PHP是一种为我们熟知的通用服务器网页脚本语言。非常多的在线网站都是用PHP编写的。PHP这些年来一直在持续进化，丰富其功能，变得易于使用，更好地组织的脚本语言。目前PHP的开发团队正筹备下一个PHP版本的发行，名字是PHP 7。现在的PHP版本为PHP 5.6，可能你清楚PHP 6已经流产了，PHP 7的支持者们不希望下一个重要的版本被其他分支混淆，即过去已经停止很久的PHP 6。所以决定下一个PHP主要的发行版本叫PHP 7，而不是PHP 6。PHP 7.0预计在今年十一月份发行。

在下一代主要PHP版本里有一些不错的功能：

• 为了改善执行效率与内存占用，新的版本添加了PHPNG功能。
• 引入了JIT引擎来动态编译Zend操作码为自然机器码，以此来达到更快的处理性能。这项功能允许随后的程序调用同一份代码，这样会运行快很多。
• AST（抽象语法树）是最新添加的功能，它可以增强支持PHP的扩展性和用户应用。
• 添加异步编程功能以支持同一个请求中的并行任务。
• 新的版本会支持独立的多线程网页服务器，这样可以使用一个单独的存储池处理很多并发的请求。

在CentOS/Fedora上安装PHP 7

让我们来看看怎样在CentOS 7和Fedora 21安装PHP7。为了安装PHP7，我们首先需要克隆php-src 仓库。当克隆工作完成，我们再配置和编译它。进行下一步之前，我们要确保已经在LInux系统下安装了如下的组件，否则PHP编译会返回错误中止。

• Git
• autoconf
• gcc
• bison

所有上面提到的要求可以使用Yum软件包管理器安装。以下一条命令即可完成：

yum install git autoconf gcc bison

准备好开始安装PHP7了吗？让我们先创建一个PHP7目录，作为你的当前工作目录。

mkdir php7
cd php7

现在克隆php-src仓库，在终端里运行下面的命令。

git clone https://git.php.net/repository/php-src.git

工作应该会在几分钟后完成，这里是一个样例输出，你应该会在任务完成时看见。

[root@localhost php7]# git clone https://git.php.net/repository/php-src.git
Cloning into 'php-src'...
remote: Counting objects: 615064, done.
remote: Compressing objects: 100% (127800/127800), done.
remote: Total 615064 (delta 492063), reused 608718 (delta 485944)
Receiving objects: 100% (615064/615064), 152.32 MiB | 16.97 MiB/s, done.
Resolving deltas: 100% (492063/492063), done.

让我们来配置，编译PHP7，在终端运行下面的命令，开始配置工作：

cd php-src
./buildconf

下面是./buildconf命令的样例输出。

[root@localhost php-src]# ./buildconf
buildconf: checking installation...
buildconf: autoconf version 2.69 (ok)
rebuilding aclocal.m4
rebuilding configure
rebuilding main/php_config.h.in

使用下面的命令，继续配置进程：

./configure \
--prefix=$HOME/php7/usr \
--with-config-file-path=$HOME/php7/usr/etc \
--enable-mbstring \
--enable-zip \
--enable-bcmath \
--enable-pcntl \
--enable-ftp \
--enable-exif \
--enable-calendar \
--enable-sysvmsg \
--enable-sysvsem \
--enable-sysvshm \
--enable-wddx \
--with-curl \
--with-mcrypt \
--with-iconv \
--with-gmp \
--with-pspell \
--with-gd \
--with-jpeg-dir=/usr \
--with-png-dir=/usr \
--with-zlib-dir=/usr \
--with-xpm-dir=/usr \
--with-freetype-dir=/usr \
--with-t1lib=/usr \
--enable-gd-native-ttf \
--enable-gd-jis-conv \
--with-openssl \
--with-mysql=/usr \
--with-pdo-mysql=/usr \
--with-gettext=/usr \
--with-zlib=/usr \
--with-bz2=/usr \
--with-recode=/usr \
--with-mysqli=/usr/bin/mysql_config

