據，這樣保存到資料庫欄位中會引起其他錯誤，使用了base64encode將這些數據轉換為了十六進制數方便保存。

4. php popen函數如何關閉

#打開PHP.INI，找到這行：
#disable_functions
=
#在後面那裡加上要禁用的函數，如禁用多個函數，要用半形逗號
,
分開
disable_functions
=
popen

5. 菜鳥求助：PHP中調用系統命令為何有些命令總是失敗

PHP執行系統命令（簡介及方法）
在PHP中調用外部命令，可以用如下三種方法來實現：
方法一：用PHP提供的專門函數（四個）：
PHP提供4個專門的執行外部命令的函數：exec(), system(), passthru(), shell_exec()
1）exec()
原型: string exec ( string $command [, array &$output [, int &$return_var ]] )
說明: exec執行系統外部命令時不會輸出結果，而是返回結果的最後一行。如果想得到結果，可以使用第二個參數，讓其輸出到指定的數組。此數組一個記錄代表輸出的一行。即如果輸出結果有20行，則這個數組就有20條記錄，所以如果需要反復輸出調用不同系統外部命令的結果，最好在輸出每一條系統外部命令結果時清空這個數組unset($output)，以防混亂。第三個參數用來取得命令執行的狀態碼，通常執行成功都是返回0。
<?php
exec("dir",$output);
print_r($output);
?>
2）system()
原型: string system ( string $command [, int &$return_var ] )
說明: system和睜和exec的區別在於，system在執行系統外部命令時，直接將結果輸出到游覽器，如果執行命令成功則返回true，否則返回false。第二個參數與exec第三個參數含義一樣。
<?php
system("pwd");
?>
3）passthru()
原型: void passthru ( string $command [, int &$return_var ] )
說明: passthru與system的區別，passthru直接將結果輸出到游覽器，不返回任何值，且其可以輸出二進制，比如圖像數據。第二個參數可選，是狀態碼。
<?php
header("Content-type:image/gif");
passthru("/usr/bin/ppm2tiff /usr/share/tk8.4/demos/images/teapot.ppm");
?>
4）shell_exec()
原型: string shell_exec ( string $cmd )
說明: 直接執行命令$cmd
<?php
$output = shell_exec('ls -lart');
echo "<pre>$output</pre>";
?>
方法二：反撇號
原型: 反撇號`（和~在同一個鍵）執行系統外部命令
說明: 在使用這種方法執行系統外部命令時，要確保shell_exec函數可用，否則是無法使用這種反撇號執行系統外部命令的。
<?php
echo `dir`;
?>
方法三：用popen()函數打開進程
原型: resource popen ( string $command , string $mode )
說明: 能夠和命令進行交互。之前介紹的方法只能簡單地執行命令，卻不能與命令交互。有時須向命令輸入一些東西，如在增加系統用戶時，要調用su來把當前用戶換到root用戶，而su命令必須要在命令行上輸入root的密碼。這種情況下，用之前提到的方法顯然是不行的。
popen( )函數打開一個進程管道來執行給定的命令，返迅粗回一個文件句柄，可以對它讀和寫。返回值和fopen()函數一樣，返回一個文件指針。除非使用的是單一的模式打開(讀or寫)，否則必須使用pclose()函數關閉。該指針可以被fgets(),fgetss(),fwrite()調用。出錯時，返回FALSE。
<?php
error_reporting(E_ALL);
/* Add redirection so we can get stderr. */
$handle = popen('/path/to/executable 2>&1', 'r');
echo "'$handle'; " . gettype($handle) . "\n";
$read = fread($handle, 2096);
echo $read;
pclose($handle);
?>
要考慮兩個問題悉昌盯：安全性和超時
1）安全性
由於PHP基本是用於WEB程序開發的，所以安全性成了人們考慮的一個重要方面 。於是PHP的設計者們給PHP加了一個門：安全模式。如果運行在安全模式下，那麼PHP腳本中將受 到如下四個方面的限制：
執行外部命令
在打開文件時有些限制
連接MySQL資料庫
基於HTTP的認證
在安全模式下，只有在特定目錄中的外部程序才可以被執行，對其它程序的調用將被拒絕。這個目錄可以在PhP.ini 文件中用safe_mode_exec_dir指令，或在編譯PHP是加上--with-exec-dir選項來指定。
當你使用這些函數來執行系統命令時，可以使用escapeshellcmd()和escapeshellarg()函數阻止用戶惡意在系統上執行命令，escapeshellcmd()針對的是執行的系統命令，而escapeshellarg()針對的是執行系統命令的參數。這兩個參數有點類似addslashes()的功能。
2）超時
當執行命令的返回結果非常龐大時，可以需要考慮將返回結果輸出至其他文件，再另行讀取文件，這樣可以顯著提高程序執行的效率。
如果要執行的命令要花費很長的時間，那麼應該把這個命令放到系統的後台去運行。但在默認情況下，象system()等函數要等到這個命令運行完才返回（實際上是在等命令的輸出結果），這肯定會引起PHP腳本的超時。解決的辦法是把命令的輸出重定向到另外一個文件或流中，如：
<?php
system("/usr/local/bin/order_proc > /tmp/abc ");
?>
但我調用的DOS命令需要幾分鍾的時間，而且為了批處理不能簡單的把結果寫入文件了事，要順序執行以下的程序
PHP設置了調用系統命令的時間限制，如果調用命令超時，雖然這個命令還是會被執行完，但PHP沒有得到返回值，被終止了（最可恨的是，不顯示任何錯誤）
修改php.ini並重啟Apache以允許系統命令運行更長的時間
max_execution_time = 600
我的程序是後台運行的，邏輯OK就成了