phppopen

1. php 怎样读取excel表格内容 - 技术问答

常用的用PHP读取EXCEL的方法有以下三种，各自有各自的优缺点。个人推荐用第三种方法，因为它可以跨平台使用。

1. 以.csv格式读取

将.xls转换成.csv的文本格式，然后再用PHP分析这个文件，和PHP分析文本没有什么区别。

优点：跨平台，效率比较高、可以读写。

缺点：只能直接使用.csv的文件，如果经常接受.xls二进制文件的话需要手工转换，不能自动化。一个文件只有一个SHEET。

PHP有自带的分析.csv函数：fgetcsv

array fgetcsv ( int $handle [, int $length [, string $delimiter [, string $enclosure]]] )

handle 一个由 fopen()、popen() 或 fsockopen() 产生的有效文件指针。

length （可选）必须大于 CVS 文件内最长的一行。在 PHP 5 中该参数是可选的。如果忽略（在 PHP 5.0.4 以后的版本中设为 0）该参数的话，那么长度就没有限制，不过可能会影响执行效率。

delimiter （可选）设置字段分界符（只允许一个字符），默认值为逗号。

enclosure （可选）设置字段环绕符（只允许一个字符），默认值为双引号。该参数是在 PHP 4.3.0 中添加的。 和 fgets() 类似，只除了 fgetcsv() 解析读入的行并找出 CSV 格式的字段然后返回一个包含这些字段的数组。

fgetcsv() 出错时返回 FALSE，包括碰到文件结束时。

注意: CSV 文件中的空行将被返回为一个包含有单个 null 字段的数组，不会被当成错误。

当然也可以自己手动分析字符串。

还可以利用fputcsv函数将行格式化为 CSV 并写入文件指针。

2. ODBC链接数据源

优点：支持多种格式，cvs, xls等。支持读写，使用标准sql语言，和SQLSERVER、MYSQL数据库几乎完全一样。

缺点：值支持windows服务器

3. PHP自定义类

优点：跨平台。某些类支持写操作。支持.xls二进制文件

常用的类有phpExcelReader、PHPExcel。其中后者支持读写，但是需要php5.2以上版本。

phpExcelReader是专门用来读取文件的。返回一个数组，包含表格的所有内容。

该 class 使用的方法可以参考网站下载回来的压缩档中的 example.php。

不过我下载回来的 (版本 2009-03-30)，有两点要注意：

reader.php 中的下面这行要修改

将 require_once ‘Spreadsheet/Excel/Reader/OLERead.php’;

改为 require_once ‘oleread.inc’;

example.php 中

修改 $data->setOutputEncoding(’CP1251′);

为 $data->setOutputEncoding(’CP936′);

example2.php 中

修改 nl2br(htmlentities($data->sheets[$sheet]['cells'][$row][$col]));

为 $table_output[$sheet] .= nl2br(htmlspecialchars($data->sheets[$sheet]['cells'][$row][$col]));

不然中文会有问题。

繁体的话可以修改为CP950、日文是CP932，具体可参考codepage说明。

修改 $data->read(’jxlrwtest.xls’) 为自己的 excel 文件名，zip 档中附的 jxlrwtest.xls 应该是坏了。

2. PHP异步处理有哪些方法

客户端与服务器端是通过HTTP协议进行连接通讯，客户端发起请求，服务器端接收到请求后执行处理，并返回处理结果。
有时服务器需要执行很耗时的操作，这个操作的结果并不需要返回给客户端。但因为php是同步执行的，所以客户端需要等待服务处理完才可以进行下一步。
因此对于耗时的操作适合异步执行，服务器接收到请求后，处理完客户端需要的数据就返回，再异步在服务器执行耗时的操作。
1.使用Ajax 与 img 标记
原理，服务器返回的html中插入Ajax 代码或 img 标记，img的src为需要执行的程序。
优点：实现简单，服务端无需执行任何调用
缺点：在执行期间，浏览器会一直处于loading状态，因此这种方法并不算真正的异步调用。

$.get("doRequest.php", { name: "fdipzone"} );
<img src="doRequest.php?name=fdipzone">