这会花去不少的时间，当完成后你应该会看到如下面的输出：

creating libtool
appending configuration tag "CXX" to libtool
Generating files
configure: creating ./config.status
creating main/internal_functions.c
creating main/internal_functions_cli.c
+--------------------------------------------------------------------+
| License:                                                           |
| This software is subject to the PHP License, available in this     |
| distribution in the file LICENSE.  By continuing this installation |
| process, you are bound by the terms of this license agreement.     |
| If you do not agree with the terms of this license, you must abort |
| the installation process at this point.                            |
+--------------------------------------------------------------------+

Thank you for using PHP.

config.status: creating php7.spec
config.status: creating main/build-defs.h
config.status: creating scripts/phpize
config.status: creating scripts/man1/phpize.1
config.status: creating scripts/php-config
config.status: creating scripts/man1/php-config.1
config.status: creating sapi/cli/php.1
config.status: creating sapi/cgi/php-cgi.1
config.status: creating ext/phar/phar.1
config.status: creating ext/phar/phar.phar.1
config.status: creating main/php_config.h
config.status: executing default commands

运行下面的命令，完成编译过程。

make

“make”命令的样例输出如下所示：

Generating phar.php
Generating phar.phar
PEAR package PHP_Archive not installed: generated phar will require PHP's phar extension be enabled.
clicommand.inc
directorytreeiterator.inc
directorygraphiterator.inc
pharcommand.inc
invertedregexiterator.inc
phar.inc

Build complete.
Don't forget to run 'make test'.

活儿干完了，该安装PHP7了，运行下面的命令安装它。

make install

成功安装的进程的样例输出应该像这样：

[root@localhost php-src]# make install
Installing shared extensions:     /root/php7/usr/lib/php/extensions/no-debug-non-zts-20141001/
Installing PHP CLI binary:        /root/php7/usr/bin/
Installing PHP CLI man page:      /root/php7/usr/php/man/man1/
Installing PHP CGI binary:        /root/php7/usr/bin/
Installing PHP CGI man page:      /root/php7/usr/php/man/man1/
Installing build environment:     /root/php7/usr/lib/php/build/
Installing header files:          /root/php7/usr/include/php/
Installing helper programs:       /root/php7/usr/bin/
program: phpize
program: php-config
Installing man pages:             /root/php7/usr/php/man/man1/
page: phpize.1
page: php-config.1
Installing PEAR environment:      /root/php7/usr/lib/php/
[PEAR] Archive_Tar    - installed: 1.3.13
[PEAR] Console_Getopt - installed: 1.3.1
[PEAR] Structures_Graph- installed: 1.0.4
[PEAR] XML_Util       - installed: 1.2.3
[PEAR] PEAR           - installed: 1.9.5
Wrote PEAR system config file at: /root/php7/usr/etc/pear.conf
You may want to add: /root/php7/usr/lib/php to your php.ini include_path
/root/php7/php-src/build/shtool install -c ext/phar/phar.phar /root/php7/usr/bin
ln -s -f /root/php7/usr/bin/phar.phar /root/php7/usr/bin/phar
Installing PDO headers:          /root/php7/usr/include/php/ext/pdo/

恭喜你，PHP7已经安装在你的Linux系统上了。安装完后，进入PHP7安装文件里的sapi/cli里面。

cd sapi/cli

验证一下PHP的版本。

[root@localhost cli]# ./php -v
PHP 7.0.0-dev (cli) (built: Mar 28 2015 00:54:11)
Copyright (c) 1997-2015 The PHP Group
Zend Engine v3.0.0-dev, Copyright (c) 1998-2015 Zend Technologies

