PHP Session可能会引起并发问题 PHP Session可能会引起并发问题　在进行Web应用程序开发的时候，人们经常会用Session存储数据。但可能有人不知道，在PHP中，Session使用不当可能会引起并发问题。印度医疗行业软件解决方案提供商Plus91 Technologies高级工程师Kishan Gor在个人博客上对这个问题进行了阐释。　　如果同一个客户端并发发送多个请求，而每个请求都使用了Session，那么PHP Session锁的存在会导致服务器串行响应这些请求，而不是并行。这是因为在默认情况下，PHP使用文件存储Session数据。对于每一个新的Session，PHP会创建一个文件，并持续向其中写入数据。所以，每次调用session_start（）方法，就会打开Session文件，并取得文件的独占锁。这样，如果服务器脚本正在处理一个请求，而客户端又发送了一个同样需要使用Session的请求，那么后一个请求会阻塞，直至前一个请求处理完成释放了文件上的独占锁。不过，这只限于来自同一个客户端的多个请求，也就是说，来自一个客户端的请求并不会阻塞另一个客户端的请求。　　　如果脚本很短，这通常没有问题。但如果脚本运行时间比较长，那就可能会产生问题。在现代Web应用程序开发中，有一个非常常见的情况，就是使用AJAX技术在同一个页面内发送多个请求获取数据。如果这些请求都需要使用Session，那么第一个请求到达服务器后会取得Session锁，其它请求就必须等待，所有请求将串行处理，即使它们彼此之间并没有依赖关系。这将大大增加页面的响应时间。　有一个方法可以避免这个问题，就是在使用完Session以后立即调用session_write_close（）方法关闭Session。这样Session锁就会释放，即使当前脚本还在等在处理。需要注意的是，调用该方法后，当前脚本就不能进一步操作Session了。　　需要特别指出的是，本文所陈述的问题和观点只适用于使用session_start（）方法的PHP默认Session管理模式。比如，有用户就指出，如果将应用程序托管在AWS EC2上，并正确配置DynamoDB，Session锁定问题就不会出现。

使用ThinkPHP的Auth类进行权限认证_PHP权限验证例子 使用ThinkPHP的Auth类进行权限认证_PHP权限验证例子Auth 类已经在ThinkPHP代码仓库中存在很久了、但是因为一直没有出过它的教程、 很少人知道它、 它其实比RBAC更方便RBAC是按节点进行认证的、如果要控制比节点更细的权限就有点困难了、比如页面上面的操作按钮、 我想判断用户权限来显示这个按钮如果没有权限就不会显示这个按钮； 再比如我想按积分进行权限认证、 积分在0-100时能干什么、 在101-200时能干什么、 这些权限认证用RABC都很困难下面介绍 Auth权限认证、 它几乎是全能的、 除了能进行节点认证、 上面说的RABC很难认证的两种情况、它都能实现Auth权限认证是按规则进行认证、我先说说它的原理、 在数据库中我们有 规则表（think_auth_rule）用户组表(think_auth_group)、用户组明显表（think_auth_group_access）我们在规则表中定义权限规则 、 在用户组表中定义每个用户组有哪些权限规则、在用户组明显表中 定义用户所属的用户组、 下面举例说明我们要判断用户是否有显示一个操作按钮的权限、 首先定义一个规则、 在规则表中添加一个名为 show_button 的规则然后在用户组表添加一个用户组、定义这个用户组有show_button 的权限规则（think_auth_group表中rules字段存得时规则ID、多个以逗号隔开）然后在用户组明细表定义 UID 为1 的用户 属于刚才这个的这个用户组ok、表数据定义好后、 判断权限很简单import(´ORG.Util.Auth´);//加载类库 $auth=new Auth(); //第一个参数是规则名称,第二个参数是用户UID if($auth->check(´show_button´,1)){ //有显示操作按钮的权限 }else{ //没有显示操作按钮的权限 }Auth类同样可以做像RBAC一样的对节点进行认证、 我们只要将规则名称、定义为节点名称就行了和RABC一样 在公共控制器CommonAction 中定义_initialize 方法<?php class CommonAction extends Action{ public function _initialize(){ import(´ORG.Util.Auth´);//加载类库 $auth=new Auth(); if(!$auth->check(MODULE_NAME.´-´.ACTION_NAME,session(´uid´))){ $this->error(´你没有权限´); } } ?