我正在使用xdebug和PHP来做一些性能分析。但是，当我多次运行同一个脚本时，我得到的时间往往大相径庭。所以很难知道对结果有多大的信心。很明显，机器上发生了很多会影响PHP性能的事情。但是我能做些什么来减少变量的数量，从而使多次测试更加一致吗？我在MacOSX上的Apache下运行PHP。 最佳答案 尽可能减少包装盒上无关服务的数量。减少Apache进程的数量。通过多次加载您的脚本来准备各种缓存。可能使用像Apache的ab或siege这样的基准测试工具,以确保所有Apachechild都被击中。使用curl或wget从命令行分析

用专门的session对象覆盖超全局$_SESSION是否安全？classSessionObjectimplementsArrayAccess{...}...//Sessiondatahasjustbeendeserialisedfromstore.$_SESSION=newSessionObject($session_data);...//Usingsessionobject...$_SESSION['key']=27;$x=$_SESSION->get_data('key2','default-value'); 最佳答案 虽然这

是否可以让用户在HTTPS安全站点上的表单中输入信息，然后使用PHP将该信息安全地发送到电子邮件地址？您如何加密电子邮件以确保从HTTPS站点发送电子邮件和通过HTTPS电子邮件检查电子邮件之间的安全性？这有多可行？潜在的陷阱是什么？ 最佳答案 您可以使用PGP加密电子邮件或S/MIME.这些将需要您的客户端的特殊支持才能解密。大多数网络邮件提供商没有这个(尽管可能有例如Firefox扩展来使其工作)。除了像PGP或S/MIME这样的端到端加密之外，它确实是行不通的，因为电子邮件的明文遗留问题:可以使用TLS(使用SMTLSTART

我对php比较陌生，希望你能帮助我理解为什么你应该在“回显”时清理html，特别是如果数据来自cookie..即代替Hello,!你应该做的Hello,!这是我的理解。cookie存储在客户端，因此存在安全风险，因为其中的数据可以被恶意用户操纵/更改(lol@evil)。但是由于cookie存储在客户端，这意味着客户端只能更改自己的cookie，这意味着如果他在$_COOKIE['user']中添加某种恶意代码，当cookie运行时，恶意代码只会显示给一个用户(首先更改cookie的用户)，而不会显示给其他任何人!？那么问题是什么？ 最佳答案

我搜索过SO，我知道有很多“记住我”的问题，但我找不到专门关于使用Blowfish生成安全token的问题。我正在实现一个登录系统以使用基于cookie的“记住我”功能，我读过的所有教程要么看起来不安全(例如，只是基于时间的未加盐的md5哈希)要么看起来过于复杂.我不是要为银行或类似机构建立网站，只是想要一个合理的安全级别。我提议的系统只是为用户名创建一个128字符的随机字符串，为登录token创建第二个128字符的字符串。原始字符串将存储在cookie中，未加盐的sha1版本将进入数据库中用户帐户的行。我想我什至可以在每次加载页面时重新生成字符串。对我来说，这提供了不错的安全性(我认

我用PHP编写了一个电子邮件应用程序来处理非常大的邮件列表。有没有办法找出打开了哪些电子邮件以及由谁打开？任何解决方案都可以，只要它能告诉我用户是否确实收到并打开了电子邮件。我也不想使用电子邮件收据，因为它可能会推迟收件人。如果相关，我正在使用codeIgniter框架。 最佳答案 您可以通过在发送的每封电子邮件中包含一个小的跟踪图像来实现这一点。使用mod-rewrite将“/tracking/”之外的所有内容推送到您的分析脚本中，捕获query_string并将1x1gif返回给电子邮件客户端。来自CampaignMonitor

我有一个脚本可以让用户将文本文件(PDF或doc)上传到服务器，然后计划将它们转换为原始文本。但是在文件被转换之前，它是原始格式，这让我担心病毒和各种讨厌的东西。关于我需要做什么来最小化这些未知文件的风险的任何想法。如何检查它是否干净，或者它是否是它声称的格式并且它不会使服务器崩溃。 最佳答案 正如我对Aerik的评论，但这确实是问题的答案。如果您的PHP>=5.3，请使用finfo_file()。如果您有旧版本的PHP，您可以使用mime_content_type()(不太可靠)或从PECL加载文件信息扩展。这两个函数都返回文件的

假设我有一些PHP代码在Web服务器中运行，例如，运行一个简单的CakePHP应用程序。从这个应用程序，我想偶尔与某些服务器建立TLS连接以交换一些数据。这通常是如何完成的？(我对PHP没有什么经验。)建议使用哪些PHP插件或库或其他任何东西来完成TLS连接？从哪里开始寻找一些好的地方？(我最初的Google搜索给了我一个巨大的噪声信号比。)将X509私钥放在网络服务器上会涉及哪些安全问题？要建立TLS连接，我将需要X509证书和相应的私钥，可能是PEM文件或DER文件，或者在Javakeystore中，等等。该私钥是否会位于网络根目录下易受攻击的地方？这通常是如何处理的？安全问题是什

打开“portable_hashes”。我注意到，无论出于何种原因，它生成的哈希值并不总是相同的——但在通过“CheckPassword”传递时始终返回有效值。我还注意到在生成哈希时使用了“PHP_VERSION”——这两件事结合在一起让我很担心……便携性如何？我可以在服务器、Linux、Windows、64位、32位等之间移动哈希值(保存在用户数据库中)并且仍然让它们验证吗？我需要做什么才能使密码不再有效？我问的原因是因为我在我的框架中使用phpass作为密码，这将为我的几个网站提供支持，其中许多网站目前有数千名用户-在某些情况下我不得不移动它们到不同的服务器上，当然还要升级php。

关于PHP安全模式的问题:默认情况下，它在PLESK共享主机帐户环境中打开:虽然在我的网站上似乎运行良好，但关闭时它可能运行得更快/更好？我不太理解下面的文字，尤其是PHP的解释:普莱斯克:Bydefault,PHPisconfiguredtooperateinsafemodewithfunctionalrestrictions.Somewebapplicationsmaynotworkproperlywithsafemodeenabled:Ifanapplicationonasitefailsduetosafemode,switchthesafemodeoffPHP.net:This