2.使用popen
使用popen执行命令，语法：

// popen — 打开进程文件指针
resource popen ( string $command , string $mode )
pclose(popen('php /home/fdipzone/doRequest.php &', 'r'));

优点：执行速度快
缺点：

1）.只能在本机执行
2）.不能传递大量参数
3）.访问量高时会创建很多进程
3.使用curl
设置curl的超时时间 CURLOPT_TIMEOUT 为1 （最小为1），因此客户端需要等待1秒

<?php
$ch = curl_init();
$curl_opt = array(
CURLOPT_URL, 'http://www.example.com/doRequest.php'
CURLOPT_RETURNTRANSFER,1,
CURLOPT_TIMEOUT,1
);
curl_setopt_array($ch, $curl_opt);
curl_exec($ch);
curl_close($ch);
?>

4.使用fsockopen
fsockopen是最好的，缺点是需要自己拼接header部分。

<?php

$url = 'http://www.example.com/doRequest.php';
$param = array(
'name'=>'fdipzone',
'gender'=>'male',
'age'=>30
);

doRequest($url, $param);

function doRequest($url, $param=array()){

$urlinfo = parse_url($url);

$host = $urlinfo['host'];
$path = $urlinfo['path'];
$query = isset($param)? http_build_query($param) : '';

$port = 80;
$errno = 0;
$errstr = '';
$timeout = 10;

$fp = fsockopen($host, $port, $errno, $errstr, $timeout);

$out = "POST ".$path." HTTP/1.1\r\n";
$out .= "host:".$host."\r\n";
$out .= "content-length:".strlen($query)."\r\n";
$out .= "content-type:application/x-www-form-urlencoded\r\n";
$out .= "connection:close\r\n\r\n";
$out .= $query;

fputs($fp, $out);
fclose($fp);
}

?>

注意：当执行过程中，客户端连接断开或连接超时，都会有可能造成执行不完整，因此需要加上

ignore_user_abort(true); // 忽略客户端断开
set_time_limit(0); // 设置执行不超时

3. PHP如何做好最基础的安全防范

PHP如何做好最基础的安全防范

php给了开发者极大的灵活性，但是这也为安全问题带来了潜在的隐患，PHP如何做好最基础的安全防范呢？下面我为大家解答一下，希望能帮到您！

当开发一个互联网服务的时候，必须时刻牢记安全观念，并在开发的代码中体现。PHP脚本语言对安全问题并不关心，特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时，需要特别注意安全问题的考虑，例如开发一个论坛或者是一个购物车等。

安全保护一般性要点

不相信表单

对于一般的javascript前台验证，由于无法得知用户的行为，例如关闭了浏览器的javascript引擎，这样通过POST恶意数据到服务器。需要在服务器端进行验证，对每个php脚本验证传递到的数据，防止XSS攻击和SQL注入。

不相信用户

要假设你的网站接收的每一条数据都是存在恶意代码的，存在隐藏的威胁，要对每一条数据都进行清理

关闭全局变量

在php.ini文件中进行以下配置：

register_globals = Off

如果这个配置选项打开之后，会出现很大的安全隐患。例如有一个process.php的脚本文件，会将接收到的数据插入到数据库，接收用户输入数据的表单可能如下：

< input name="username" type ="text" size = "15" maxlength = "64" >

这样，当提交数据到process.php之后，php会注册一个$username变量，将这个变量数据提交到process.php，同时对于任何POST或GET请求参数，都会设置这样的变量。如果不是显示进行初始化那么就会出现下面的问题：

<?php

// Define $authorized = true only if user is authenticated

if

(authenticated_user()) {

$authorized = true;

}

?>

此处，假设authenticated_user函数就是判断$authorized变量的值，如果开启了register_globals配置，那么任何用户都可以发送一个请求，来设置$authorized变量的值为任意值从而就能绕过这个验证。所有的这些提交数据都应该通过PHP预定义内置的全局数组来获取，包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等，其中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量，默认的顺序是$_COOKIE、$_POST、$_GET。

