6. 什么是OOP?什么是类和对象？什么是类属性？

OOP(object oriented programming)，即面向对象编程，其中两个最重要的概念就是类和对象。

世间万物都具有自身的属性和方法，通过这些属性和方法可以区分出不同的物质。

属性和方法的集合就形成了类，类是面向对象编程的核心和基础，

通过类就将零散的用于实现某个功能的代码有效地管理起来了。

类只是具备了某些功能和属性的抽象模型，而实际应用中需要一个一个实体，也就是需要对类进行实例化，

类在实例化之后就是对象。★类是对象的抽象概念，对象是类的实例化。

OOP具有三大特点：1. 封装性（又叫做隐藏性）；2. 继承性； 3. 多态性。

OOP的优点：1、代码重用性高（省代码） 2、使程序的可维护性高（扩展性） 3、灵活性

67. 常用的属性的访问修饰符有哪些？分别代表什么含义？

private，protected，public。

类外：public ,var

子类中：public，protected ,var

本类中：private，protected，public ,var

如果不使用这三个关键词，也可以使用var关键字。但是var不可以跟权限修饰词一起使用。var定义的变量,子类中可以访问到，类外也可以访问到，相当于public

类前面：只能加final，abstract

属性前面：必须有访问修饰符（private，protected，public，var）

方法前面：static，final，private，protected，public ，abstract

68. $this和self、parent这三个关键词分别代表什么？在哪些场合下使用？

$this 当前对象

self 当前类

parent 当前类的父类

$this在当前类中使用,使用->调用属性和方法。

self也在当前类中使用，不过需要使用::调用。

parent在类中使用。

69.类中如何定义常量、如何类中调用常量、如何在类外调用常量。

类中的常量也就是成员常量，常量就是不会改变的量，是一个恒值。

定义常量使用关键字const.

例如：const PI=3.1415326;

无论是类内还是类外，常量的访问和变量是不一样的，常量不需要实例化对象，

访问常量的格式都是类名加作用域操作符号（双冒号）来调用。

即：类名 :: 类常量名;

70. 作用域操作符::如何使用？都在哪些场合下使用？

调用类常量

调用静态方法

71. 什么是魔术方法？常用的魔术方法有哪几个？

以__开头的系统自定义的方法。

__construct()

__destruct()

__autoload()

__call()

__tostring()

72. 什么是构造方法和析构方法？

构造方法就是在实例化一个对象的同时自动执行的成员方法，作用就是初始化对象。

php5之前，一个跟类名完全相同的方法是构造方法，php5之后魔术方法__construct()就是构造方法。

如果类中没有定义构造方法，那么php会自动生成一个，这个自动生成的构造方法没有任何参数，

没有任何操作。

构造方法的格式如下：

function __construct(){}

或者：function 类名(){}

构造方法可以没有参数，也可以有多个参数。

析构方法的作用和构造方法正好相反，是对象被销毁时被自动调用的，作用是释放内存。

析构方法的定义方法为：__destruct();

因为php具有垃圾回收机制，能自动清除不再使用的对象，释放内存，一般情况下可以不手动创建析构方法。

73. __autoload()方法的工作原理是什么？

使用这个魔术函数的基本条件是类文件的文件名要和类的名字保持一致。

当程序执行到实例化某个类的时候，如果在实例化前没有引入这个类文件，那么就自动执行__autoload()函数。

这个函数会根据实例化的类的名称来查找这个类文件的路径，当判断这个类文件路径下确实存在这个类文件后

就执行include或者require来载入该类，然后程序继续执行，如果这个路径下不存在该文件时就提示错误。

使用自动载入的魔术函数可以不必要写很多个include或者require函数。

74. 什么是抽象类和接口？抽象类和接口有什么不同和相似的地方？

抽象类是一种不能被实例化的类，只能作为其他类的父类来使用。

抽象类是通过关键字 abstract 来声明的。

抽象类与普通类相似，都包含成员变量和成员方法，两者的区别在于，抽象类中至少要包含一个抽象方法，

抽象方法没有方法体，该方法天生就是要被子类重写的。

抽象方法的格式为：abstract function abstractMethod();

因为php中只支持单继承，如果想实现多重继承，就要使用接口。也就是说子类可以实现多个接口。

接口类是通过interface关键字来声明的，接口类中的成员变量和方法都是public的，方法可以不写关键字public，

接口中的方法也是没有方法体。接口中的方法也天生就是要被子类实现的。

抽象类和接口实现的功能十分相似，最大的不同是接口能实现多继承。在应用中选择抽象类还是接口要看具体实现。

子类继承抽象类使用extends，子类实现接口使用implements。

抽象类至少有一个抽象方法吗？？？？？？

答：如果一个类声明成抽象类，里面可以没有抽象方法

如果一个类中有抽象方法，这个类必须是抽象类

75. __call的参数有几个，类型是什么，意义是什么？

魔术方法__call()的作用是当程序调用一个不存在或不可见的成员方法时，php会先调用__call()方法，

将那个不存在的方法的方法名和参数都存储下来。

__call()包含两个参数， 第一个参数是那个不存在的方法的方法名，是个字符串类型；

第二个参数是那个不存在的方法的所有参数，是个数组类型。

本人认为__call()方法的意义更多在于调试，可以定位到错误。同时可以捕捉异常，如果某个方法不存在，

则执行其它可替代方法。

76. smarty模板技术的用途是什么？

为了php与html分开，美工和程序员各司其职，互不干扰。

77. smarty配置主要有哪几项？

1. 引入smarty.class.php;

