Keep in mind, however, that MD5 hashes have long since been compromised. They’re absolutely more secure than not, but, with the use of an enormous “rainbow table,” hackers can cross reference your hash. To add even more security, consider adding a salt as well. A salt is basically an additional set of characters that you append to the user’s string.

18.使用可视化数据库设计工具
如 DBDesigner 和 MySQL Workbench
19.使用输出缓冲
Rebuttal: Though not required, it’s generally considered to be a good practice to go ahead and append the “ob_end_flush();” function as well to the bottom of the document. P.S. Want to compress the HTML as well? Simply replace “ob_start();” with “ob_start(‘ob_gzhandler’)”;
Refer to this Dev-tips article for more information.

20.保护你的代码避免SQL注射

By using prepared statements, we never embed the user’s inputted data directly into our query. Instead, we use the “bind_param” method to bind the values (and escaping) to the query. Much safer, and, notably, faster when executing multiple CRUD statements at once.

21.尝试ORM　（object relational mapping）
ORM libraries for PHP like Propel, and ORM is built into PHP frameworks like CakePHP.
22.缓存数据库驱动页面
如：

23.使用缓存系统

• Memcached
• APC
• XCache
• Zend Cache
• eAccelerator

24.验证Cookie数据
Cookie data, like any data passed on the Web, can be harmful. You can validate cookie data with either the htmlspecialchars() or mysql_real_escape_string().

25.使用静态文件缓存系统
如Smarty的是一个内置缓存的强大的模板系统。
26.分析你的代码
Profiling your code with a tool like xdebug can help you to quickly spot bottlenecks and other potential problems in your PHP code. Some IDEs like Netbeans have PHP profiling capabilities as well.
27.编码标准
如 Zend 和 Pear标准。

28. Keep Functions Outside of Loops

You take a hit of performance when you include functions inside of loops. The larger the loop that you have, the longer the execution time will take. Take the extra time and line of code and place the function outside of the loop.

Editor’s Note: Think of it this way. Try to remove as many operations from the loop as possible. Do you really need to create that variable for every iteration of the loop? Do you really need to create the function each time? Of course not.

29.不要复制不额外的变量(事实上这一条值得怀疑，见下面的说明）
如：

可以写成如下：

Rebuttal: In reference to the comment about “doubling the memory,” this actually is a common misconception. PHP implements “copy-on-write” memory management. This basically means that you can assign a value to as many variables as you like without having to worry about the data actually being copied. While it’s arguable that the “Good” example exemplified above might make for cleaner code, I highly doubt that it’s any quicker.
也就是说PHP实现“copy-on-write” 的内存管理方式，上面第一种代码并不会存在占用双倍内存的情况。因此Rebuttal严重怀疑第二种方式的代码是否真的比前面的快。

30.更新到最新版本的PHP

31.减少数据库查询次数
32.勇敢地提问
像StackOverflow等都是好去处。

FROM : http://net.tutsplus.com/tutorials/php/30-php-best-practices-for-beginners/

相关日志

• 2011年08月2日 // 10条PHP高级技巧[修正版] (5)
• 2011年08月1日 // 利用PHP实现智能文件类型检测 (3)
• 2011年08月1日 // 8个能有效改善WordPress CMS功能的插件 (3)
• 2011年09月3日 // Markdown 的使用介绍 (0)
• 2011年07月10日 // 给NetBeans IDE 换衣服 (7)
• 2011年07月10日 // 安装PhpDocumentor PEAR包 (1)

在这个例子中，$_GET['name']来自用户提交的数据，既没有进行转义，也没有进行过滤~~

对于转义输出，你要记住用于你程序外部的数据需要被转义，否则，它可能被错误地解析。
相反，过滤输入能确保数据在使用前是正确的.
对于过滤输入，你要记住，在你程序外部的原始数据需要被过滤，因为它们是不可信任的。

如下例子演示了输入过滤和输出转义：

另一个有效防止SQL注射的方法是使用prepare 语句，如：

2.了解比较运算符之间的不同

例如，你使用strpos() 来检测在一个字符串中是否存在一个子串 (如果子串没有找到，函数将返回 FALSE ), 结果可能会导致错误:

上例中，由于子串处于最开始的位置，因此strpos() 函数正确地返回了0，表明子串处于字符串中最开始的位置。然后，因为条件语句会把结果当成Boolean（布尔）类型的，因此　0　就被PHP给计算成了　FALSE，最终导致条件语句判断失败。
当然，这个BUG可以用严格的比较语句来修正：

3.减少else（Shortcut the else）
记住，在你使用变量前总是要先初始化它们。
考虑如下一个用来根据用户名来检测用户是否是管理员的条件语句：

这个看起来似乎足够安全，因为看一眼就很容易理解。想象一下有一个更复杂一点的例子，它为name和email同时设置变量，为方便起见：

因为　$admin 还是明确地被设置为TRUE or FALSE，似乎一切都完好。但是，如果另一个开发者后来在代码里加了一个elseif语句，很可能他会忘记这回事：