>这时候我们可以在数据库中添加的节点规则、 格式为： “控制器名称-方法名称”Auth 类 还可以多个规则一起认证 如：$auth->check(´rule1,rule2´,uid);表示认证用户只要有rule1的权限或rule2的权限、只要有一个规则的权限、认证返回结果就为true 即认证通过默认多个权限的关系是 “or” 关系、也就是说多个权限中、只要有个权限通过则通过、 我们也可以定义为 “and” 关系$auth->check(´rule1,rule2´,uid,´and´);第三个参数指定为”and” 表示多个规则以and关系进行认证、 这时候多个规则同时通过认证 才有权限只要一个规则没有权限则就会返回false、Auth认证、一个用户可以属于多个用户组比如我们对 show_button这个规则进行认证、 用户A 同时属于 用户组1 和用户组2 两个用户组用户组1 没有show_button 规则权限、 但如果用户组2 有show_button 规则权限、则一样会权限认证通过$auth->getGroups(uid)通过上面代码、可以获得用户所属的所有用户组、方便我们在网站上面显示、Auth类还可以按用户属性进行判断权限、 比如 按照用户积分进行判断假设我们的用户表 (think_members) 有字段 score 记录了用户积分、我在规则表添加规则时、定义规则表的condition 字段、condition字段是规则条件、默认为空 表示没有附加条件用户组中只有规则 就通过认证、 如果定义了 condition字段、 用户组中有规则 不一定能通过认证程序还会判断是否满足 附加条件、 比如我们添加几条规则：name字段： grade1 , condition字段： {score}<100name字段： grade2, condition字段： {score}>100 and {score}<200name 字段: grade3, condition字段 : {score}>200 and {score}<300那么这时候$auth->check(‘grade1′,uid) 是判断用户积分是不是0-100 $auth->check(‘grade2′,uid) 判断用户积分是不是在100-200 $auth->check(‘grade3′,uid) 判断用户积分是不是在200-300Auth 类认证的使用方法 大致如上、是否有点相见恨晚的感觉？在使用Auth类前需要配置config.php´AUTH_CONFIG´=>array( ´AUTH_ON´ => true, //认证开关 ´AUTH_TYPE´ => 1, // 认证方式，1为时时认证；2为登录认证。 ´AUTH_GROUP´ => ´think_auth_group´, //用户组数据表名 ´AUTH_GROUP_ACCESS´ => ´think_auth_group_access´, //用户组明细表 ´AUTH_RULE´ => ´think_auth_rule´, //权限规则表 ´AUTH_USER´ => ´think_members´//用户信息表 )需要导入数据库-- ---------------------------- -- think_auth_rule，规则表， -- id:主键，name：规则唯一标识, title：规则中文名称 status 状态：为1正常，为0禁用 --condition：规则表达式，为空表示存在就验证，不为空表示按照条件验证 -- ---------------------------- DROP TABLE IF EXISTS `think_auth_rule`; CREATE TABLE `think_auth_rule` ( `id` mediumint(8) UNSIGNED NOT NULL AUTO_INCREMENT, `name` CHAR(80) NOT NULL DEFAULT '', `title` CHAR(20) NOT NULL DEFAULT '', `status` tinyint(1) NOT NULL DEFAULT '1', `condition` CHAR(100) NOT NULL DEFAULT '', PRIMARY KEY (`id`), UNIQUE KEY `name` (`name`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8; -- ---------------------------- -- think_auth_group 用户组表， -- id：主键， title:用户组中文名称， rules：用户组拥有的规则id --多个规则","隔开，status 状态：为1正常，为0禁用 -- ---------------------------- DROP