2. 实例化smarty对象；

3. 重新修改默认的模板路径；

4. 重新修改默认的编译后文件的路径；

5. 重新修改默认的配置文件的路径；

6. 重新修改默认的cache的路径。

7. 可以设置是否开启cache。

8. 可以设置左侧和右侧定界符。

78. smarty在使用过程中需要注意哪些细节？

Smarty是基于MVC概念的一种模板引擎，它将一个页面程序分成了两部分来实现：即视图层和控制层，

也就是说smarty技术将用户UI与php代码分离开。

这样程序员和美工各司其职，互不干扰。

smarty运用过程中要注意以下几个问题：

1.正确配置smarty。主要要实例化smarty对象，配置smarty模板文件的路径；

2.php页面中使用assign赋值 和 display显示页面；

3.smarty模板文件中不允许出现php代码段，所有的注释，变量，函数都要包含在定界符内。

A.{}

B. foreach

C. if else

D. include

E. literal

79. MVC的概念是什么？各层主要做什么工作？

MVC（即模型-视图-控制器）是一种软件设计模式或者说编程思想。

M指Model模型层，V是View视图层（显示层或者用户界面），C是Controller控制器层。

使用mvc的目的是实现M和V分离，从而使得一个程序可以轻松使用不同的用户界面。

在网站开发中，

模型层一般负责对数据库表信息进行增删改查，

视图层负责显示页面内容，

控制器层在M和V之间起到调节作用，控制器层决定调用哪个model类的哪个方法，

执行完毕后由控制器层决定将结果assign到哪个view层。

80. oop中的多态性跟方法重写有什么关系？

答：

81. java语言中方法重写和重载分别代表什么意思？准确说php支持方法的重载吗？很多参考书中提到的php重载实际上该如何正确理解？

答：

php不支持方法的重载，很多书里提到的PHP‘重载’应该是‘重写’

82. final关键字能定义类中的成员属性吗？

答：不能，类的成员属性只能有public ，private ， protected ，var 来定义

83. final关键字定义的类能够被继承吗？

答：final定义的类不能被继承

84. 说说static关键字的使用场合？static能用在class前吗？

static可以跟public，protected，private一起使用吗？构造方法可以是static的吗？

答： static可以在属性和方法前面使用，调用static属性或者方法时，只要将类载入就可用，不用实例化

static不能用在class的前面

static可以跟public，protected，private一起使用，在方法的前面；

▲构造方法不能是static

85. 接口可以实例化吗？抽象类能实例化吗？

答：接口和抽象类都不能被实例化

86. class前面能加访问修饰符吗？如果能加，只能是哪几个访问修饰符？可以是权限访问修饰符public，protected，private吗？

答：class前面可以加final，static；

★class前面不能加public，protected，private

87. 类中属性前可以不加访问修饰符吗？成员变量前的修饰符只能是public，protected，private吗？还可以是哪几个？

答：类中的属性必须加修饰符，除了那3个以外，还可以加var

88. 如果echo一个数组，页面输出什么？echo一个对象呢？print一个数组或者对象呢？

答：页面只能输出“Array”；echo一个对象会出现“Catchable fatal error: Object of class t2 could not be converted to string in G:\php2\t2.php on line 33”

print一个数组时也只是输出“Array”，print一个对象出现“Catchable fatal error: Object of class t2 could not be converted to string in G:\php2\t2.php ”

▲print和echo是一样的

89. __tostring()魔术方法在什么时候被自动执行？ __tostring()魔术方法必须要return返回值吗？

当echo或者print一个对象时，就是自动触发。而且__tostring()必须要返回一个值

90. 什么是抽象方法？

答：在方法前面有abstract，而且方法没有方法体，连“{ }”也不能有

91. 如果一个类中有一个方法是抽象方法，而这个类没有定义成抽象类，会报错吗？

答：会,"Fatal error: Class t2 contains 1 abstract method and must therefore be declared abstract or implement the remaining methods (t2::ee) in"

92. 如果一个类是抽象类，而类中的方法都是非抽象的方法，会报错吗？

答：不会报错，如果一个类是抽象类，其中可以没有抽象方法，但是一个类中有个方法是抽象方法，那么这个类一定是一个抽象类

94. final 关键字的应用应注意的问题？

使用final关键字定义的类，禁止继承。

使用final关键字定义的方法，禁止重写。

95. 如果一个类既要继承一个父类，又要实现多个接口，该如何写？

书写格式例如： class MaleHuman extends Human implements Animal,Life { ... }

96. 什么是单点入口呢？

所谓单点入口就是整个应用程序只有一个入口，所有的实现都通过这个入口来转发，

比如说在上面我们就使用index.php作为程序的单点入口，当然这个是可以由你自己任意控制的。

单点入口有几大好处：

第一、一些系统全局处理的变量，类，方法都可以在这里进行处理。比如说你要对数据进行初步的过滤，你要模拟session处理，你要定义一些全局变量，甚至你要注册一些对象或者变量到注册器里面

第二、程序的架构更加清晰明了。

97. PHP提供了2套正则表达式函数库,分别是哪两套？【

(1) PCRE Perl兼容正则表达式 preg_ 为前缀

(2) POSIX 便携式的操作系统接口 ereg_ 为前缀

98. 正则表达式的组成？

由原子(普通字符，如英文字符)、

元字符(有特殊功用的字符)