如果一个用户提供一个能够触发elseif条件的用户名(username)，　$admin 没有被初始化，这可能会导致不必要的行为，或者更糟糕的情况，一个安全漏洞。另外，一个类似的情况对于 $moderator　变量来说同样存在，它在第一个条件中没有被初始化。

通过初始化$admin 和 $moderator　，这是完全很容易避免这一情况的发生的：

不管剩下的代码是什么，现在已经明确了 $admin 值　为FALSE ，除非它被显式地设置为其它值。对于　$moderator　也是一样的。最坏的可能发生的情况就是，在任何条件下都没有修改$admin 或 $moderator ，导致某个是administrator 或moderator的人没有被当作相应的administrator 或moderator　。

如果你想 shortcut something ,并且你看到我们的例子有包含有else觉得有点失望。我们有一个bonus tip 你可能会感兴趣的。我们并不确定它可以被认为是a shortcut,但是我们希望它仍然是有帮助的。

考虑一下一个用于检测一个用户是否被授权查看一个特定页面的函数：

这个例子是相当的简单，因为只有三条规则需要考虑：
administrators　总是被允许访问的，
处于黑名单的永远是禁止访问的，
isAllowed()决定其它人是否有权访问。
（还有一个特例是：当一个administrator　处于黑名单中，但这似乎是不太可能的事，所以我们这里直接忽视这种情况）。
我们使用函数来做这个判断以保持代码的简洁然后集中注意力到业务逻辑上去。
如：

事实上，你可以精减整个函数到一个复合条件：

最后，这个可以被减少到只有一个return:

如果你的目标是誊清代码的行数，那么这样你做到的。但是，你要注意到，我们在用isBlacklisted(), isAdmin() 和 isAllowed() ，这取决于参与这些判断的东西,减少代码到只剩下一个复合条件可能不吸引人。

这下说到我们的小技巧上了，一个“立即返回”函数，所以，如果你尽快返回，你可以很简单地表达这些规则：

这个例子使用了更多行数的代码，但是它是非常简单和不惹人注意的。更重要的是，这个方法减少了你必需考虑的上下文的数量。例如，一旦你决定了用户是否处于黑名单里面，你就可以安全地忘掉这件事了。特别是你的逻辑很复杂的时候，这是相当的有帮助的。

4. 总是使用大括号
PS:原谅是“扔掉那些方括号　Drop Those Brackets”

根据本文的内容, 我们相应作者的意思应该是 “braces,” 而不是brackets. “Curly brackets” 可能有大括号的意思, 但是”brackets” 通常表示 “方括号”的意思。这个技巧应该被无条件的忽略，因为，没有大括号，可读性和可维护性被破坏了。

举一个简单的例子：

If you’re good enough, smart enough, secure enough, notorious enough, or pitied enough, 你可能会想在5月21号参加社交聚会:

没有大括号，这个简单的条件导致你每天参加社交聚会 。也许你有毅力,因此这个错误是一个受欢迎的。希望那个愚蠢的例子并不分散这一的观点,那就是过度狂欢是一种出人意料的副作用。

为了提倡丢掉大括号，先前的文章使用类似下面的简短的语句作为例子：

因为每个条件被放在单独的一行, 这种错误似乎会较少发生, 但是这将导致另一个问题:代码的不一致和需要更多的时间来阅读和理解。一致性是这样一个重要的特性，以致开发人员经常遵守一个编码标准,即使他们不喜欢编码标准本身。

我们提倡总是使用大括号：

你天天聚会是没关系的,但要保证这是经过思考的,还有，请一定要邀请我们!

5. 尽量用str_replace() 而不是 ereg_replace() 和 preg_replace()
我们讨厌听到的否认的话，但是（原文）这个用于演示误用的小技巧导致了它试图避免的同样的滥用问题。（
We hate to sound disparaging, but this tip demonstrates the sort of misunderstanding that leads to the same misuse it’s trying to prevent.）
很明显字符串函数比正则表达式函数在字符匹配方面更快速高效，但是作者糟糕地试图从失败中得出一个推论：
（FIX ME: It’s an obvious truth that string functions are faster at string matching than regular expression functions, but the author’s attempt to draw a corollary from this fails miserably:）

If you’re using regular expressions, then ereg_replace() and preg_replace() will be much faster than str_replace().

Because str_replace() does not support pattern matching, this statement makes no sense. The choice between string functions and regular expression functions comes down to which is fit for purpose, not which is faster. If you need to match a pattern, use a regular expression function. If you need to match a string, use a string function.