TABLE IF EXISTS `think_auth_group`; CREATE TABLE `think_auth_group` ( `id` mediumint(8) UNSIGNED NOT NULL AUTO_INCREMENT, `title` CHAR(100) NOT NULL DEFAULT '', `status` tinyint(1) NOT NULL DEFAULT '1', `rules` CHAR(80) NOT NULL DEFAULT '', PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8; -- ---------------------------- -- think_auth_group_access 用户组明细表 -- uid:用户id，group_id：用户组id -- ---------------------------- DROP TABLE IF EXISTS `think_auth_group_access`; CREATE TABLE `think_auth_group_access` ( `uid` mediumint(8) UNSIGNED NOT NULL, `group_id` mediumint(8) UNSIGNED NOT NULL, UNIQUE KEY `uid_group_id` (`uid`,`group_id`), KEY `uid` (`uid`), KEY `group_id` (`group_id`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8;最后需要下载Auth类文件到你的项目中， Auth类在ThinkPHP代码仓库中的位置在https://github.com/liu21st/extend/blob/master/Extend/Library/ORG/Util/Auth.class.php如果大家有问题想要问我的话、可以给我留言 http://www.dwtedx.com/message_1.html

如何实现RESTful Web API的身份验证 如何实现RESTful Web API的身份验证最近想拿一个小项目来试水RESTful Web API，项目只有几个调用，比较简单，但同样需要身份验证，如果是传统的网站的话，那不用说，肯定是用户名+密码在登录页获得登录Token，并把登录Token记在Cookie和Session中作为身份标识的这种方式，但现在不同了，关键是RESTful，这意味着我们设计出来的这些API是无状态的（Stateless），下一次的调用请求和这一次的调用请求应该是完全无关的，也就是说，正宗的RESTful Web API应该是每次调用都应该包含了完整的信息，没错，包括身份信息！那如何确保安全？传输时给密码做MD5加密？得了吧！这样做只能让你自己感觉“安全”点，其实没什么任何用处，利用现在的技术（有种叫什么Rainbow Table啥的来着？本人外行，不是很懂）很快就能算出明文密码了，而且如何防止挟持和重发攻击？也许你想到了，SSL，如果你打算采用SSL，请忘记一切自行设计的加密方案，因为SSL已经帮你做好了一切，包括防止监听，防止挟持，防止重发……一切都帮你考虑好了，你大胆地把明文密码写在你的包中就OK了，我向你保证没问题。但SSL的缺点是服务器端配置相对有点复杂，更关键的就是客户端对此支持可能不好，那你考虑一种自己的加密方法，有木有？我这里提供一种方法，思路来自于：http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/，我只是把上面的内容中整理了一下变成了我的方法。（传说中的剽窃？呵呵）方法描述如下：假设有一个用户，用户名是guogangj，密码是123456（呃……这也能叫密码？）他要GET http://test.com/api/orders/于是把 http://test.com/api/orders/这个URL和一个新生成的GUID拼在一起，再用123456这个密码执行对称加密，生成的密文为XXXXOOOOXXXXOOOO（假设而已）数据包中带上用户名guogangj和XXXXOOOOXXXXOOOO这个密文，发送给服务器服务器收到包后，根据guogangj这个用户名到数据库中查找到123456这个密码服务器使用123456这个密码来解密XXXXOOOOXXXXOOOO这个密文，得到了明文，即http://test.com/api/orders/这个URL和前面由客户端生成的那个GUID服务器到一个全局的集合中查找这个GUID，看看是否已经存在，如果存在，则验证不通过，如果不存在，就将其放入这个集合中。这是为了避免重发攻击。这个全局的集合会越来越大，所以还要定期清理。