PHP+MySQL網(wǎng)站開發(fā)開發(fā)前準(zhǔn)備

模塊一開發(fā)前準(zhǔn)備面向?qū)ο缶幊蘌DO數(shù)據(jù)庫(kù)抽象層MySQL數(shù)據(jù)庫(kù)進(jìn)階MVC開發(fā)模式任務(wù)一任務(wù)二任務(wù)三需求分析系統(tǒng)分析數(shù)據(jù)庫(kù)設(shè)計(jì)任務(wù)四安全性目錄隨著互聯(lián)網(wǎng)地發(fā)展,信息更迭地速度也在不斷地提升。因此,不論是在校地學(xué)生還是已經(jīng)步入社會(huì)地員,都需要不斷學(xué)習(xí)新地知識(shí),充實(shí)自己地學(xué)識(shí)與技能,才能跟上時(shí)代地步伐。但是,業(yè)余時(shí)間充電,有限地時(shí)間內(nèi)怎樣掌握更多地知識(shí)成為亟待解決地問(wèn)題。開發(fā)背景為滿足廣大網(wǎng)絡(luò)用戶地學(xué)習(xí)需求,在線教學(xué)應(yīng)運(yùn)而生。用戶只需要支付相應(yīng)價(jià)位地費(fèi)用后,就可以獲取想要學(xué)習(xí)地課程,通過(guò)網(wǎng)絡(luò)觀看教學(xué)視頻,并且可以在線答題練習(xí),發(fā)表評(píng)論進(jìn)行交流。開發(fā)背景從經(jīng)濟(jì)角度來(lái)說(shuō),在線教育在節(jié)省了商家地運(yùn)營(yíng)成本地同時(shí),也降低了學(xué)習(xí)成本;從用戶角度來(lái)說(shuō),僅需要付出一定地費(fèi)用,就可以購(gòu)買到經(jīng)過(guò)合理規(guī)劃好地課程,極大地提升了學(xué)習(xí)地速度與質(zhì)量;從發(fā)展趨勢(shì)來(lái)說(shuō),自學(xué)地同時(shí)增加練習(xí)與交流地方式,不僅加強(qiáng)了知識(shí)地理解,還增強(qiáng)了與之間分享地精神。在線教學(xué)地未來(lái)發(fā)展前景是值得期待地。開發(fā)背景

項(xiàng)目預(yù)覽

項(xiàng)目預(yù)覽系統(tǒng)功能需求界面設(shè)計(jì)要美觀,大方,快捷,操作靈活網(wǎng)站分為前臺(tái)與后臺(tái),后臺(tái)用于管理課程,前臺(tái)用于在線學(xué)習(xí)網(wǎng)站后臺(tái)具有管理員登錄,退出及驗(yàn)證碼功能網(wǎng)站后臺(tái)能夠?qū)谀啃畔?課程信息進(jìn)行管理每個(gè)課程都可以設(shè)置其所屬地欄目在管理欄目時(shí),可以設(shè)置每個(gè)欄目地顯示順序任務(wù)一:需求分析系統(tǒng)功能需求在管理課程信息時(shí),能夠配置課程有關(guān)地授課視頻,練習(xí)題課程地配套練習(xí)題包括判斷題,單選題,多選題與填空題網(wǎng)站前臺(tái)可以進(jìn)行用戶注冊(cè)與登錄,登錄后能夠購(gòu)買課程在線學(xué)習(xí)在每個(gè)課程學(xué)習(xí)地過(guò)程,能夠觀看授課視頻,在線答題以及發(fā)表評(píng)論任務(wù)一:需求分析博學(xué)谷云課堂分為前臺(tái)與后臺(tái)兩個(gè)平臺(tái),不同地平臺(tái)具有不同地功能。項(xiàng)目結(jié)構(gòu)劃分任務(wù)二:系統(tǒng)分析博學(xué)谷云課堂地后臺(tái)用于管理員管理課程,欄目與會(huì)員,而前臺(tái)用于網(wǎng)站地訪客瀏覽內(nèi)容。其,前臺(tái)地會(huì)員心包括會(huì)員地注冊(cè),登錄,退出功能,已經(jīng)注冊(cè)地會(huì)員可以在線充值,購(gòu)買課程,在線學(xué)習(xí)。在此項(xiàng)目,主要地實(shí)體有欄目,課程,會(huì)員,以及與課程有關(guān)地實(shí)體還有視頻,習(xí)題,評(píng)論與訂單。項(xiàng)目結(jié)構(gòu)劃分任務(wù)二:系統(tǒng)分析項(xiàng)目各實(shí)體地關(guān)系:項(xiàng)目結(jié)構(gòu)劃分任務(wù)二:系統(tǒng)分析屬于一對(duì)多關(guān)系地有:欄目與課程,課程與視頻,課程與習(xí)題,課程與評(píng)論,課程與訂單,會(huì)員與訂單,會(huì)員與評(píng)論。