推荐的安全配置选项

error_reporting设置为Off：不要暴露错误信息给用户，开发的时候可以设置为ON

safe_mode设置为Off

register_globals设置为Off

将以下函数禁用：system、exec、passthru、shell_exec、proc_open、popen

open_basedir设置为 /tmp ，这样可以让session信息有存储权限，同时设置单独的网站根目录expose_php设置为Offallow_url_fopen设置为Offallow_url_include设置为Off

SQL注入攻击

对于操作数据库的SQL语句，需要特别注意安全性，因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子：

$sql ="select * from pinfo where proct = '$proct'";

此时如果用户输入的$proct参数为：'39'; DROP pinfo; SELECT 'FOO

那么最终SQL语句就变成了如下的`样子：

select proct from pinfo where proct = '39';

DROP pinfo;

SELECT 'FOO'

这样就会变成三条SQL语句，会造成pinfo表被删除，这样会造成严重的后果。这个问题可以简单的使用PHP的内置函数解决：

$sql = 'Select * from pinfo where proct = '"' mysql_real_escape_string($proct) . '"';

防止SQL注入攻击需要做好两件事：对输入的参数总是进行类型验证对单引号、双引号、反引号等特殊字符总是使用mysql_real_escape_string函数进行转义但是，这里根据开发经验，不要开启php的Magic Quotes，这个特性在php6中已经废除，总是自己在需要的时候进行转义。

防止基本的XSS攻击

XSS攻击不像其他攻击，这种攻击在客户端进行，最基本的XSS工具就是防止一段javascript脚本在用户待提交的表单页面，将用户提交的数据和cookie偷取过来。XSS工具比SQL注入更加难以防护，各大公司网站都被XSS攻击过，虽然这种攻击与php语言无关，但可以使用php来筛选用户数据达到保护用户数据的目的，这里主要使用的是对用户的数据进行过滤，一般过滤掉HTML标签，特别是a标签。下面是一个普通的过滤方法：

function transform_HTML( $string , $length null) { // Helps prevent XSS attacks

// Remove dead space.

$string = trim( $string );

// Prevent potential Unicode codec problems.

$string = utf8_decode( $string );

// HTMLize HTML-specific characters.

$string = htmlentities( $string , ENT_NOQUOTES);

$string = str_replace ( "#" , "#" , $string );

$string = str_replace ( "%" , "%" , $string );

$length = intval ( $length );

if ( $length > 0) {

$string = substr ( $string , 0, $length );

}return $string ;

}

这个函数将HTML的特殊字符转换为了HTML实体，浏览器在渲染这段文本的时候以纯文本形式显示。如bold会被显示为： BoldText 上述函数的核心就是htmlentities函数，这个函数将html特殊标签转换为html实体字符，这样可以过滤大部分的XSS攻击。但是对于有经验的XSS攻击者，有更加巧妙的办法进行攻击：将他们的恶意代码使用十六进制或者utf-8编码，而不是普通的ASCII文本，例如可以使用下面的方式进行：

这样浏览器渲染的结果其实是：

< a href = "http://host/a.php?variable=" >

< SCRIPT >Dosomethingmalicious

这样就达到了攻击的目的。为了防止这种情况，需要在transform_HTML函数的基础上再将#和%转换为他们对应的实体符号，同时加上了$length参数来限制提交的数据的最大长度。

使用SafeHTML防止XSS攻击

上述关于XSS攻击的防护非常简单，但是不包含用户的所有标记，同时有上百种绕过过滤函数提交javascript代码的方法，也没有办法能完全阻止这个情况。目前，没有一个单一的脚本能保证不被攻击突破，但是总有相对来说防护程度更好的。一共有两个安全防护的方式：白名单和黑名单。其中白名单更加简单和有效。一种白名单解决方案就是SafeHTML，它足够智能能够识别有效的HTML，然后就可以去除任何危险的标签。这个需要基于HTMLSax包来进行解析。安装使用SafeHTML的方法：

1、前往http://pixel-apes.com/safehtml/?page=safehtml 下载最新的SafeHTML

2、将文件放入服务器的classes 目录，这个目录包含所有的SafeHTML和HTMLSax库

3、在自己的脚本中包含SafeHTML类文件

4、建立一个SafeHTML对象

5、使用parse方法进行过滤

<?php/* If you're storing the HTMLSax3.php in the /classes directory, along

with the safehtml.php script, define XML_HTMLSAX3 as a null string. */define(XML_HTMLSAX3, '' );// Include the class file.require_once ( 'classes/safehtml.php' );

// Define some sample bad code.