6. 使用三重运算符
三元运算符的好处是值得讨论的. 下面是一行从最近我们进行的审计的代码中取出的：

啊，作者的真实意愿是如果字符串的长度大于0　就转义 $host　，　但是却意外地做了相反的事情。很容易犯的错误是吧？也许吧。在代码审计过程中很容易错过？当然。简洁并不一定能使代码变得很好。

三重运算符对于单行，原型，和模板也行是适合的，但是我们相信一个普通的条件语句总是更好的。PHP是描述性的和详细的，我们认为代码也应该是。

7. Memcached
磁盘访问是慢速的，网络访问也是慢的，数据库通常使用这二者。

内存是很快的。使用本地缓存可以避免网络和磁盘访问的开销。结合这些道理，然后，你想到了memcached，一个“分布式内存对象缓存系统”，最初为基于Perl的博客平台LiveJournal开发的。

如果你的程序不是分布在多个服务器上，你可能并不需要memcached。单的缓存方法——序列化数据然后将它保存在一个临时文件中。例如 – 对每个请求可以消除很多多余的工作。事实上，这是我们考虑帮助我们的客户优化他们的应用程序时，低挂水果的类型。
什么是low-hanging fruit：

A fruit-bearing tree often contains some branches low enough for animals and humans to reach without much effort. The fruit contained on these lower branches may be not be as ripe or attractive as the fruit on higher limbs, but it is usually more abundant and easier to harvest. From this we get the popular expression “low hanging fruit”, which generally means selecting the easiest targets with the least amount of effort.

一种最简易且最通用的将数据缓存在内存的方式是使用APC中的共享类型辅助方法，APC是一个最初由我们的同事George Schlossnagle开发的缓存系统，考虑如下例子：

使用这种类型的缓存，你不必在每一次请求时等待远程服务器发送Feed数据。一些延迟产生了 – 在这个例子中上限是五分钟，但可以根据您的应用程序需要调整到接近实时。

8. 使用框架

所有决定都会有结果的，我们喜欢框架——事实上，CakePHP 和 Solar 的主要开发者和我们一起在　OmniTI　工作——　但是使用一个框架并不会奇迹般地使你在做的东西变得更好。

在十月份，我们的同事Paul Jones为HP Advent写一了篇文章，叫做The Framework as Franchise ,在文章中他将框架与商业专营权相比较。他引用 Michael Gerber “电子神话再现”（”The E-Myth Revisited”）　一书中的建议：
　　格柏指出，运行一个成功的企业，企业家需要像他将要卖掉他的企业作为一个特许经营权的原型一样行动。这是企业拥有者可以不亲自参与每一项决策使企业运营的唯一方法。
（ Gerber notes that to run a successful business, the entrepreneur needs to act as if he is going to sell his business as a franchise prototype. It is the only way the business owner can make the business operate without him being personally involved in every decision.）

这是一个好的建议。无论你是打算使用框架或者定义你自己的标签和惯例，从未来开发者的角度来看价值是很重要的。

虽然我们很乐意给你一个放之四海而皆准的真理，延伸这个想法来表明一个框架总是合适的，并不是我们想做的事情。
如果你问我们是否应该使用一个框架，我们可以给出的最好的答案是，“这要看情况。”
9. 正确的使用错误抑制操作符

总是试着避免使用错误抑制操作符号。在前面的文章，作者表明:
　 @ 操作符是相当的慢的并且如果你需要写高性能的代码的话它会使得开销很大。

错误抑制慢是因为在执行抑制语句前，PHP动态的改变error_reporting等级到0　，然后然后立即将其还原。这是要开销的。
更糟糕的是，使用错误抑制符使追踪问题的根本原因很困难。

先前的文章使用如下例子来支持通过引用来给一个变量赋值的做法。。。（这句怎么翻译？我晕~~~ ）
The previous article uses the following example to support the practice of assigning a variable by reference when it is unknown if $albus is set:

尽管这样是工作的——对于现在——依靠奇怪的，未定义的行为，而对于为什么这样会工作有一个很好的理解是一个产生BUG的好方法。
因为　$albert 是引用了$albus的，后期对于$albus的修改将会同样影响到$albert　.

一个更好的解决方案是使用isset(),加上大括号：

给$albert　赋值NULL和给它赋一个不存在的引用的效果是相同的，但是更加明确了，大大提高了代码的清晰度和避免的两个变量之间的引用关系。

If you inherit code that uses the error suppression operator excessively, we’ve got a bonus tip for you. There is a new PECL extension called Scream that disables error suppression.