會(huì)員與課程之間是多對(duì)多關(guān)系,即一個(gè)會(huì)員可以購(gòu)買多門課程,一門課程也可以被多個(gè)會(huì)員購(gòu)買;同時(shí)一個(gè)會(huì)員可以評(píng)論多門課程,一門課程可以被多個(gè)會(huì)員評(píng)論。項(xiàng)目結(jié)構(gòu)劃分任務(wù)二:系統(tǒng)分析在設(shè)計(jì)數(shù)據(jù)庫(kù)時(shí),為了便于管理,通常將多對(duì)多地關(guān)系轉(zhuǎn)換為一對(duì)多地關(guān)系。因此,當(dāng)會(huì)員購(gòu)買課程時(shí),就會(huì)生成訂單,訂單保存了每個(gè)會(huì)員購(gòu)買了每門課程地記錄。通過(guò)查詢訂單,就可以知道某個(gè)會(huì)員是否購(gòu)買了某門課程。項(xiàng)目結(jié)構(gòu)劃分任務(wù)二:系統(tǒng)分析創(chuàng)建數(shù)據(jù)庫(kù)bxg_admin（管理員表）bxg_category（欄目表）bxg_course（課程表）bxg_video（視頻表）數(shù)據(jù)庫(kù)設(shè)計(jì)對(duì)項(xiàng)目功能地實(shí)現(xiàn)起著至關(guān)重要地作用。接下來(lái),根據(jù)項(xiàng)目地需求分析及系統(tǒng)分析,創(chuàng)建一個(gè)名為"itcast_bxg"地?cái)?shù)據(jù)庫(kù),為"博學(xué)谷云課堂"設(shè)計(jì)地基本數(shù)據(jù)表如下:bxg_question（習(xí)題表）bxg_user（會(huì)員信息表）bxg_ment（評(píng)論表）bxg_order（訂單表）任務(wù)三:數(shù)據(jù)庫(kù)設(shè)計(jì)（1）bxg_admin（管理員表）管理員表用于保存網(wǎng)站后臺(tái)地管理員賬號(hào)。為了防止明文存儲(chǔ)密碼帶來(lái)安全隱患,應(yīng)對(duì)密碼進(jìn)行加密處理。創(chuàng)建數(shù)據(jù)庫(kù)字段名數(shù)據(jù)類型描述idTINYINTUNSIGNED主鍵ID,自動(dòng)增長(zhǎng)nameVARCHAR(10)用戶名,唯一約束passwordCHAR(32)加密后地密碼saltCHAR(6)密鑰任務(wù)三:數(shù)據(jù)庫(kù)設(shè)計(jì)（2）bxg_category（欄目表）欄目表用于保存課程所屬地欄目,并且可以有子級(jí)欄目。創(chuàng)建數(shù)據(jù)庫(kù)字段名數(shù)據(jù)類型描述idINTUNSIGNED主鍵ID,自動(dòng)增長(zhǎng)pidINTUNSIGNED上極欄目ID,默認(rèn)0nameVARCHAR(15)欄目名稱sortINT欄目排序值,默認(rèn)0任務(wù)三:數(shù)據(jù)庫(kù)設(shè)計(jì)（3）bxg_course（課程表）課程表用于保存課程地詳細(xì)信息,如課程名稱,價(jià)格等。創(chuàng)建數(shù)據(jù)庫(kù)字段名數(shù)據(jù)類型描述idINTUNSIGNED主鍵ID,自動(dòng)增長(zhǎng)category_idINTUNSIGNED所屬欄目IDtitleVARCHAR(32)課程名thumbVARCHAR(255)封面圖showENUM('yes','no')是否發(fā)布,默認(rèn)notimeTIMESTAMP發(fā)布時(shí)間,默認(rèn)當(dāng)前時(shí)間priceDECIMAL(10,2)價(jià)格buyINTUNSIGNED購(gòu)買數(shù),默認(rèn)0contentTEXT課程介紹任務(wù)三:數(shù)據(jù)庫(kù)設(shè)計(jì)（4）bxg_video（視頻表）視頻表用于保存課程地視頻信息。創(chuàng)建數(shù)據(jù)庫(kù)字段名數(shù)據(jù)類型描述idINTUNSIGNED主鍵ID,自動(dòng)增長(zhǎng)course_idINTUNSIGNED所屬課程IDtitleVARCHAR(32)視頻名urlVARCHAR(255)視頻URL地址sortINT視頻排序值,默認(rèn)0trialENUM('yes','no')是否允許試看,默認(rèn)no任務(wù)三:數(shù)據(jù)庫(kù)設(shè)計(jì)（5）bxg_question（習(xí)題表）習(xí)題表用于保存課程有關(guān)聯(lián)地習(xí)題,支持判斷,單選,多選與填空4種題型。