模式修正字符

一个正则表达式中，至少包含一个原子

99. 不常用魔术方法的触发时机？

__isset() __unset()的触发时机

__sleep()、 __wakeup() 在对对象进行串行化的时候调用

如果序列化对象的时候，不写__sleep()方法，则所有的成员属性都会被序列化，而定义了__sleep()方法，则只序列化指定数组中的变量。

因此，如果有非常大的对象而并不需要完全储存下来时此函数也很有用。

使用 __sleep 的目的是关闭对象可能具有的任何数据库连接，提交等待中的数据或进行类似的清除任务。此外，如果有非常大的对象而并不需要完全储存下来时此函数也很有用。

使用 __wakeup 的目的是重建在序列化中可能丢失的任何数据库连接以及处理其它重新初始化的任务。

100. OOP的三大特性是什么？

1. 封装性：

也称为信息隐藏，就是将一个类的使用和实现分开，只保留部分接口和方法与外部联系，或者说只公开了一些供开发人员使用的方法。

于是开发人员只需要关注这个类如何使用，而不用去关心其具体的实现过程，这样就能实现MVC分工合作，也能有效避免程序间相互依赖，

实现代码模块间松藕合。

2. 继承性：

就是子类自动继承其父级类中的属性和方法，并可以可以添加新的属性和方法或者对部分属性和方法进行重写。继承增加了代码的可重用性。

php只支持单继承，也就是说一个子类只能有一个父类。

3. 多态性：

子类继承了来自父级类中的属性和方法，并对其中部分方法进行重写。

于是多个子类中虽然都具有同一个方法，但是这些子类实例化的对象调用这些相同的方法后却可以获得完全不同的结果，这种技术就是多态性。

多态性增强了软件的灵活性。

101.常见框架

thinkPHP

yii

ZendFramework

CakePhp

sy

102. 常用魔术方法的触发时机？

1）__autoload() ：当程序实例化某个类，而该类没有在当前文件中被引入。此时会触发执行__autoload()。程序希望通过该方法，自动引入这个类文件。该方法有一个参数，即就是那个忘记引入的类的名称。__autoload()方法的工作原理是什么？当程序执行到实例化某个类的时候，如果在实例化前没有引入这个类文件，那么就自动执行__autoload()函数。这个函数会根据实例化的类的名称来查找这个类文件的路径，当判断这个类文件路径下确实存在这个类文件后，就执行include或者require来载入该类，然后程序继续执行，如果这个路径下不存在该文件时就提示错误。使用自动载入的魔术函数可以不必要写很多个include或者require函数。

2）__construct() ：这个是魔术构造方法。构造方法是实例化对象的时候自动执行的方法，作用就是初始化对象。该方法可以没有参数，也可以有多个参数。如果有参数，那么new这个对象的时候要记得写上相应的参数。在php5以前，没有魔术构造方法，普通构造方法是一个跟类名同名的方法来实现构造的。如果一个类中既写了魔术构造方法，又定义了普通构造方法。那么php5以上版本中，魔术方法起作用，普通构造方法不起作用。反之，在php5以前版本中，不认识魔术构造方法，只是把该方法当做普通的方法。

3）__destruct() ：这个是魔术析构方法。析构方法的作用和构造方法正好相反，是对象被销毁时被自动调用的，作用是释放内存。析构方法没有参数。

4）__call() ：当程序调用一个不存在或不可见的成员方法时，自动触发执行__call()。它有两个参数，分别是未访问到的方法名称和方法的参数。而第二个参数是数组类型。

5）__get() ：当程序调用一个未定义或不可见的成员属性时，自动触发执行__get()。它有一个参数，表示要调用的属性的名称。

6）__set()：当程序试图写入一个不存在或不可见的成员属性时，PHP就会自动执行__set()。它包含两个参数，分别表示属性名称和属性值。

7）__tostring() ：当程序使用echo或print输出对象时，会自动调用该方法。目的是希望通过该方法将对象转化为字符串，再输出。__tostring() 无参数，但是该方法必须有返回值。

8）__clone() ：当程序clone一个对象的时候，能触发__clone()方法，程序希望通过这个魔术方法实现：不仅仅单纯地克隆对象，还需要克隆出来的对象拥有原来对象的所有属性和方法。

103. MVC的概念是什么？

MVC（即模型-视图-控制器）是80年代发明的一种软件设计模式或者说编程思想。

M指模型层，V是指视图层（显示层或者用户界面），C是指控制层。

使用mvc的目的是实现M和V分离，从而使得一个程序可以轻松使用不同的用户界面。

C存在的目的则是在M和V之间起到调节作用，确保M和V的同步，一旦M改变，V应该能同步更新。

将M和V分离，就可以做到同一个网页，在不同节日到来的时候能显示不同的页面风格，这只需要提前制作多个视图层模板页面，

而无需更改M层程序。

MVC做到了编程中的分工合作，代码的可重用性得到最大化体现，程序逻辑更加清晰而富有条理，便于后期维护管理。

104、 访问权限修饰符有哪几种，对比解释

答：1、public 表示公共的，在本类中和子类中以及类外，可以对其调用

2、protected表示受保护的，可以在本类中和子类中调用

3、private表示私有的，只能在本类中调用

4、var，效果等同于public

105、 Class关键词前可以有哪些修饰词

a) Final修饰，表示该类是最终的，无法继承

b) Abstract修饰，表示该类是抽象类

106、 作用域操作符在那些场合下使用

答：作用于操作符的使用场合

a) 本类中：

i. self::类常量

ii. self::静态属性

iii. self::方法() parent::方法()