总结

PHP 7也添加到了remi仓库，这个即将到来的版本主要关注执行效率的提升，它的新特性致力于使PHP较好满足现代编程的需求和趋势。PHP 7.0将会有许多新的特性、丢弃一些老版本的东西。在接下来的日子里，我们希望看到新特性和弃用功能的具体情况。希望你喜欢！

via: http://linoxide.com/linux-how-to/install-php-7-centos-7-fedora-21/

作者：Aun Raza 译者：wi-cuckoo 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

一个月前，我们就开始了一年一度SitePoint框架人气调查。这个月结束后， 我们需要花点时间来看看结果。 共收到了7800多份问卷，远远超过我们迄今为止做的任何调查，甚至在过滤掉无效的问卷后，我们最终得到的有效参与者仍然很多。

首先第一件事情，如我们所承诺的，你可以在此 下载 详细的报告。请随便使用它 – 如果你对一些图表感兴趣，请与我们分享你的想法！可以阅读原文中的“数据”部分了解详细信息。

2015年最流行的框架

框架的赢家

要查看下面图片或全屏幕版本，只需点击它们。 或在新的标签页打开他们。

正如预期的那样，Laravel再次远远胜出。

有一些人可能会担心，部分框架的分支版本可能影响Laravel的胜出，但我们可以看到，即使合并其他的框架的各个版本，Laravel也能获胜。

下面将以表格形式来呈现数据， 只是因为我没有时间做漂亮的图表。我会尽快更新图表。

按国家统计框架

下面我们来看看所有超过50票的国家，这些都是他们最喜欢使用框架：

这是一个有趣的趋势观察。大多数英语国家青睐Laravel，而法国则对Symfony忠诚 – 这是它们自己的产品。有趣的是，一个令人难以置信的是大部分捷克人（在本调查中第二活跃的国家！）青睐Nette – 这个框架在西方世界知之甚少，而乌克兰最喜欢的当地框架 – PHPixie。当你观察前五名的国家会觉得更加有趣 – 不只是赢家– 你可以自己看看！

按年龄分组框架

最后，如果我们看看各年龄组的前5名框架，我们得到这样的结果：

Laravel再次领先所有框架，Symfony紧随其后，除了在最小年龄组的情况中 – PHPixie 也许是由于在学校中培训的原因？结果并不出乎意料，除了最小年龄组和最老年龄组似乎并不使用框架。最明显的是CodeIgniter，即便是现在，仍保持着很强的传统势力和忠实的用户群。

有趣的是，与去年同期相比Phalcon的人气急剧下降，甚至跌出了排行榜，这也许是由于样本量大增的原因？

不幸的是，由于去年一些抱怨，我们在本次调查没有包括性别数据。这本来是一个有趣的载体。

（注：本文是节译，完整报告请查看原文）。

摘要：在一个基于Vagrant的本地环境中，可能是某个错误的原因，导致HHVM测试结果很差；在HHVM伙伴们协助下，该原因仍在研究中！然而，在DigitalOcean的一个4GB虚拟机中，HHVM甚至盖过了最新版的PHP-NG的风头！

结论：它们反映出HHVM的功效更佳（在JIT热启动后），虽然出于某些原因，我们不能在所有装备中获取这些结果。

如果你记得我们在几个月前写过一篇文章，那时WordPress 3.9表明是完全支持HHVM的，当时是那么令我们欢欣鼓舞。最初的基准测试结果显示，HHVM要比驱动着当前所有PHP构建的Zend引擎高级得多。后来，问题就出来了：

• HHVM只能以单个用户运行，这意味着（在共享环境中）安全性差了
• HHVM在崩溃后不会自动重启，而不幸的是，它至今仍然经常发生
• HHVM在启动时使用大量内存，虽然，它和同规模的PHP-FPM比较，单个请求的内存使用量更低

很显然，你不得不根据你的（或者更确切地说是你的站点）的需求采取折中方案，然而这值得吗？切换到HHVM后，你期望获得多少性能改善呢？

在Kinsta，我们真的想要测试所有新技术，并通常会优化这一切来为我们的客户提供最佳的环境。今天，我最终花了点时间来配置测试环境并进行了一些测试来对比两个不同的构建，一个是全新出炉的WordPress安装，另外一个则添加了大量内容的WooCommerce！为了计量脚本的运行时间，我只是简单地添加了