10. 使用 isset() 而不是 strlen()

这实际上是一个巧妙的方法，虽然前面的文章完全没有解释这个。下面是补充的例子：

当你把字符串当作一个数组时（荒野无灯：事实上，在C语言里面，字符中通常以数组形式存在），字符串里的每一个字符都是数组的一个元素。通过检测一个特定元素的存在与否，你可以检测这个字符串是否至少有那么多的字符存在。（注意第一个字符是元素0，因此　$username[5]　是 $username中的第6个字符。）

这样使用isset 比strlen稍快的原因是复杂的。简单的解释是，strlen() 是一个函数，而 isset() 是一个语法结构。通常来说，
调用一个函数是比使用语言结构的代价更为昂贵的。

关于作者：
Hi,我们是 Chris Shiflett和 Sean Coates. 我们都在 OmniTI (“the most important web company you’ve never heard of”)工作, blog about PHP and other stuff at shiflett.org and seancoates.com, curate PHP Advent, and do the Twitter thing as @shiflett and @coates.

译　FROM : http://coding.smashingmagazine.com/2009/03/24/10-useful-php-tips-revisited/

相关日志

• 2011年08月2日 // 给初学者的30条PHP最佳实践 (7)
• 2011年08月1日 // 利用PHP实现智能文件类型检测 (3)
• 2011年08月1日 // 8个能有效改善WordPress CMS功能的插件 (3)
• 2011年09月3日 // Markdown 的使用介绍 (0)
• 2011年07月10日 // 给NetBeans IDE 换衣服 (7)
• 2011年07月10日 // 安装PhpDocumentor PEAR包 (1)

或者我们可以取文件名的最后几个字符来获取文件后缀，不幸的是，这些方法并不足够，可以很容易地改变文件的扩展名绕过这个限制。此外，MIME类型信息是由浏览器发送的，而且，对于大多数浏览器，即使不是全部，是根据文件的扩展名的来给出MIME类型信息的！因此，MIME类型，就像扩展名一样，可以很容易地欺骗。
使用“魔术字节”
确定文件类型的最佳方法是通过检查文件的前几个字节 – 称为“魔字节”。魔术字节本质上是文件头中不同长度在2到40个字节之间的，或在文件末尾的签名。有上百个类型的文件，他们中相当多的文件类型有好几个文件签名与它们相关联。在这里你可以看到一个文件签名列表。

偷懒的办法是使用fileinfo扩展，PHP 5.3.0　默认是启用的（根据官方MANUAL），如果没有启用，你可以自己启用
如在windows下面：

linux下面：

windows下面如不能正常工作：

可参考：http://www.php.net/manual/en/fileinfo.installation.php#82570
下载file-5.03-bin.zip　，解压出来，在其中的share目录有magic.mgc　、magic　两个文件。
然后添加一个名为MAGIC的系统环境变量指向magic　文件。如D:\software\PHP\extras\misc\magic 　

function getFileMimeType($file) {
    $buffer = file_get_contents($file);
    $finfo = new finfo(FILEINFO_MIME_TYPE);
    return $finfo->buffer($buffer);
}
$mime_type = getFileMimeType($file);
switch($mime_type) {
	case "image/jpeg":
		// your actions go here...
}

处理图像上传
如果你打算只允许图像上传，那么你可以使用内置的getimagesize()函数，以确保用户实际上是上传一个有效的图像文件。如果该文件不是有效的图像文件,这个函数返回false。

//  假设file input 域的name 属性为myfile
$tempFile =  $_FILES['myFile']['tmp_name'];  // path of the temp file created by PHP during upload
$imginfo_array = getimagesize($tempFile);   // returns a false if not a valid image file

if ($imginfo_array !== false) {
    $mime_type = $imginfo_array['mime'];
    switch($mime_type) { 

	case "image/jpeg":
		// your actions go here...

    }
}
else {
    echo "This is not a valid image file";
}

手动读取和解释“魔法字节”
如果由于某种原因，你不能安装FileInfo扩展，那么你仍然可以手动确定，通过读取文件的前几个字节，并比较它们与已知的魔法与特定文件类型相关联的字节的文件类型。这个过程肯定少许的试验和错误，因为还有一种可能，有少数非法的魔法字节与合法文件格式关联了。
然而这不是不可能的，几年前，我被要求做一个只允许真正的 mp3 文件上传的脚本文件，并且，当时我们不能用 Fileinfo, 我们只能依靠这种手动检测的方式了.
我花了一段时间来解析一些mp3文件的非法魔法字节，但很快，我得到了一个稳定的上传脚本。

在本文结束前，我想给大家一个警告: 确保你永远没有调用一个　include() 来包含一个上传的文件，因为PHP代码很可能会巧妙地隐藏在图片里面,并且图片也可以成功的通过你的文件检测，当这样的脚本运行时，只可能给系统带来破坏。

译自：http://designshack.co.uk/articles/php-articles/smart-file-type-detection-using-php/

相关日志

• 2011年08月2日 // 给初学者的30条PHP最佳实践 (7)
• 2011年08月2日 // 10条PHP高级技巧[修正版] (5)
• 2011年08月1日 // 8个能有效改善WordPress CMS功能的插件 (3)
• 2011年06月12日 // Most used CSS tricks (0)