b) 子类中：

i. parent::类常量

ii. parent::静态属性（public或者protected）

iii. parent::方法()（public或者protected）

c) 类外：

i. 类名::类常量

ii. 类名::静态属性（public）

iii. 类名::静态方法（public）

107、 $this，self, parent分别代表什么？哪些场合下使用

答：$this代表的是当前对象

self代表的是当前的类

parent代表的是当前类的父类

使用场合：

$this只能使用在当前类中，通过$this->可以调用当前类中的属性和方法；

self只能在当前类中使用，通过作用域操作符::访问当前类中的类常量、当前类中的静态属性、当前类中的方法；

parent只能使用在有父类的当前类中，通过作用域操作符::访问父类中的类常量、父类中的静态属性、父类中的方法。

108、 说明是接口、抽象类二者有何相同和不同的地方？

1、接口是帮助php实现功能意义上的多继承的，用interface来声明，其方法没有方法体，使用implemens关键词来实现接口。

接口中只能包含抽象方法和类常量，不可以包含成员属性。

2、抽象类是一种不能被实例化的类，只能作父类，用abstract class来定义，抽象类和普通类可以没有区别，类中可以包含成员属性、类常量、方法。

子类得用extends来继承，而且只能是单继承。

两者相同点是都不可以被实例化，都是需要被继承才可以使用。

两者的最大区别是接口可以实现多继承，而抽象类只能是单继承。

接口中不能包含成员属性，而抽象类中可以有成员属性。

接口中的抽象方法必须是public或者无访问修饰词，接口中的抽象方法不能用abstract来修饰。

抽象类中的方法可以是普通方法，也可以是抽象方法，如果是抽象方法，一定需要使用abstract来修饰。

109、 解释PHP中单例模式？

又叫做单态模式、单元素模式、singleton pattern。

单例模式指在PHP的应用程序的范围内只对指定的类创建一个实例。使用单例模式的类称为单例类。

在php中单例类必须要有一个私有的构造方法，还要有一个私有的魔术克隆方法（该方法体中为空）

和一个私有的静态的成员属性$_instance.

私有构造方法防止除自身以外的类来实例化它。私有的方法体为空的克隆方法防止该类被克隆。

$_instance用来存储被自身实例化后的对象。

还必须要有一个公共的静态的方法getInstance（）。该方法返回已经存储了实例对象的$_instance。

110、 什么是SQL注入？

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。一部分程序员在编写代码的时候，

没有对用户输入数据的合法性进行判断，注入者可以在表单中输入一段数据库查询代码并提交，

程序将提交的信息拼凑生成一个完整sql语句，服务器被欺骗而执行该条恶意的SQL命令。注入者根据程序返回的结果，

成功获取一些敏感数据，甚至控制整个服务器，这就是SQL注入。

111、 如何防止SQL注入？

要对提交的信息进行过滤，对单引号进行转义。

首先可以在php.ini中设置，让所有的单引号在提交后都进行转义。或者使用addslashes().

112、 FCKEditor自动过滤的解决办法？

如果您需要编辑模板页，默认的FCK设置是会去掉<HTML></HTML><BODY></BODY>标签，而且会给你加上<P></P>标签的，如果需要保留的话，只要更改下设置可以了。

在fckconfig.js里面有：FCKConfig.FullPage=false ;

改为：FCKConfig.FullPage=true;

如果想去掉自动添加<P>的代码就可以在这里设置

默认是

FCKConfig.EnterMode='p' ; // p | div | br

FCKConfig.ShiftEnterMode='br' ; // p | div | br

改成

FCKConfig.EnterMode='br' ; // p | div | br

FCKConfig.ShiftEnterMode='p' ; // p | div | br

113、 $_REQUEST、$_GET、$_POST、$_COOKIE 的关系和区别：

1.关系：$_REQUEST包含了$_GET、$_POST、$_COOKIE等的所有内容，是它们的集合体。

2.通过$_REQUEST获取变量值，PHP页面因为不确定它是哪种传值方式，

因此会根据php.ini中的配置来接收值。

php.ini里可以设置，variables_order=“GPC”。其含义是GET,POST,COOKIE.

所以PHP页面会先从$_GET中获取，再从$_POST中获取，然后从$_COOKIE中获取。

新获得的值会覆盖之前获取到的值。

因此从表现形式上看，$_REQUEST最后是获取$_COOKIE中的值，如果$_COOKIE中没有值，

会获取$_POST中的值，如果$_POST没有获取到 ，就去$_GET中获取。

如果$_GET中也没有该值，那么$_REQUEST就返回null。

114、 什么是多条件查询（复合查询），如何实现多条件查询？

如何实现万能查询呢？查询的时候要填写查询条件，这些条件会通过表单进行提交。

首先需要检查提交的条件是否为空。如果不为空，就认为这个值是要被当作条件，

我们就可以使用字符串连接的方式来组合一个sql查询语句。

当执行后获取查询结果。

115. 文件上传需要注意哪些细节？怎么把文件保存到指定目录？怎么避免上传文件重名问题？

1). 首现要在php.ini中开启文件上传；

2). 在php.ini中有一个允许上传的最大值，默认是2MB。必要的时候可以更改；

3). 上传表单一定要记住在form标签中写上enctype="multipart/form-data"；

4). 提交方式 method 必须是 post；

5). 设定 type="file" 的表单控件，并且必须具有name属性值；

6). 为了上传成功，必须保证上传文件的大小是否超标、文件类型是否符合要求，上传后存放的路径是否存在；

7). 表单提交到接收页面，接收页面使用$_FILES来接收上传的文件。

$_FILES是个多维数组。第一维下标是上传控件的name，二维下标分别为name/type/tmp_name/size/error。分别代表

文件名、文件类型、上传到临时目录下的临时文件名、文件大小、是否有错误。

如果是批量上传，那么二维下标就是数组，而并非是字符串。

8). 文件上传后是被放置在服务器端临时路径下，需要使用move_uploaded_file ()函数，才可以将上传后的

文件保存到指定目录。

9). 为了避免上传文件重名，可以通过上传的文件名获取到文件后缀，然后使用时间戳+文件后缀的方式为文件重新命名。

116. 使用GD2库创建图像的步骤？

1). 创建一个画布：

imagecreate();

