基礎

1. 簡介概述

●PHP是腳本語言-是一門弱類型語言，不需要事先編譯
●PHP 腳本在服務器上執行，然后向瀏覽器發送回純文本的 HTML 結果
●超文本預處理器，服務器端腳本語

2.創建（聲明）PHP變量

● 變量以 $ 符號開始，后面跟著變量的名稱
● 變量名必須以字母或者下劃線字符開始
● 變量名只能包含字母數字字符以及下劃線（A-z、0-9 和 _ ）
● 變量名不能包含空格
● 變量名是區分大小寫的（$y 和 $Y 是兩個不同的變量）

3.PHP 數據類型

String（字符串）, Integer（整型）, Float（浮點型）, Boolean（布爾型）, Array（數組）, Object（對象）, NULL（空值）

4.什么是 PHP 文件？

● PHP 文件能夠包含文本、HTML、CSS 以及 PHP 代碼
● PHP代碼在服務器上執行，而結果以純文本返回瀏覽器
● PHP 文件的后綴是.php

安全

1.屏蔽PHP錯誤輸出。

在/etc/php.ini(默認配置文件位置)，將如下配置值改為Off

display_errors=Off

2.屏蔽PHP版本。

默認情況下PHP版本會被顯示在返回頭里，如：Response Headers X-powered-by: PHP/7.2.0

將php.ini中如下的配置值改為Off

expose_php=Off

3.關閉全局變量。

開啟方法是在php.ini中修改如下：

register_globals=On

建議關閉，參數如下：

register_globals=Off

4.文件系統限制

可以通過open_basedir來限制PHP可以訪問的系統目錄。

設置方法如下：

open_basedir=/var/www

5.禁止遠程資源訪問。

allow_url_fopen=Off allow_url_include=Off

6.Suhosin。

Suhosin是一個PHP程序的保護系統。它的設計初衷是為了保護服務器和用戶，抵御PHP程序和PHP核心中已知或者未知的缺陷（感覺挺實用的，可以抵御一些小攻擊）。Suhosin有兩個獨立的部分，使用時可以分開使用或者聯合使用。

第一部分是一個用于PHP核心的補丁，它能抵御緩沖區溢出或者格式化串的弱點（這個必須的！）；

第二部分是一個強大的 PHP擴展（擴展模式挺好的，安裝方便…），包含其他所有的保護措施。