服务器再比对解密出来的URL和用户真实请求的URL是否一致，如果一致，那么认为这是合法用户，验证通过！这是大致过程，如果数据库里找不到该用户，或者解密错误，都被认为验证不通过。以下是一些改进：数据库中的密码最好做一下摘要（MD5之类的），客户端对应地也要做一下。在生成密文的时候可以考虑加入另外一些不希望被明文传输的敏感内容，甚至可以加入IP地址，并在服务器端验证。并非每次都要真正去数据库里拿一次用户信息，也许你有更好的办法，比如一个简单的缓存（不过需要处理缓存更新的问题），或者当你的系统大到一定程度的时候，你考虑使用统一的服务来获取用户信息，这就不是缓存那么简单了，里面的文章很多，我相信现在大规模的门户网站都有自己的一套复杂的机制，所以表明上看RESTful Web API很“低效”，但这种RESTFul的思路和模式却在实际中有很大的可塑性和威力。这种方法应该足够安全了！密码根本没有在网络上传输，密文采用的是非验证的对称加密，没有密钥就无法逆转，URL验证避免了传统的身份挟持攻击（即拦截一个用户的包并冒充此用户来访问其它的资源，即便无法破解用户密码）， 再用GUID来避免了重发攻击，唯一需要担心的是用户泄露了自己的密码。元芳，你怎么看？通过参考网上大神的资料，大致想了下面这种访问控制的办法。1、为每个应用颁发一个账号（user）和密码（password），相当于（公钥和私钥）。2、服务器后台存储该账号和密码（密文存储 MD5加密）3、应用端在通过HTTP请求该接口的时候，需要在HTTP HEADER 附带下面几个字段时间date=unix时间戳签名sign=sign该sign的生成算法是这样的String sign = HTTPMETHOD（GET/POST）+ api_uri（API的访问URI）+date（即上面的UNIX时间戳）+length（发送body的数据长度）+password（后台颁发的密码）sign = MD5(sign)sign = user+":"+sign4、后台服务器在接收到请求后1、比对HTTP头中的时间戳，比对服务器时间，如果超过某个阈值，则拒绝访问，同时返回请校准你的应用时间。2、如果没有超过时间阈值，则从sign中取出user然后在数据库中查找对应的password，然后同样根据上面的sign生成算法，来生成sign进行身份认证，认证成功则执行API，失败则返回认证失败。==============================Lenix 注usernamepassword()urlGUID(随机数）客户端 加密：url+guid 用password执行对称加密=XXXOOOXXXOOO客户端 发送 token=username-XXXOOOXXXOOO 到 服务器服务器解密：服务器收到包后，根据username这个用户名到数据库中查找到password这个密码服务器使用password这个密码来解密XXXXOOOOXXXXOOOO这个密文，得到了明文，即url+guid.服务器到一个全局的集合中查找这个GUID，看看是否已经存在，如果存在，则验证不通过，如果不存在，就将其放入这个集合中服务器再比对解密出来的URL和用户真实请求的URL是否一致，如果一致，那么认为这是合法用户，验证通过！如果数据库里找不到该用户，或者解密错误，都被认为验证不通过。ps 数据库中的密码最好做一下摘要（MD5之类的），客户端对应地也要做一下。

Linux下PHP远程连接Oracle数据库 Linux下PHP远程连接Oracle数据库说明：Web服务器环境：CentOS 5.8 32位+Nginx 1.2.3+Mysql 5.5.27+php 5.3.16Web服务器IP：192.168.21.149php源码编译目录：/usr/local/src/php-5.3.16php安装目录：/usr/local/php5Nginx站点根目录：/usr/local/nginx/htmlOracle数据库服务器IP：192.168.21.130 开启1521端口，允许远程连接数据库系统运维 www.osyunwei.com 温馨提醒：qihang01原创内容版权所有,转载请注明出处及原文链接数据库版本：Oracle 11gR1_database_111070 数据库名称：orcl 数据库账号：system 数据库密码：123456PHP连接Oracle用到OCI包，需要在Web服务器上安装oracle-instantclien，使PHP支持Oracle扩展包OCI一、下载oracle-instantclienhttp://download.oracle.com/otn/linux/instantclient/111070/oracle-instantclient11.1-basic-11.1.0.7.0-1.i386.rpmhttp://download.oracle.com/otn/linux/instantclient/111070/oracle-instantclient11.1-devel-11.1.0.7.0-1.i386.rpm备注：需要注册登录之后才能下载（如果Web服务器是64位，需要下载相应的64位包）注意：下载的包要与Oracle数据库版本一致！