主要是设置这几个：

不然它默认搞到PHP目录下面，把目录搞得很乱。data_dir它默认会放到c:\php\pear下面，因此我们务必在配置好后再装东西。
运行go-pear.bat后会修改php.ini ,在最后添加：

即把PEAR的路径加入PHP的全局包含路径中来。

下面开始安装PhpDocumentor:

这样，默认配置文件是D:\htdocs\pear\PhpDocumentor\phpDocumentor.ini ,可以通过修改此配置来指定要生成文档的php文件后缀。

然后就是修改 D:\software\PHP\phpdoc.bat , phpCli 的值一定要修改为php.exe的绝对路径，不然运行会出错：
SET phpCli=D:\software\PHP\php.exe

0×02 生成文档
a,用web 界面工具生成
启动apache ，访问 http://localhost/pear/PhpDocumentor/ 即可看到操作界面，这个就不多说了。
b,结合IDE
NetBeans IDE :
工具-》 选项 -》PHP -》 PhpDoc
在PHP脚本处点“搜索”或者自动填写：

后面的-o 参数是指定主题风格的，我个人比较喜欢的风格有：

HTML:Smarty:PHP,
HTML:frames:DOM/earthli,
HTML:frames:earthli

然后再到“常规”里配置一下默认浏览器。
这样以后，选中一个项目，右键点击，在弹出的快捷菜单中选择“生成PhpDoc” 。然后会弹出窗口来让你选择目标输出目录，这里在windows下的话，最好在选择目录后再右键点击项目，选择“属性”，在PhpDoc 那里，“目标目录”处，将 反斜杠(\)修改为斜杠(/).因为
Netbeans IDE 这里有一个bug,会将windows下路径中的\ 当作转义字符，因而无法生成文档到目标目录。

相关日志

• 2011年07月10日 // 给NetBeans IDE 换衣服 (7)
• 2011年07月10日 // NetBeans IDE (6)
• 2011年05月27日 // Zend Studio 8.0.1发布 (3)
• 2011年09月16日 // netbeans subversion自动添加Id,Revision等keywords (1)
• 2011年09月5日 // PHPer应该知道的工具 (7)
• 2011年09月3日 // Markdown 的使用介绍 (0)

而且在使用完了以后，马上unset之。
扯远啦，该回到正题。
在做blogshow 时，分类的url处理出了点小问题，可是在本地测试时是没有问题的。
由于我是直接修改在服务器上的代码的，而不是上传覆盖之。因此我判断可能是if语句那里出了问题，ftp，打开文件一看，果然，

这一句出了问题，因为在赋值时是：

这里的urlrewrite的值实际上是字符值，而不是数字。一般情况下是不会出问题的。但是如果用===来判断就出问题了，

这一句左边是字符值，右边却是数字，显然结果为false 。
解决办法是用

或者

来判断。
为什么这样呢？这里解释下。

上面是手册中的说明，意思就是说,==是不判断二者是否是同一数据类型，而===是更为严格的比较，它不但要求二者值相等，而且还要求它们的数据类型也相同。

相关日志

• 2011年09月3日 // Markdown 的使用介绍 (0)
• 2011年08月2日 // 给初学者的30条PHP最佳实践 (7)
• 2011年08月2日 // 10条PHP高级技巧[修正版] (5)
• 2011年07月10日 // 给NetBeans IDE 换衣服 (7)
• 2011年07月10日 // 安装PhpDocumentor PEAR包 (1)
• 2011年07月10日 // NetBeans IDE (6)

Warning: Cannot modify header information – headers already sent by (output started at /home/hacklog/public_html/wp-content/plugins/wp-custom-cursors/wp-custom-cursors.php:1)

我修改了N遍wp-custom-cursors.php这个文件，结果还是一样，看了又看，第一行绝对是没有空格什么的。然后又细心地把所有的空格都去除了，还是报同样的错误。拿它没有办法了。
恰好今天和Jerry Chen童鞋聊天时说到Unicode BOM ,我说我很讨厌Unicode BOM。于是来想法了。我重启机子，切换到winxp下面
用emeditor把文件重新另存为不带BOM的：

OK,再测试插件，没有任何问题了。
oh,my god . 这该死的utf-8 bom ,浪费了我好多时间。写下此文，希望给遇到同样问题的朋友一点帮助。
一般由bom引起的header不能发送最明显的特征就是在错误提示总是说第一行已经有输出。

另附：《UTF-8文件的Unicode签名BOM(Byte Order Mark)问题》
此文转载自：http://blog.csdn.net/thimin/archive/2007/08/03/1724393.aspx

近日在调测一个UTF8编码的中文Zen Cart网站时遇到一件怪事，网页显示文字正常，用ie的察看源文件（记事本打开）却发现乱码，firefox没有这个问题。经在网上多方查证和多次测试，解决了这个问题，其实是UTF-8文件的Unicode签名BOM(Byte Order Mark)问题。