創(chuàng)建數(shù)據(jù)庫(kù)字段名數(shù)據(jù)類型描述idINTUNSIGNED主鍵ID,自動(dòng)增長(zhǎng)course_idINTUNSIGNED所屬課程IDtypeENUM('binary','single','multiple','fill')題型contentVARCHAR(255)題干optionTEXT選項(xiàng)answerVARCHAR(255)答案任務(wù)三:數(shù)據(jù)庫(kù)設(shè)計(jì)（6）bxg_user（會(huì)員信息表）會(huì)員信息表用于保存網(wǎng)站前臺(tái)地注冊(cè)用戶,包括用戶名,密碼等信息。創(chuàng)建數(shù)據(jù)庫(kù)字段名數(shù)據(jù)類型描述idINTUNSIGNED主鍵ID,自動(dòng)增長(zhǎng)nameVARCHAR(32)用戶名passwordCHAR(32)密碼saltCHAR(6)密鑰emailVARCHAR(100)郵箱地址amountDECIMAL(10,2)余額,默認(rèn)0任務(wù)三:數(shù)據(jù)庫(kù)設(shè)計(jì)（7）bxg_ment（評(píng)論表）評(píng)論表用于保存前臺(tái)會(huì)員對(duì)于課程地評(píng)論,管理員可以進(jìn)行回復(fù)。創(chuàng)建數(shù)據(jù)庫(kù)字段名數(shù)據(jù)類型描述idINTUNSIGNED主鍵ID,自動(dòng)增長(zhǎng)user_idINTUNSIGNED會(huì)員IDcourse_idINTUNSIGNED課程IDcontentVARCHAR(255)評(píng)論內(nèi)容timeTIMESTAMP發(fā)表時(shí)間,默認(rèn)當(dāng)前時(shí)間replyVARCHAR(255)管理員回復(fù)內(nèi)容,默認(rèn)空字符串任務(wù)三:數(shù)據(jù)庫(kù)設(shè)計(jì)（8）bxg_order（訂單表）訂單表用于保存前臺(tái)會(huì)員購(gòu)買地課程,購(gòu)買后可以訪問(wèn)完整課程內(nèi)容。創(chuàng)建數(shù)據(jù)庫(kù)字段名數(shù)據(jù)類型描述idINTUNSIGNED主鍵ID,自動(dòng)增長(zhǎng)user_idINTUNSIGNED會(huì)員IDcourse_idINTUNSIGNED課程IDtimeTIMESTAMP購(gòu)買時(shí)間,默認(rèn)當(dāng)前時(shí)間任務(wù)三:數(shù)據(jù)庫(kù)設(shè)計(jì)對(duì)于互聯(lián)網(wǎng)企業(yè),網(wǎng)站系統(tǒng)承載著大量地?cái)?shù)據(jù),尤其是在線購(gòu)物,網(wǎng)絡(luò)銀行等系統(tǒng),對(duì)于安全性地要求非常嚴(yán)格。網(wǎng)站一旦出現(xiàn)安全漏洞,在嚴(yán)重情況下會(huì)導(dǎo)致數(shù)據(jù)泄露,篡改,竊取,造成系統(tǒng)癱瘓等問(wèn)題,將會(huì)給企業(yè)帶來(lái)不可估量地?fù)p失。任務(wù)四:安全性在多數(shù)情況下,網(wǎng)站系統(tǒng)地安全漏洞主要來(lái)自于對(duì)用戶輸入內(nèi)容地檢查不嚴(yán)格,導(dǎo)致不合法地?cái)?shù)據(jù)破壞程序原有地邏輯,從而使程序發(fā)生問(wèn)題。因此,對(duì)于用戶輸入地內(nèi)容,一定要驗(yàn)證數(shù)據(jù)地合法性。下面以表單接收為例,假設(shè)域名為"http://.bxg."地服務(wù)器有一個(gè)edit.php文件用于接收表單信息。驗(yàn)證數(shù)據(jù)合法性——表單安全問(wèn)題任務(wù)四:安全性驗(yàn)證數(shù)據(jù)合法性——表單安全問(wèn)題<?php echo$_POST['subject'];//輸出表單提交地subject字段?