二、安装oracle-instantclien把上一步中下载好的文件上传到Web服务器/usr/local/src/目录中，在当前目录下执行以下命令rpm -Uvh oracle-instantclient11.1-basic-11.1.0.7.0-1.i386.rpm #安装rpm -Uvh oracle-instantclient11.1-devel-11.1.0.7.0-1.i386.rpm #安装cd /usr/lib/oracle #看到安装的库文件三、重新编译php，添加OCI扩展cd /usr/local/src/php-5.3.16 #进入php源码编译目录cd ext/oci8 #进入ext目录下的oci8目录/usr/local/php5/bin/phpize #用phpize生成configure配置文件./configure --with-php-config=/usr/local/php5/bin/php-config --withoci8=share,instantclient,/usr/lib/oracle/11.1/client/lib #配置系统运维 www.osyunwei.com 温馨提醒：qihang01原创内容版权所有,转载请注明出处及原文链接make #编译make install #安装四、配置php支持OCI扩展vi /etc/php.ini #编辑，在最后一行添加extension="oci8.so":wq! #保存退出五、测试cd /usr/local/nginx/html #进入站点根目录vi oracle.php #编辑，输入以下内容<?php$conn = OCILogon('system','123456','192.168.21.130/orcl');if (!$conn) {$Error = oci_error();print htmlentities($Error['message']);exit;}else{echo "Connected Oracle Successd!";ocilogoff($conn);}?>:wq! #保存退出service nginx restart #重启nginxservice php-fpm restart #重启php-fpm浏览器打开oracle.php，出现下面的界面，说明连接成功！connected Oracle Successd!可以在新建一个文件vi index.php #编辑以下内容<?phpphpinfo();?>:wq! #保存在浏览器中打开，能找到oci8，说明配置成功，如下图所示系统运维 www.osyunwei.com 温馨提醒：qihang01原创内容版权所有,转载请注明出处及原文链接至此，Linux下PHP远程连接Oracle数据库完成。

20个国外最优秀的PHP框架 每一个开发者都知道，拥有一个强大的框架可以让开发工作变得更加快捷、安全和有效。在开发项目之前选择一款合适的框架可以为今后奠定厚实的基础，下面这20个PHP框架你可以有选择的使用，一定会帮助到你的。1、LaravelLaravel是一款免费并且开源的PHP应用框架，它是为开发基于MVC的WEB应用而设计的，个人觉得，Laravel是2014年最棒的PHP框架了，它可以帮助你创建一些很酷的WEB应用，而且可以轻松地使用权限验证、URL路由、Session以及缓存等功能。官方网站：http://laravel.com/2、PhalconPhalcon是运行速度最快的一个PHP框架，它的底层是用C实现的，但是上层提供一些PHP扩展，Phalcon作为一款PHP框架以高性能和低消耗著称。尽管它用C语言实现，但是我们并不需要使用C语言，你只要会PHP就可以使用它了。官方网站：http://phalconphp.com/en/3、SymfonySymfony是一款为Web项目准备的PHP框架，它可以帮助你加速创建和维护PHP应用。Symfony可以帮助你省去很多重复的编码工作，让你的工作重心转移到设计和控制上面来。Symfony是一款可重用的PHP组件，它是基于MIT协议的开源软件，很多CMS系统和论坛程序都是基于Symfony开发的，例如Drupal和phpBB。官方网站：http://symfony.com/4、YiiYii是一款快速、安全和专业的PHP框架，同时它也是一款开发WEB 2.0应用的高性能PHP框架，Yii的功能非常强大，内置以下功能：MVC、DAO/ActiveRecord、I18N、权限验证、缓存、安全控制、测试、数据访问对象等。