BOM(Byte Order Mark)，是UTF编码方案里用于标识编码的标准标记，在UTF-16里本来是FF FE，变成UTF-8就成了EF BB BF。这个标记是可选的，因为UTF8字节没有顺序，所以它可以被用来检测一个字节流是否是UTF-8编码的。微软做这种检测，但有些软件不做这种检测，而把它当作正常字符处理。

微软在自己的UTF-8格式的文本文件之前加上了EF BB BF三个字节, windows上面的notepad等程序就是根据这三个字节来确定一个文本文件是ASCII的还是UTF-8的, 然而这个只是微软暗自作的标记, 其它平台上并没有对UTF-8文本文件做个这样的标记。

也就是说一个UTF-8文件可能有BOM，也可能没有BOM，那么怎么区分呢？三种方法。1，用 UltraEdit-32打开文件，切换到十六进制编辑模式，察看文件头部是否有EF BB BF。2，用Dreamweaver打开，察看页面属性，看“包括Unicode签名BOM”前面是否有个勾。3，用Windows的记事本打开，选择 “另存为”，看文件的默认编码是UTF-8还是ANSI，如果是ANSI则不带BOM。

我找到Zen Cart的模版文件中的html_header.php，发现文件果然不带BOM，用UltraEdit-32另存为的方式加上BOM后，再上传html_header.php，一切正常。

注意用Convertz把gb2312文件转换成UTF-8文件时，默认设置是不带BOM的。不带BOM可能出现上述乱码问题，但是带 BOM，对于php的include文件要小心，会在php字节流前面多出EF BB BF，提前输出到显示器有可能会带来程序错误。一个解决方案是凡是被include的文件都保存为ANSI，主文件可以是UTF-8。要想把一个文件去掉 BOM，使用UlterEdit打开, 切换到十六进制编辑模式，把最前面三个字节(就是那该死的 EF BB BF)替换为20，保存（注意关闭保存时自动备份的功能），再切换到默认编辑模式，把最前面的三个空格去掉就可以了。

另外还学到一些编码的小知识：所谓的unicode保存的文件实际上是utf-16，只不过恰好跟unicode的码相同而已,但在概念上unicode与utf是两回事，unicode是内存编码表示方案，而utf是如何保存和传输unicode的方案。utf- 16还分高位在前 (LE)和高位在后(BE)两种。官方的utf编码还有utf-32，也分LE和BE。非unicode官方的utf编码还有utf-7，主要用于邮件传输。utf-8的单字节部分是和iso-8859-1兼容的，这主要是一些旧的系统和库函数不能正确处理utf-16而被迫出来的，而且对英语字符来说，也节省保存的文件空间（以非英语字符浪费空间为代价）。在iso-8859-1的时候，utf8和iso-8859-1都是用一个字节表示的，当表示其它字符的时候，utf-8会使用两个或三个字节。

相关日志

• 2010年03月27日 // 用vim去掉utf-8 BOM (2)
• 2010年03月18日 // 转换id3信息为utf-8解决linux下面mp3乱码问题 (11)

由于我记得以前在http://www.blinux.cn/using-php-remote-network-file-downloaded-to-the-server/看到的通过远程网络下载文件，于是决定试一试这个方法，因为我用的是美国的LP 主机，因此完全符合条件。不试不知道，一试吓一跳！
40几M的sun virtualbox竟然在几秒钟之内（一点都不夸张，绝对不超过5秒！）就下载完成了，终于知道什么叫网速快了。

这是php文件代码：

通过php下载文件：

几秒钟后文件就下载完成了，我通过ftp把它再下载到自己的电脑上：

已经下好的软件：

安装sun virtualbox:

相关日志

• 2011年09月3日 // Markdown 的使用介绍 (0)
• 2011年08月2日 // 给初学者的30条PHP最佳实践 (7)
• 2011年08月2日 // 10条PHP高级技巧[修正版] (5)
• 2011年07月10日 // 给NetBeans IDE 换衣服 (7)
• 2011年07月10日 // 安装PhpDocumentor PEAR包 (1)
• 2011年07月10日 // NetBeans IDE (6)

PHP Fatal error: Cannot redeclare class wpLoginLogger in xxxx.php on line 27

我又改了一个绝对是唯一的类名，在启用插件时还是提示这个错误。
于是注释掉其中一个代码：
也就是：

结果插件“能够”启用，但却不能正常使用，因为数据库表没有成功建立。
于是回头去看那个建表的函数，发现这个代码有问题：

将上面代码分别修改为：

问题得到解决。
由此可见有时候，php的错误提示不一定准确。遇到问题还是要靠自己分析代码，不能光靠错误提示。还有就是写代码时要仔细点，小错误也会导致很严重的后果。
今天这个奇怪的Cannot redeclare class 错误就浪费了我大量的时间。