2). 设置画布背景颜色，使用RGB设置颜色：

imagecolorallocate();

3). 设置文字颜色：

imagecolorallocate();

4). 在画布上书写文字：

imagestring();

5). 以 JPEG 格式将图像输出到浏览器或文件:【根据图片格式不同，函数还可以是imagepng()、imagegif()等】

imagejpeg();

6). 清除图像资源：

imagedestroy();

117. GD2库生成缩略图的步骤是什么？

1). 读取希望生成缩略图的源图像，创建图像对象：【根据图片格式不同，函数也相应不同】

$src_image=imagecreatefromjpeg();

2). 获取原图像的宽度和高度$srcW,$srcH，根据缩放比例计算出新图像的宽度和高度$dstW、$dstH：

3). 创建一个真色彩的图像对象，宽度和高度设置成刚才计算出的宽度和高度：

$dst_image=imagecreatetruecolor($dstW,$dstH);

4). 拷贝图像并调整大小:

imagecopyresized();

5). 将图像输出:【根据图片格式不同，函数也相应不同】

imagejpeg();

6). 清除图像资源(将源图像资源和目标图像资源都清除)

imagedestroy();

118. GD2库给图片增加水印如何做？

1. 添加简单的文本水印：

利用imagestring()函数就可以在图片上写文本水印。

2. 增加一个图形水印：

1). 读取希望增加水印的源图片，创建图像对象：【根据图片格式不同，函数也相应不同】

$image=imagecreatefromjpeg();

2). 创建一个水印图片的图像对象：

$watermark=imagecreatefrompng();

3). 拷贝并合并图像：

imagecopymerge();

4). 将图像输出:【根据图片格式不同，函数也相应不同】

imagejpeg();

5). 清除图像资源(将源图像资源和水印图像资源都清除)

imagedestroy();

119. 什么是事务？什么是回滚？事务的作用是什么？

事务就是组合起来的几个独立的sql操作。如果其中一项失败，那么就让这几个组合起来的sql操作都

回退到未执行状态。这就是事务的回滚。

mysql中MyISAM存储引擎的表不支持事务，只有InnoDB 存储引擎的表才支持事务，为了让事务正常执行，

就需要让参与事务的所有数据表都设置成innoDB类型。

事务被包装在了 BEGIN 和 COMMIT 语句之间。在没有使用 COMMIT 语句的情况下，对数据库的操作不是永久的，

一旦运行了 ROLLBACK，就会被回退。只有执行了COMMIT，数据表中的信息才被改动。

事务的目的就是为了保证数据的完整性。

120. 模拟SESSION机制实现数据库存放会话数据有什么作用？【备用】

如果使用默认的SESSION机制，大家都知道默认的SESSION_ID是存放在COOKIE中，用户的身份是靠SESSION_ID来识别的，

而COOKIE文件是存放在用户浏览器的客户端，这样就会带来一个问题，当用户在办公室选择一些商品到购物车，

在准备下订单付款的时候，用户选择了支付宝在线的支付方式，恰巧办公室的电脑上面没有安装支付宝的数字证书，

而在用户家里的电脑安装过数字证书，所以呢，用户就需要回家去支付。但是回家登录商城之后，

发现购物车中精心挑选的商品都不存在了。这是为什么呢?问题就在家里电脑上的并没有存放SESSION_ID的cookie文件，

因而就无法正确的读取服务器上对应session文件中的数据，所以无法将原来的选择的商品息读取过来。

这样的购物车功能给用户的用户体验式非常糟糕的，所以我们就需要采取模拟SESSION机制使用数据库来存放会话数据。

121. 什么是无限极分类？

要实现无限极分类，数据库建表是关键。

表结构中至少需要三个字段，如果想避免递归循环，那么需要四个字段。

1. id ，当前数据的唯一标识；

2. typename ，类型名称；

3. parentid ， 当前类型的上一层父类型的id；

4. path ， 其中存储当前类型的id和它所有父级类型的id。

这些id之间采用“-”隔开。

5. 当通过以下sql语句就可以实现,相同顶级类下的信息都在一起集中显示。

select * from 表名 where 条件 order by path;

122. 分页原理是什么？

数据分页需要以下几个条件：

1. 参与分页的总条数 【$msg_count】 ，该值通过数据库查询可以获取到;

2. 每页显示的条数【$pagesize】 ，这个数值由自己定义;

3. 当前页的页码数 【$page】，该数值通过地址栏传递和接收；

4. 可以通过以上资料计算出总页数 【$pagecount】 ，此处需要借助ceil();

【$pagecount=ceil($msg_count/$pagesize);】

5. 数据库查询借助sql语句中的【limit】来实现数据的变化：

例如：

select * from 表名 where 条件 limit $startnum , $pagesize;

而$startnum=($page-1)*$pagesize;

123、 如何在smarty模板语言中使用php代码？

借助于两个smarty内建函数。

1. inluce_php 函数用于在模板中包含 php 脚本。例如：

{include_php file="test.php"}

2. php 标签允许在模板中直接嵌入 php 脚本。例如：

{php}

echo "这个是php内建函数的作用";