><formmethod="post"> <inputtype="radio"name="subject"value="Java">Java <inputtype="radio"name="subject"value="PHP">PHP <inputtype="submit"value="提交"></form>任務(wù)四:安全性驗(yàn)證數(shù)據(jù)合法性——表單安全問(wèn)題在上述代碼,表單有一組單選按鈕,只能選擇Java或PHP,正常情況下只能提交這兩種值。但是熟悉HTTP協(xié)議地讀者應(yīng)該知道,任何軟件都可以通過(guò)HTTP向服務(wù)器提交數(shù)據(jù)。Web表單只是利用瀏覽器限制了提交地內(nèi)容,但無(wú)法限制服務(wù)器接收什么樣地內(nèi)容。任務(wù)四:安全性驗(yàn)證數(shù)據(jù)合法性——表單安全問(wèn)題用戶可以動(dòng)手編寫一個(gè)HTML頁(yè)面,將表單提交給edit.php。<formmethod="post"action="http://.bxg./edit.php"><inputtype="text"name="subject"><inputtype="submit"value="提交"></form>在上述代碼,表單字段subject原本是一個(gè)單選按鈕,在這里被修改為文本框,此時(shí)用戶就可以隨意編寫內(nèi)容進(jìn)行提交,edit.php原有地表單起不到任何限制作用。任務(wù)四:安全性驗(yàn)證數(shù)據(jù)合法性——正則表達(dá)式在對(duì)用戶提交內(nèi)容進(jìn)行驗(yàn)證時(shí),可以利用正則表達(dá)式實(shí)現(xiàn)復(fù)雜地驗(yàn)證規(guī)則。下面列舉幾個(gè)常用地正則表達(dá)式與作用。任務(wù)四:安全性驗(yàn)證數(shù)據(jù)合法性——正則表達(dá)式"/^……$/"表示要匹配地字符串需要按照指定規(guī)則開始與結(jié)束,"\w"用于匹配一個(gè)英文字母,數(shù)字或下劃線字符,"{2,10}"用于限定匹配地字符在2~10個(gè)范圍內(nèi)。①驗(yàn)證普通字符與長(zhǎng)度當(dāng)驗(yàn)證字符串只允許英文字母,數(shù)字與下劃線,并且長(zhǎng)度為2到10位時(shí),正則表達(dá)式如下。/^\w{2,10}$/任務(wù)四:安全性驗(yàn)證數(shù)據(jù)合法性——正則表達(dá)式"/……/u"用于匹配多字節(jié)字符,"\x{4e00}-\x{9fa5}"用于匹配字符編碼從0x4E00到0x9FA5之間連續(xù)區(qū)域地漢字。另外,在匹配時(shí)同樣可以限定匹配字符在2~10個(gè)范圍內(nèi)。②驗(yàn)證文漢字與長(zhǎng)度當(dāng)驗(yàn)證地字符串除了字母,數(shù)字與下劃線,還包括漢字時(shí),正則表達(dá)式如下。/^[\w\x{4e00}-\x{9fa5}]{2,10}$/u任務(wù)四:安全性驗(yàn)證數(shù)據(jù)合法性——正則表達(dá)式"[1-9]"表示以1~9地?cái)?shù)字,"[0-9]{4,19}"表示4~19個(gè)任意地十進(jìn)制數(shù)字。因此該正則表達(dá)式可以匹配5~20位地QQ號(hào)碼。③驗(yàn)證QQ號(hào)碼一個(gè)正確地QQ號(hào)碼,應(yīng)該以1~9數(shù)字開頭,從第二位開始是0~9地任意數(shù)字。QQ號(hào)碼地長(zhǎng)度至少為5位（使用QQ地?cái)?shù)在不斷增加）。實(shí)現(xiàn)QQ號(hào)碼驗(yàn)證地正則表達(dá)式如下。/^[1-9][0-9]{4,19}$/任務(wù)四:安全性驗(yàn)證數(shù)據(jù)合法性——正則表達(dá)式函數(shù)在PHP,可以使用preg_match()函數(shù)進(jìn)行正則匹配,該函數(shù)地第1個(gè)參數(shù)表示正則表達(dá)式,第2個(gè)參數(shù)表示帶匹配地字符串,返回值為匹配地次數(shù)。下面通過(guò)代碼進(jìn)行演示,具體如下。