随机日志

• 2009年04月26日 // 20 Websites To Help You Learn and Master CSS (3)
• 2011年07月14日 // PendMoves v1.1 和 MoveFile v1.0 (0)
• 2008年12月19日 // FleaPHP和ThinkPHP的选择和比较 [转] (0)
• 2011年11月18日 // 推荐三个简洁的wordpress主题 (13)
• 2008年12月9日 // firefox插件：浏览帖子必用利器之 AutoPager (0)
• 2008年11月29日 // Tools 3.0UC正式发布(单文件) (0)

上面这些是什么？这可不是Excel做的图表，更不是Photoshop做的，这全是用pChat做的。

pChat是一个面向对象的PHP类，用于创建图表。它是开源的，免费的。数据可以来自SQL查询、CSV文件或者手工录入。然后指定图表样式，一张漂亮的图表就生成了。pChat需要GD库支持。

这里有更多用pChat做的例子可以看，下载pChat请点这里。

原文地址：http://www.mrven.com/?p=387

随机日志

• 2009年06月13日 // tscms实现“顶一下”功能 (7)
• 2010年06月1日 // VC 中的数据类型(更新中……) (0)
• 2009年12月4日 // 8.8.8.8 (7)
• 2008年12月31日 // 主板品牌介绍(转) (0)
• 2010年05月9日 // wordpress 2.9.2先用着3.0的 get_avatar (14)
• 2010年05月22日 // WP主题推荐：The Web News Theme (9)

　　PHP程序设计中中文编码问题曾经困扰很多人，导致这个问题的原因其实很简单，每个国家(或区域)都规定了计算机信息交换用的字符编码集，如美国的扩展 ASCII 码, 中国的 GB2312-80，日本的 JIS 等。作为该国家/区域内信息处理的基础，字符编码集起着统一编码的重要作用。字符编码集按长度分为 SBCS(单字节字符集)，DBCS(双字节字符集)两大类。早期的软件(尤其是操作系统)，为了解决本地字符信息的计算机处理，出现了各种本地化版本 (L10N)，为了区分，引进了 LANG, Codepage 等概念。但是由于各个本地字符集代码范围重叠，相互间信息交换困难; 软件各个本地化版本独立维护成本较高。因此有必要将本地化工作中的共性抽取出来，作一致处理，将特别的本地化处理内容降低到最少。这也就是所谓的国际化 (118N)。各种语言信息被进一步规范为 Locale 信息。处理的底层字符集变成了几乎包含了所有字形的 Unicode。

　　现在大部分具有国际化特征的软件核心字符处理都是以 Unicode 为基础的，在软件运行时根据当时的ocale/Lang/Codepage 设置确定相应的本地字符编码设置，并依此处理本地字符。在处理过程中需要实现 Unicode 和本地字符集的相互转换，甚或以 Unicode 为中间的两个不同本地字符集的相互转换。这种方式在网络环境下被进一步延伸，任何网络两端的字符信息也需要根据字符集的设置转换成可接受的内容。

　　数据库中的字符集编码问题

　　流行的关系数据库系统都支持数据库字符集编码，也就是说在创建数据库时可以指定它自己的字符集设置，数据库的数据以指定的编码形式存储。当应用程序访问数据时，在入口和出口处都会有字符集编码的转换。对于中文数据，数据库字符编码的设置应当保证数据的完整性。GB2312、GBK、UTF-8 等都是可选的数据库字符集编码; 当然我们也可以选择 ISO8859-1 (8-bit)，只是我们得在应

　　用程序写数据之前先将 16Bit 的一个汉字或 Unicode 拆分成两个 8-bit 的字符，读数据之后也需要将两个字节合并起来，同时还要判别其中的 SBCS 字符，因此我们并不推荐采用 ISO8859-1 作为数据库字符集编码。这样不但没有充分利用数据库自身的字符集编码支持，而且同时也增加了编程的复杂度。编程时，可以先用数据库管理系统提供的管理功能检查其中的中文数据是否正确。

　　PHP 程序在查询数据库之前，首先执行 mysql_query(“SET NAMES xxxx”); 其中 xxxx 是你网页的编码(charset=xxxx)，如果网页中 charset=utf8，则 xxxx=utf8，如果网页中 charset=gb2312，则xxxx=gb2312，几乎所有 WEB 程序，都有一段连接数据库的公共代码，放在一个文件里，在这文件里，加入 mysql_query(“SET NAMES xxxx”) 就可以了。

　　SET NAMES 显示客户端发送的 SQL 语句中使用什么字符集。因此，SET NAMES ‘utf-8′ 语句告诉服务器“将来从这个客户端传来的信息采用字符集 utf-8”。它还为服务器发送回客户端的结果指定了字符集(例如，如果你使用一个 SELECT 语句，它表示列值使用了什么字符集)。