{/php}

124、 请列出至少五个smarty中的变量调节符并说明功能？

default 例如：{$arr|default:’xxxx’} ，默认变量调节器，当变量为空时显示给定的默认值；

truncate 例如：{$articleTitle|truncate:10} ， 切割字符串长度为指定的长度；

count_characters 例如：{$articleTitle|count_characters} ，获取字符串长度；

strip_tags 例如： {$articleTitle|strip_tags} ，去除字符串中的所有html标签；

date_format 例如：{$smarty.now|date_format(‘’)} ，格式化时间戳。

125、 写程序实现如下功能：

a.如何判断一个字符串中是否存在一个字符？

echo strstr('abcdefgcd' , 'cd');

echo strpos('ab0defgcd' , 'cd');

b.如何判断一个字符串中一个字符出现的次数？

echo substr_count('abcdefgcd' , 'cd');

c.如何去掉一个字符串的最后一个字符

echo substr('abcdefgcd' , 0 , -1);

126、 如何使用smarty的缓存、步骤？什么叫单模板多缓存？

如果给整个网站开启缓存，那么$smarty->caching=1,此时缓存的时间为smarty.class.php中默认的时间，也就是3600秒。

如果对每一个页面独立设置缓存，那么$smarty->caching=2 ，缓存时间就会跟display的参数模板页相挂钩，也就是可以实现对每个模板页设置不同的缓存时间。

用法例如：

if(!$smarty->is_cached('index.html')) {

//此处可以执行数据库操作

$smarty->cache_lifetime=3600*6;

}

$smarty->display('index.html');

对于例如新闻单条这样的页面，新闻的模板都是一个，如果开启缓存，那么所有的新闻单页的缓存都是一个，根本不会随着id的变化而变换内容。所以为了区分不同的页面缓存，需要使用单模板多缓存技术。具体做法是以id作为display的第二个参数来实现。此外对于具有分页的列表页，也必须在display中使用第二个参数，可以使用新闻类型id和当前页面合并成第二个参数。

127、 写一个递归函数完成以下功能：向函数中传一个多维数组，对数组中所有的值做判断

，如果值是’number’则设置该值为0？(提示：该题考的是递归的应用，因为传入的数组不确定是多少维的，所以需要递归判断)

function recursive_array($arr) {

if(is_array($arr)) {

foreach($arr as $key=>$value) {

if(is_array($value)) {

$arr[$key]=recursive_array($value);

} else {

if($value=='number') {

$arr[$key]='0'; }

}

}

}

return $arr;

}

128、 使用jquery写一个全选的例子？

//全选与取消全选

function selectAll(flag) {

for(var i=0; i<$("#fonds input").size(); i++) {

$("#fonds input").get(i).checked=flag;

}

}

//判断复选框已经被勾选了多少个？

function checkFonds() {

var count=0;

for(var i=0; i<$("#fonds input").size(); i++) {

if($("#fonds input").get(i).checked==true) {

count++;

}

}

alert(count);

}

//利用后代选择器和get()来获取指定的控件

$(“div a”).get(2)

129、 请说明smarty中fetch方法的功能？

Fetch方法可以获取到页面所有的内容，并且赋值到一个变量中。

如果第四个参数为true，则等同于display，直接输出到浏览器中。

如果第四个参数为false，则不输出。

Display方法就是第四个参数为true的fetch方法。

Display=Fetch() + echo()

130、 写出关于文件上传的相关函数？

strrchr($filename , '.');

explode('.' , $filename);

end($arr);

strrpos($filename , '.');

substr($filename , $pos+1);

pathinfo($filename , PATHINFO_EXTENSION);

date(‘YmdHis’)

time()

rand();

mt_rand()

move_uploaded_file()

131、 如何将SESSION存放在数据库中,可以结合数据表设计说明.

默认情况下php.ini中session.save_handler=files，也就是session是以文件形 式存储的。

如果想更改为数据库或其它存储方式，那么需要更改设置，让 session.save_handler=user。

除了在php.ini中配置外，还可以在PHP页面中单独配置，用

ini_set ('session.save_handler, 'user')来设置session的存储方式，设置为用户自定义存储方式。

设置好存储方式后，需要使用session_set_save_handler()函数。

该函数是设置用户级别的session保存过程的函数。该函数有6个参数，这6个参数其实是6个自定义函数的名称，分别代表对session的开启，关闭，读，写 ，销毁，gc（垃圾回收）。

示例代码如下：

function open () { }

function close() { }

function read () { }

function write () {}

function destroy () {}

function gc () {}

session_set_save_handler ("open", "close", "read", "write", "destroy", "gc");

session_start();

现在你就可以象往常一样地使用session了。

数据库结构如下：

Session_id ， session_value ,expire_time , 分别存储sessionid的id和值以及失效时间。

132、 常用的正则表达式写法：

中文：/^[\u4E00-\u9FA5]+$/

手机号码：/^(86)?0?1\d{10}$/

EMAIL：

/^[\w-]+[\w-.]?@[\w-]+\.{1}[A-Za-z]{2,5}$/

密码（安全级别中）：

/^(\d+[A-Za-z]\w*|[A-Za-z]+\d\w*)$/

密码（安全级别高）：

/^(\d+[a-zA-Z~!@#$%^&(){}][\w~!@#$%^&(){}]*|[a-zA-Z~!@#$%^&(){}]+\d[\w~!@#$%^&(){}]*)$/