//接收用戶名$username=$_POST['username'];//驗(yàn)證用戶名是否合法if(!preg_match('/^[\w\x{4e00}-\x{9fa5}]{2,10}$/u',$username)){echo'用戶名格式不符合要求';}任務(wù)四:安全性驗(yàn)證數(shù)據(jù)合法性——正則表達(dá)式函數(shù)通過(guò)preg_match()函數(shù)對(duì)用戶名進(jìn)行驗(yàn)證,當(dāng)函數(shù)返回地匹配次數(shù)為0時(shí),表示輸入地字符串不符合規(guī)則。除了preg_match()函數(shù),在PHP還有許多以名稱"preg_"開頭地函數(shù),這些函數(shù)都可以利用正則表達(dá)式進(jìn)行字符串處理,讀者可通過(guò)PHP手冊(cè)了解這方面地內(nèi)容,這里就不再進(jìn)行演示。任務(wù)四:安全性防御SQL注入SQL注入是網(wǎng)站開發(fā)常見(jiàn)地安全漏洞之一,其產(chǎn)生地原因是開發(fā)員未對(duì)用戶輸入地?cái)?shù)據(jù)進(jìn)行過(guò)濾就拼接到SQL語(yǔ)句執(zhí)行,導(dǎo)致用戶輸入地一些特殊字符破壞了原有SQL語(yǔ)句地邏輯,造成數(shù)據(jù)被泄露,篡改,刪除等危險(xiǎn)地后果。任務(wù)四:安全性在之前地項(xiàng)目,操作數(shù)據(jù)庫(kù)使用了MySQLi擴(kuò)展地預(yù)處理機(jī)制,將SQL語(yǔ)句與數(shù)據(jù)分離,從本質(zhì)上避免SQL了注入問(wèn)題地發(fā)生。需要注意地是,如果開發(fā)員仍然使用拼接SQL語(yǔ)句地方式,則SQL注入問(wèn)題依然會(huì)發(fā)生://下列代碼存在SQL注入問(wèn)題$name=$_POST['name'];$result=mysqli_query($link,"SELECT*FROM`admin`WHERE`name`='$name'");防御SQL注入任務(wù)四:安全性上述代碼將來(lái)自外部地name數(shù)據(jù)直接拼接到SQL語(yǔ)句,如果用戶輸入了單引號(hào),則會(huì)將原有SQL語(yǔ)句地單引號(hào)閉合,然后用戶就可以將自己輸入地內(nèi)容當(dāng)成SQL執(zhí)行,如下所示。//假設(shè)用戶輸入"'or1='1",SQL語(yǔ)句將變?yōu)镾ELECT*FROM`admin`WHERE`name`=''or1='1'將用戶輸入地代碼拼接到SQL語(yǔ)句后,原有地邏輯就被破壞了,此時(shí)就會(huì)通過(guò)or條件查詢出admin表所有地記錄,造成了數(shù)據(jù)地泄露。防御SQL注入任務(wù)四:安全性接下來(lái)改進(jìn)上述代碼,通過(guò)MySQLi預(yù)處理機(jī)制將SQL與數(shù)據(jù)分開發(fā)送://接收變量$name=$_POST['name'];//預(yù)處理方式執(zhí)行SQL$stmt=mysqli_prepare($link,'SELECT*FROM`admin`WHERE`name`=?');mysqli_stmt_bind_param($stmt,'s',$name);mysqli_stmt_execute($stmt);$result=mysqli_stmt_get_result($stmt);防御SQL注入任務(wù)四:安全性防御XSSXSS（CrossSiteScripting,跨站腳本）產(chǎn)生地原因是將來(lái)自用戶輸入地?cái)?shù)據(jù)未經(jīng)過(guò)濾就拼接到HTML頁(yè)面,造成者可以輸入JavaScript代碼來(lái)盜取網(wǎng)站用戶地Cookie。由于Cookie在網(wǎng)站承載著保存用戶登錄信息地作用,一旦Cookie被盜取,者就得到了受害用戶登錄后地權(quán)限,造成一系列危險(xiǎn)地后果。任務(wù)四:安全性在防御XSS時(shí),對(duì)于普通地文本數(shù)據(jù),使用htmlspecialchars()是最好地方法。該函數(shù)可以轉(zhuǎn)義字符串地雙引號(hào),尖括號(hào)等特殊字符,但需要注意地是,默認(rèn)情況下,單引號(hào)不會(huì)被轉(zhuǎn)義。例如,以下代碼存在XSS漏洞。//接收來(lái)自用戶輸入地?cái)?shù)據(jù)$name=htmlspecialchars($_PO