　　定位问题时常用的技巧

　　定位中文编码问题通常采用最笨的也是最有效的办法―在你认为有嫌疑的程序处理后打印字符串的内码。通过打印字符串的内码，你可以发现什么时候中文字符被转换成 Unicode，什么时候Unicode 被转回中文内码，什么时候一个中文字成了两个 Unicode 字符，什么时候中文字符串被转成了一串问号，什么时候中文字符串的高位被截掉了……

　　取用合适的样本字符串也有助于区分问题的类型。如：”aa啊 aa?@aa” 等中英相间，GB、GBK特征字符均有的字符串。一般来说，英文字符无论怎么转换或处理，都不会失真(如果遇到了，可以尝试着增加连续的英文字母长度)。

　　解决各种应用的乱码问题

　　1) 使用 标签设置页面编码

　　这个标签的作用是声明客户端的浏览器用什么字符集编码显示该页面，xxx 可以为 GB2312、GBK、UTF-8(和 MySQL 不同，MySQL 是 UTF8)等等。因此，大部分页面可以采用这种方式来告诉浏览器显示这个页面的时候采用什么编码，这样才不会造成编码错误而产生乱码。但是有的时候我们会发现有了这句还是不行，不管 xxx 是哪一种，浏览器采用的始终都是一种编码，这个情况我后面会谈到。

　　请注意， 是属于 HTML 信息的，仅仅是一个声明，仅表明服务器已经把 HTML 信息传到了浏览器。

　　2) header(“content-type:text/html; charset=xxx”);

　　这个函数 header() 的作用是把括号里面的信息发到 http 标头。如果括号里面的内容为文中所说那样，那作用和标签基本相同，大家对照第一个看发现字符都差不多的。但是不同的是如果有这段函数，浏览器就会永远采用你所要求的 xxx 编码，绝对不会不听话，因此这个函数是很有用的。为什么会这样呢?那就得说说 http 标头和 HTML信息的差别了：

　　 http 标头是服务器以 http 协议传送 HTML 信息到浏览器前所送出的字串。而 标签是属于 HTML 信息的，所以 header() 发送的内容先到达浏览器，通俗点就是 header() 的优先级高于 (不知道可不可以这样讲)。假如一个 php 页面既有header(“content-type:text/html; charset=xxx”)，又有，浏览器就只认前者 http 标头而不认 meta 了。当然这个函数只能在 php 页面内使用。

　　同样也留有一个问题，为什么前者就绝对起作用，而后者有时候就不行呢?这就是接下来要谈的Apache 的原因了。

　　3) AddDefaultCharset

　　Apache 根目录的 conf 文件夹里，有整个 Apache 的配置文档 httpd.conf。

　　用文本编辑器打开 httpd.conf，第 708 行(不同版本可能不同)有 AddDefaultCharset xxx，xxx为编码名称。这行代码的意思：设置整个服务器内的网页文件 http 标头里的字符集为你默认的 xxx字符集。有这行，就相当于给每个文件都加了一行 header(“content-type:text/html; charset=xxx”)。这下就明白为什么明明 设置了是 utf-8，可浏览器始终采用 gb2312 的原因。

　　如果网页里有 header(“content-type:text/html; charset=xxx”)，就把默认的字符集改为你设置的字符集，所以这个函数永远有用。如果把 AddDefaultCharset xxx 前面加个”#”，注释掉这句，而且页面里不含 header(“content-type…”)，那这个时候就轮到 meta 标签起作用了。

　　下面列出以上的优先顺序：

　　.. header(“content-type:text/html; charset=xxx”)

　　.. AddDefaultCharset xxx

　　..

　　如果你是 web 程序员，建议给你的每个页面都加个header(“content-type:text/html; charset=xxx”)，这样就可以保证它在任何服务器都能正确显示，可移植性也比较强。

　　4) php.ini 中的 default_charset 配置：

　　php.ini 中的 default_charset = “gb2312″ 定义了 php 的默认语言字符集。一般推荐注释掉此行，让浏览器根据网页头中的 charset 来自动选择语言而非做一个强制性的规定，这样就可以在同台服务器上提供多种语言的网页服务。

　　结束语

　　其实 php 开发中的中文编码并没有想像的那么复杂，虽然定位和解决问题没有定规，各种运行环境也各不尽然，但后面的原理是一样的。了解字符集的知识是解决字符问题的基础。不过，随着中文字符集的变化，不仅仅是 php 编程，中文信息处理中的问题还是会存在一段时间的。

随机日志

• 2011年11月30日 // Mod版TOC插件：Hacklog TOC generator (5)
• 2009年12月2日 // 深夜，在DZ官网找到了传说中的discuz1.0 (8)
• 2011年10月5日 // Xiami音乐短代码支持插件 (15)
• 2011年05月22日 // 极爽词库6.0官方标准版本 for fcitx (10)
• 2010年09月18日 // 制作vim php 自动完成字典 (3)
• 2009年05月29日 // Total Commander 7.02a 绿色汉化增强版 (0)