习CSS注入的目的是学习计算机知识，千万不要做违反法律的事情，不然等待你的是法律的严惩。

CSS仅仅只是一种用来表示样式的语言吗？当然不是！CSS就已被安全研究人员运用于渗透测试当中。使用属性选择器和iFrame，并通过CSS注入来窃取敏感数据的方法。但由于该方法需要iFrame，而大多数主流站点都不允许该操作，因此这种攻击方法并不实用。这里为大家详细介绍一种不需要iframe且只需10秒，就能为获得CSRF token的方法。

一、背景

CSS属性选择器开发者可以根据属性标签的值匹配子字符串来选择元素。 这些属性值选择器可以做以下操作：

• 如果字符串以子字符串开头，则匹配
• 如果字符串以子字符串结尾，则匹配
• 如果字符串在任何地方包含子字符串，则匹配

属性选择器能让开发人员查询单个属性的页面HTML标记，并且匹配它们的值。一个实际的用例是将以“https://example.com”开头的所有href属性变为某种特定的颜色。而在实际环境中，一些敏感信息会被存放在HTML标签内。在大多数情况下CSRF token都是以这种方式被存储的：即隐藏表单的属性值中。

可以将CSS选择器与表单中的属性进行匹配，并根据表单是否与起始字符串匹配，加载一个外部资源，例如背景图片，来尝试猜测属性的起始字母。通过这种方式，攻击者可以进行逐字猜解并最终获取到完整的敏感数值。想要解决这个问题受害者可以在其服务器实施内容安全策略（CSP），防止攻击者从外部加载CSS代码。

二、无 iFrames

要做到无iFrame，使用一种方法：创建一个弹窗，然后在设置计时器后更改弹出窗口的位置。使用这种方仍然可以加载受害者的CSS，不再依赖于受害者是否允许iFrame。因为最初的弹出是通过用户事件触发的，没有被浏览器阻止。为了强制重载，在CSS注入间弹出一个虚拟窗口，如下：

但由于CSRF是针对客户端的攻击，因此如果能想出一种不需要服务器的方法，那么就可以节省大量的开销和简化操作。为了接收客户端加载资源，可以利用Service Workers来拦截和读取请求数据。Service Workers目前只适用于同源请求，在演示中受害者和攻击者页面已处于同一源上。

不久后，chrome很可能会合并这个实验性的功能，允许Service Workers拦截跨域请求。这样，就可以确保在客户端的攻击100%的执行，并强制用户在10秒内点击链接执行CSRF攻击，演示如下：

三、Demo

如上所述，因为不想运行一个web服务器，所以使用service workers拦截和模拟服务器端组件。目前，该演示只适用于Chrome浏览器。首先创建了一个易受攻击的目标，它存在一个基于DOM的CSS注入漏洞，并在页面放置了一个敏感token。再对脚本标签添加了一些保护措施，对左尖括号和右尖括号进行了编码。

接下来将强制加载受害者的CSS，并且使用上述方法，可一次窃取（猜解）一个敏感字符。在接收端，定义一个拦截请求的service worker，并通过post-message将它们发送回域，然后将token存储在本地存储中以供后续使用。你也可以想象一个后端Web服务器，通过Web套接字或轮询将CSRF token回发给攻击者域。

如果你的浏览器支持的话，只需点击打开页面任意位置，你将看到CSRF token将逐一被猜解出来。

四、结束语

反射型CSS注入实际上比存储型CSS注入更致命，因为存储型CSS注入需要一个服务器在受害者渲染之前来更新CSS。一段时间以来，CSS注入在严重程度上来回变化。过去IE浏览器是允许用户在CSS中执行Javascript代码的。这个演示也从某种程度上表明了CSS注入，以及渲染不受信任的CSS仍会导致严重的安全问题。所以在设计软件一定要测试，才能及时发现和修复各种漏洞。

果你们公司的业务是用PHP语言开发的，那么使用的环境十有八九就是LNMP，在日常的运维工作中，占到9成以上的故障是遇到性能问题。

你可能会想，我们的业务运行的好好的，为啥平白无故就出现性能问题？原因有太多可能，比如代码改动、异常访问、网络波动、服务器硬件故障等等。

引起性能问题的原因有这么多，那如何定位呢？本章就来给大家介绍一个性能追踪的方法，这个方法在我运维职业生涯里屡试不爽，帮了我不少大忙。

< 1 > PHP-FPM的slow log

如果你所运维的网站或者应用为PHP的，那我相信你一定对LAMP或者LNMP不陌生。我主张使用LNMP，原因无他，就一点 -- 我们可以通过slow log很方便地追踪到问题点。先来看配置方法吧。

1）编辑配置文件（假设php安装路径为/usr/local/php, 配置文件路径/usr/local/php/etc/php-fpm.conf）

# vim /usr/local/php/etc/php-fpm.conf #更改或增加两行内容
slowlog=/data/logs/php-slow.log
request_slowlog_timeout=2

说明：slowlog定义日志路径和名字，request_slowlog_timeout定义超时时间，单位秒，即一个php脚本执行时间超过了该时间，则会记录日志。

2）重启php-fpm服务

具体重启命令，根据你自己的环境来决定。配置文件修改后，不重启或者不重载服务是不生效的。

3）测试

在测试站点里新建一个test.php文件，写入如下内容：

<?php
 echo "1";
 sleep (5);
 echo "2";

