5_1PH安全及性能优化.ppt

PHP安全及性能优化 本周内容 PHP安全 PHP性能优化 PHP安全 输入验证 跨站点脚本阻止 SQL注入 代码注入 命令注入 Session安全 文件访问安全 沙盒 输入验证 输入验证 正则表达式 Sanitizing 和 Logical过滤器 清理输入字符串 跨站点脚本攻击阻止 拒绝特殊字符 利用HTTP-only Cookie解决XSS 使用filter_xss()阻止跨站点脚本攻击 SQL注入 引号使用 预编译语句 Like使用 SQL错误处理 其它风险 代码注入 路径校验 使用全路径 避免动态路径 验证文件名 其它代码注入风险 命令注入 通过命令注入使资源衰竭 路径使用 隐含威胁 Session安全 服务器端的弱点 URL Session Session鼓动 本地保护机制 服务器端过期机制 加密Session超出 基于IP的验证 文件访问安全 加密读权限 加密写权限 上载文件现值 文件前面 安全模式 PHP编码 根目录管理 沙盒 使用沙盒误导攻击 编译沙盒 IP地址限制 路由信息 PHP性能优化 PHP代码人工优化 使用优化工具优化代码 页面文件压缩输出 Mysql缓存优化配置 数据库优化 PHP代码人工优化（一） 方法可静态化，速率可提升至 4 倍 使用echo而不是print 使用 echo 的多重参数，而不是字符串连接。 便利数组时foreach比while大约快20%-30%左右。 注销那些不用的变量尤其是大数组，以便释放内存。 尽量避免使用 __get，__set，__autoload。 在包含文件时使用完整路径，解析操作系统路径所需的时间会更少。 函数代替正则表达式完成相同功能 PHP代码人工优化（二） 使用选择分支语句（译注：即 switch case）好于使用多个 if，else if 语句。 用 @ 屏蔽错误消息的做法非常低效。 打开 apache 的 mod_deflate 模块。 数据库连接当使用完毕时应关掉。 $row[‘id’] 的效率是 $row[id] 的 7 倍。 错误消息代价昂贵。 尽量不要在 for 循环中使用函数，比如 for($x=0; $x count($array); $x) 每循环一次都会调用 count() 函数。 PHP代码人工优化（三） 在方法中递增局部变量，速度是最快的。几乎与在函数中调用局部变量的速度相当。 递增一个全局变量要比递增一个局部变量慢 2 倍。 递增一个对象属性（如：$this-prop++）要比递增一个局部变量慢 3 倍。 递增一个未预定义的局部变量要比递增一个预定义的局部变量慢 9 至 10 倍。 仅定义一个局部变量而没在函数中调用它，同样会减慢速度（其程度相当于递增一个局部变量）。PHP 大概会检查看是否存在全局变量。 PHP代码人工优化（四） 方法调用看来与类中定义的方法的数量无关，因为我（在测试方法之前和之后都）添加了 10 个方法，但性能上没有变化。 派生类中的方法运行起来要快于在基类中定义的同样的方法。 调用带有一个参数的空函数，其花费的时间相当于执行 7 至 8 次的局部变量递增操作。类似的方法调用所花费的时间接近于 15 次的局部变量递增操作。 用单引号代替双引号来包含字符串，这样做会更快一些。因为 PHP 会在双引号包围的字符串中搜寻变量，单引号则不会。当然，只有当你不需要在字符串中包含变量时才可以这么做。 输出多个字符串时，用逗号代替句点来分隔字符串，速度更快。注意：只有 echo 能这么做，它是一种可以把多个字符串当作参数的“函数”（译注：PHP 手册中说 echo 是语言结构，不是真正的函数，故把函数加上了双引号）。 PHP代码人工优化（五） Apache 解析一个 PHP 脚本的时间要比解析一个静态 HTML 页面慢 2 至 10 倍。尽量多用静态 HTML 页面，少用脚本。 除非脚本可以缓存，否则每次调用时都会重新编译一次。引入一套PHP缓存机制通常可以提升 25% 至 100% 的性能，以免除编译开销。 尽量做缓存，可使用 memcached。memcached 是一款高性能的内存对象缓存系统，可用来加速动态 Web 应用程序，减轻数据库负载。对运算码 (OP code) 的缓存很有用，使得脚本不必为每个请求做重新编译。 并不是事必面向对象 (OOP)，面向对象往往开销很大，每个方法和对象调用都会消耗很多内存。 并非要用类实现所有的数据结构，数组也很有用。 PHP代码人工优化（六） 不要把方法细分得过多，仔细想想你真正打算重用的是哪些代码？ 尽量采用大量的 PHP 内置函数。 如果在代码中存在大量耗时的函数，你可以考虑用 C 扩展的方式实现它们。 评估检验 (profile) 你的代码。检验器会告诉