$data = This data would raise an alert

" ;// Create a safehtml object.$safehtml = new safehtml();// Parse and sanitize the data.$safe_data = $safehtml ->parse( $data );// Display result. echo 'The sanitized data is ' . $safe_data ;

?>

SafeHTML并不能完全防止XSS攻击，只是一个相对复杂的脚本来检验的方式。

使用单向HASH加密方式来保护数据

单向hash加密保证对每个用户的密码都是唯一的，而且不能被破译的，只有最终用户知道密码，系统也是不知道原始密码的。这样的一个好处是在系统被攻击后攻击者也无法知道原始密码数据。加密和Hash是不同的两个过程。与加密不同，Hash是无法被解密的，是单向的；同时两个不同的字符串可能会得到同一个hash值，并不能保证hash值的唯一性。MD5函数处理过的hash值基本不能被破解，但是总是有可能性的，而且网上也有MD5的hash字典。

使用mcrypt加密数据MD5 hash函数可以在可读的表单中显示数据，但是对于存储用户的信用卡信息的时候，需要进行加密处理后存储，并且需要之后进行解密。最好的方法是使用mcrypt模块，这个模块包含了超过30中加密方式来保证只有加密者才能解密数据。

<?php$data = "Stuff you want encrypted" ;

$key = "Secret passphrase used to encrypt your data" ;

$cipher = "MCRYPT_SERPENT_256" $mode = "MCRYPT_MODE_CBC" ;function encrypt( $data, $key , cipher , $mode ) {// Encrypt datareturn (string) base64_encode ( mcrypt_encrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), $data , $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) ) );

}function decrypt( $data , $key ,$cipher , $mode ) {// Decrypt data

return (string) mcrypt_decrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), base64_decode ( $data ), $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) );

}?>

mcrypt函数需要以下信息：

1、待加密数据

2、用来加密和解密数据的key

3、用户选择的加密数据的特定算法（cipher：

如 MCRYPT_TWOFISH192

,MCRYPT_SERPENT_256， MCRYPT_RC2

, MCRYPT_DES

, and MCRYPT_LOKI97

）

4、用来加密的模式

5、加密的种子，用来起始加密过程的数据，是一个额外的二进制数据用来初始化加密算法

6、加密key和种子的长度，使用mcrypt_get_key_size函数和mcrypt_get_block_size函数可以获取如果数据和key都被盗取，那么攻击者可以遍历ciphers寻找开行的方式即可，因此我们需要将加密的key进行MD5一次后保证安全性。同时由于mcrypt函数返回的加密数据是一个二进制数据，这样保存到数据库字段中会引起其他错误，使用了base64encode将这些数据转换为了十六进制数方便保存。

4. php popen函数如何关闭

#打开PHP.INI，找到这行：
#disable_functions
=
#在后面那里加上要禁用的函数，如禁用多个函数，要用半角逗号
,
分开
disable_functions
=
popen