然后在浏览器里或者使用curl命令去访问

# curl http://ip/test.php

4）结果分析

访问test.php时，我们能感觉到它短暂卡死，大概5秒后出现结果。此时到/data/logs/php-slow.log里查看，有如下内容：

[pool www] pid 6368
script_filename=/data/wwwroot/aminglinux.cc/test.php
[0x00007ff8c821f090] sleep() /data/wwwroot/aminglinux.cc/test.php:3

这个slow log，不仅可以记录哪一个文件慢，而且也可以记录具体哪一行的什么函数。有了它，一旦网站访问卡顿，我们就非常方便地找到问题点了。

< 2 > 线上生产环境演示案例

问题描述：网站访问变卡顿了，不是不能访问，而是变慢了。

解决过程：

1）登录服务器查看负载，结果不到1，并不高

2）vmstat 1查看发现r列时不时出现不高于5的数字，说明有些进程比较忙

3）用top命令查看，php-fpm进程排在前面

4）查看slow log，结果如下：
[29-1月-2019 16:54:59] [pool www] pid 20287
script_filename=/data/wwwroot/www.example.com/redirect.php
[0x00000000031d83c0] mysql_query() /data/wwwroot/www.example.com/include/db_mysql.class.php:84
[0x00000000031d6bb0] query() /data/wwwroot/www.example.com/redirect.php:105
[29-1月-2019 16:54:59] [pool www] pid 23066
script_filename=/data/wwwroot/www.example.com/redirect.php
[0x000000000319b5a0] mysql_query() /data/wwwroot/www.example.com/include/db_mysql.class.php:84
[0x0000000003199d90] query() /data/wwwroot/www.example.com/redirect.php:122

通过slow log发现是redirect.php里面有查询数据库的操作慢导致网站访问卡顿。所以，还需要登录数据库服务器近一步分析为什么MySQL查询慢，这个就涉及到了MySQL的慢查询日志，具体详细的操作我不再阐述。

< 3 > 使用Xdebug+Webgrind

如果网站跑在了LAMP环境中，就无法使用php-fpm的slow log了，那如何分析瓶颈点？没关系你还可以使用这个Xdebug+Webgrind，其中Xdebug是一个开放源代码的PHP程序调试器(即一个Debug工具)，可以用来跟踪，调试和分析PHP程序的运行状况。Webgrind是一个网页版的性能分析工具，它的主要作用就是分析Xdebug生成的cachegrind文件，以一种界面友好详尽的方式来展示性能数据。

Xdebug安装

Xdebug官方网站：http://xdebug.org/.

1）下载源码

如果你用的PHP版本较高，建议下载最新版本

# wget https://xdebug.org/files/xdebug-2.7.0beta1.tgz
2）编译安装

# tar zxf xdebug-2.7.0beta1.tgz

# cd xdebug-2.7.0beta1

# /usr/local/php-fpm/bin/phpize

# ./configure --with-php-config=/usr/local/php-fpm/bin/php-config

# make && make install

3）配置

# vi /usr/local/php-fpm/etc/php.ini #在最后面增加
[xdebug]
zend_extension=xdebug.so
xdebug.trace_output_dir=/tmp/xdebug
xdebug.profiler_output_dir=/tmp/xdebug
xdebug.profiler_enable=1
xdebug.profiler_enable_trigger=1
4）检查
# /usr/local/php-fpm/bin/php -m |grep -C 1 Xdebug
[Zend Modules]
Xdebug
5）创建Xdebug目录

# mkdir /tmp/xdebug

# chmod 777 !$

6）重启php-fpm或者apache服务

因为修改了php.ini配置文件，需要重启对应的服务，才可以生效，我这里用的是php-fpm

# /etc/init.d/php-fpm restart

Webgrind安装

1）下载

Webgrind官方github地址https://github.com/jokkedk/webgrind

# wget https://codeload.github.com/jokkedk/webgrind/zip/v1.5.0
# mv v1.5.0 webgrind-1.5.0.zip
# unzip webgrind-1.5.0.zip

2）为Webgrind配置站点

Webgrind其实是一个PHP网站程序，需要为其设置一个虚拟主机，我用的是LNMP环境，所以需要配置Nginx, 当然你也可以直接把webgrind程序目录丢到一个站点内，通过二级目录去访问。下面是我的Nginx虚拟主机配置文件内容：

server {

listen 80;

server_name webgrind.aminglinux.cc;

root /data/wwwroot/webgrind;

index index.html index.htm index.php;

location ~ \.php$ {

fastcgi_pass 127.0.0.1:9001;

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME /data/wwwroot/webgrind$fastcgi_script_name;

include fastcgi_params;

}

3）配置webgrind

假如新配置的虚拟主机目录为/data/wwwroot/webgrind

# mv webgrind-1.5.0/* /data/wwwroot/webgrind/

# vim config.php #修改$storeageDir和$profileDir

static $storageDir='/tmp/xdebug';

static $profilerDir='/tmp/xdebug';

4）性能追踪

首先访问要追踪性能的PHP网站，然后查看/tmp/xdebug目录下是否生成文件

# ls /tmp/xdebug/

cachegrind.out.11442 cachegrind.out.11443 cachegrind.out.11443.091dcb

我的已经生成3个文件，然后在浏览器访问即可，不过需要你先选择脚本文件（右上角），点击update之后才会出现分析内容。

5）图形显示

我们还可以把PHP代码中的各个函数调用关系以图形的形式展现出来，这样更加直观。前提是需要python和dot两个工具的支持，python默认机器上自带，但是dot需要安装

# yum install -y graphviz

点击右上角的“show call graph”按钮，就会出现漂亮的调用图

关注微信公众号：安徽思恒信息科技有限公司,了解更多技术内容……