PHP中文网

规则 1：绝不要信任外部数据或输入

关于 Web 应用程序安全性，必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前，来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。

例如，下面的数据元素可以被认为是安全的，因为它们是在 PHP 中设置的。 阅读全文

strip_tags

去掉 HTML 及 PHP 的标记。

语法: string strip_tags(string str);

传回值: 字串

函式种类: 资料处理 阅读全文

unix下安装PHP的module，需要重新编译PHP，Windows下安装模板，只需将php.ini里的配置打开相应的dll就可，例如，需要加入gb库的支持，需要如下设置：
extension_dir = “C:/ipaddr/php/extensions/”
(注意，建议写全地址，并且后面加上/，很多时候是因为这里设置不对，才导致无法加载其它模块的dll的)
再打开
extension=php_gd2.dll
但如果是安装iconv.dll，按上面方法，打开php_iconv.dll后，还是无法开启iconv模块，需要如下配置：
a.上iconv的官方下载站点
http://ftp.gnu.org/pub/gnu/libiconv/
下面Windows版的iconv文件：libiconv-1.9.1.bin.woe32.zip
将这文件解压，将bin/下面的charset.dll，iconv.dll，iconv.exe拷贝到c:/windows/ (或其它的系统PATH中)
(ipaddr提醒你，这步是必须的，php_iconv.dll也是调用GNU的iconv库的，所以，先要安装GNU的iconv库) 阅读全文

今天在测试 SAE （Sina App Engine） 的Memcache Wrapper 时发现，PHP会在同一个页面的执行过程中对文件的元信息进行缓存。

根据PHP文档对 clearstatcache() 这个方法的说明得知：
在使用 stat(), lstat(), file_exists(), is_writable(), is_readable(), is_executable(), is_file(), is_dir(), is_link(), filectime(), fileatime(), filemtime(), fileinode(), filegroup(), fileowner(), filesize(), filetype(), 或 fileperms() 方法查询文件信息时，PHP会将文件的stat的缓存以提高性能。 clearstatcache()方法可以用来清除这个缓存。另外unlink()会自动清除stat缓存。

例如以下一段程序： 阅读全文