5. 菜鸟求助：PHP中调用系统命令为何有些命令总是失败

PHP执行系统命令（简介及方法）
在PHP中调用外部命令，可以用如下三种方法来实现：
方法一：用PHP提供的专门函数（四个）：
PHP提供4个专门的执行外部命令的函数：exec(), system(), passthru(), shell_exec()
1）exec()
原型: string exec ( string $command [, array &$output [, int &$return_var ]] )
说明: exec执行系统外部命令时不会输出结果，而是返回结果的最后一行。如果想得到结果，可以使用第二个参数，让其输出到指定的数组。此数组一个记录代表输出的一行。即如果输出结果有20行，则这个数组就有20条记录，所以如果需要反复输出调用不同系统外部命令的结果，最好在输出每一条系统外部命令结果时清空这个数组unset($output)，以防混乱。第三个参数用来取得命令执行的状态码，通常执行成功都是返回0。
<?php
exec("dir",$output);
print_r($output);
?>
2）system()
原型: string system ( string $command [, int &$return_var ] )
说明: system和睁和exec的区别在于，system在执行系统外部命令时，直接将结果输出到游览器，如果执行命令成功则返回true，否则返回false。第二个参数与exec第三个参数含义一样。
<?php
system("pwd");
?>
3）passthru()
原型: void passthru ( string $command [, int &$return_var ] )
说明: passthru与system的区别，passthru直接将结果输出到游览器，不返回任何值，且其可以输出二进制，比如图像数据。第二个参数可选，是状态码。
<?php
header("Content-type:image/gif");
passthru("/usr/bin/ppm2tiff /usr/share/tk8.4/demos/images/teapot.ppm");
?>
4）shell_exec()
原型: string shell_exec ( string $cmd )
说明: 直接执行命令$cmd
<?php
$output = shell_exec('ls -lart');
echo "<pre>$output</pre>";
?>
方法二：反撇号
原型: 反撇号`（和~在同一个键）执行系统外部命令
说明: 在使用这种方法执行系统外部命令时，要确保shell_exec函数可用，否则是无法使用这种反撇号执行系统外部命令的。
<?php
echo `dir`;
?>
方法三：用popen()函数打开进程
原型: resource popen ( string $command , string $mode )
说明: 能够和命令进行交互。之前介绍的方法只能简单地执行命令，却不能与命令交互。有时须向命令输入一些东西，如在增加系统用户时，要调用su来把当前用户换到root用户，而su命令必须要在命令行上输入root的密码。这种情况下，用之前提到的方法显然是不行的。
popen( )函数打开一个进程管道来执行给定的命令，返迅粗回一个文件句柄，可以对它读和写。返回值和fopen()函数一样，返回一个文件指针。除非使用的是单一的模式打开(读or写)，否则必须使用pclose()函数关闭。该指针可以被fgets(),fgetss(),fwrite()调用。出错时，返回FALSE。
<?php
error_reporting(E_ALL);
/* Add redirection so we can get stderr. */
$handle = popen('/path/to/executable 2>&1', 'r');
echo "'$handle'; " . gettype($handle) . "\n";
$read = fread($handle, 2096);
echo $read;
pclose($handle);
?>
要考虑两个问题悉昌盯：安全性和超时
1）安全性
由于PHP基本是用于WEB程序开发的，所以安全性成了人们考虑的一个重要方面 。于是PHP的设计者们给PHP加了一个门：安全模式。如果运行在安全模式下，那么PHP脚本中将受 到如下四个方面的限制：
执行外部命令
在打开文件时有些限制
连接MySQL数据库
基于HTTP的认证
在安全模式下，只有在特定目录中的外部程序才可以被执行，对其它程序的调用将被拒绝。这个目录可以在PhP.ini 文件中用safe_mode_exec_dir指令，或在编译PHP是加上--with-exec-dir选项来指定。
当你使用这些函数来执行系统命令时，可以使用escapeshellcmd()和escapeshellarg()函数阻止用户恶意在系统上执行命令，escapeshellcmd()针对的是执行的系统命令，而escapeshellarg()针对的是执行系统命令的参数。这两个参数有点类似addslashes()的功能。
2）超时
当执行命令的返回结果非常庞大时，可以需要考虑将返回结果输出至其他文件，再另行读取文件，这样可以显着提高程序执行的效率。
如果要执行的命令要花费很长的时间，那么应该把这个命令放到系统的后台去运行。但在默认情况下，象system()等函数要等到这个命令运行完才返回（实际上是在等命令的输出结果），这肯定会引起PHP脚本的超时。解决的办法是把命令的输出重定向到另外一个文件或流中，如：
<?php
system("/usr/local/bin/order_proc > /tmp/abc ");
?>
但我调用的DOS命令需要几分钟的时间，而且为了批处理不能简单的把结果写入文件了事，要顺序执行以下的程序
PHP设置了调用系统命令的时间限制，如果调用命令超时，虽然这个命令还是会被执行完，但PHP没有得到返回值，被终止了（最可恨的是，不显示任何错误）
修改php.ini并重启Apache以允许系统命令运行更长的时间
max_execution_time = 600
我的程序是后台运行的，逻辑OK就成了