官方网站：http://www.yiiframework.com/5、CodeIgniterCodeIgniter是一款非常敏捷的开源PHP框架，如果你要用PHP开发一个简单而优雅的工具包，那么CodeIgniter就非常合适。官方网站：https://ellislab.com/codeigniter6、CakePHPCakePHP是一款老牌的PHP框架，正因为它的优秀所以也列入了2014年最优秀的PHP框架中，现在稳定版本已经是V3.0了。CakePHP可以帮助你简单、快捷地创建PHP应用程序，并且你可以用很少的代码实现强大的功能。官方网站：http://cakephp.org/7、Aura如果你喜欢用简洁的代码创建应用程序，那么你可以选择使用Aura，Aura也有相当大的一部分用户，使用方法和CakePHP类似，Aura的主要目标是为PHP开发者提供一个高质量、可测试、标准化组件的框架。官方网站：http://auraphp.com/8、Zend Framework前些年我在大型的WEB项目中使用过Zend 1和Zend 2，作为顶尖的PHP框架，Zend确实比较好用，而且文档也和很丰富。我们可以利用Zend创建一些扩展性非常好的PHP应用。官方网站：http://framework.zend.com/9、KohanaKohana是一款敏捷但是功能强大的PHP框架，我们可以用Kohana快速地创建Web应用，因为它有丰富的组件，比如数据访问接口、代码分析、加密和验证等等。官方网站：http://kohanaframework.org/10、Slim frameworkSlim是一款轻量级的PHP框架，作为一个微框架，Slim可以让你简单地创建一些功能强大的应用程序和API接口。Slim有强大的路由功能、自定义视图模板、flash消息、AES-256加密的安全cookies、HTTP缓存、可自定义的日志、异常处理以及调试和简单的配置。官方网站：http://www.slimframework.com/11、Fuel PHPFuel PHP是一款简单、可扩展的PHP框架，基于其他框架的设计理念，Fuel已经是V2.0版本了，目前认识beta版本。Fuel全面支持HMVC，这也是Fuel架构的一部分。另外，Fuel强大的路由功能让你灵活地处理好控制器和视图之间的对应关系。官方网站：http://fuelphp.com/12、FlightFlight是一款扩展性很强的微型PHP框架，Flight可以让你快速创建REST风格的web应用，它需要PHP5.3以上的版本支持，当然Flight也是基于MIT协议开源的。官方网站：http://flightphp.com/13、Medoo我非常喜欢这个微型框架，Medoo是一款最轻量级的PHP框架，可以用它来加速我们的应用开发。它只有13KB的一个文件，学习和使用都非常简单，并且Medoo也是开源的。官方网站：http://medoo.in/14、PHPixiePHPixie是一款轻量级的PHP MVC框架，它非常小巧，而且文档也比较全面，我们只需要做尽可能的配置就可以了。官方网站：http://phpixie.com/15、Pop PHPPop是一款强劲和易学的PHP框架，并且提供很多详细的API接口及其文档，支持PHP5.3及其以上版本。现在，Pop PHP依然保持着轻量级的特点，尽管很多新特性在逐渐加入到Pop中，但它使用起来依然很方便。官方网站：http://www.popphp.org/16、Simple MVC FrameworkSimple MVC Framework的安装及其简单，代码结构也非常简单，很容易学习。我们只需要设置网站路径就可以成功安装它了。在Twitter和Facebook群中也有Simple MVC Framework的讨论区，它是轻量级的，小于1M的大小。官方网站：http://simplemvcframework.com/17、TYPO3 FlowTYPO3是由最大的PHP社区之一的TYPO3管理开发的，也是一个开源的PHP框架。官方网站：http://flow.typo3.org/home18、Nette很受欢迎的PHP开发工具，它的设计理念是尽可能地简单和安全，Nette已经为你考虑了你的网站安全，包括XSS攻击，Session劫持，Session篡改等安全问题。官方网站：http://nette.org/en/19、AgaviAgavi是基于PHP5的PHP MVC框架，它帮助开发者编写简洁的代码，扩展性也非常不错。官方网站：http://www.agavi.org/20、SilexSilex也是一款基于PHP5.3及其以上版本的微型PHP框架，Silex的API使用非常有意思，因为API足够简单明了，利用Pimple的服务，成为一款很棒的第三方扩展应用。