<?php timer_stop(1); ?>

这一行到footer.php的/body标记前。

这里是配置环境的详情：

• DigitalOcean 4GB 雨滴容器 (2 CPU核心, 4GB RAM)
• Ubuntu 14.04, MariaDB10
• 测试站点： 已导入演示内容的Munditia主题，WooCommerce 2.1.12 & WordPress 3.9.1
• PHP 5.5.9, PHP 5.5.15, PHP 5.6.0 RC2, PHP-NG （20140718-git-6cc487d）和HHVM 3.2.0 （版本是PHP 5.6.99-hhvm）

没有进一步大费周章，这些就是我的测试结果，数值越低越好，以秒为单位：

DigitalOcean 4GB 雨滴容器

单位是秒，运行10次，越低越好

看起来似乎PHP-NG在它首次运行后就获得了峰值性能！HHVM需要更多几次重载，但是它们的性能貌似差不多！我等不及PHP-NG合并到开发主干了！：）

一分钟命中数，越高越好。

PHP 5.5.15禁用OpCache

• 执行： 236 hits
• 可用性： 100.00 %
• 消耗时间： 59.03 secs
• 传输的数据： 2.40 MB
• 回应时间： 2.47 secs
• 执行率： 4.00 trans/sec
• 吞吐量： 0.04 MB/sec
• 并发数： 9.87
• 成功的执行： 236
• 失败的执行： 0
• 最长执行： 4.44
• 最短执行： 0.48

PHP 5.5.15启用OpCache

• 执行： 441 hits
• 可用性： 100.00 %
• 消耗时间： 59.55 secs
• 传输的数据： 4.48 MB
• 回应时间： 1.34 secs
• 执行率： 7.41 trans/sec
• 吞吐量： 0.08 MB/sec
• 并发数： 9.91
• 成功的执行： 441
• 失败的执行： 0
• 最长执行： 2.19
• 最短执行： 0.64

PHP 5.6 RC2禁用OpCache

• 执行： 207 hits
• 可用性： 100.00 %
• 消耗时间： 59.87 secs
• 传输的数据： 2.10 MB
• 回应时间： 2.80 secs
• 执行率： 3.46 trans/sec
• 吞吐量： 0.04 MB/sec
• 并发数： 9.68
• 成功的执行： 207
• 失败的执行： 0
• 最长执行： 3.65
• 最短执行： 0.54

PHP 5.6 RC2启用OpCache

• 执行： 412 hits
• 可用性： 100.00 %
• 消耗时间： 59.03 secs
• 传输的数据： 4.18 MB
• 回应时间： 1.42 secs
• 执行率： 6.98 trans/sec
• 吞吐量： 0.07 MB/sec
• 并发数： 9.88
• 成功的执行： 412
• 失败的执行： 0
• 最长执行： 1.93
• 最短执行： 0.34

HHVM 3.2.0（版本是PHP 5.6.99-hhvm）

• 执行： 955 hits
• 可用性： 100.00 %
• 消耗时间： 59.69 secs
• 传输的数据： 9.18 MB
• 回应时间： 0.62 secs
• 执行率： 16.00 trans/sec
• 吞吐量： 0.15 MB/sec
• 并发数： 9.94
• 成功的执行： 955
• 失败的执行： 0
• 最长执行： 0.85
• 最短执行： 0.23

PHP-NG启用OpCache（构建: Jul 29 2014）

• 执行： 849 hits
• 可用性： 100.00 %
• 消耗时间： 59.88 secs
• 传输的数据： 8.63 MB
• 回应时间： 0.70 secs
• 执行率： 14.18 trans/sec
• 吞吐量： 0.14 MB/sec
• 并发数： 9.94
• 成功的执行： 849
• 失败的执行： 0
• 最长执行： 1.06
• 最短执行： 0.13

注意：这里节略了前一次的测试结果（有误），如感兴趣请访问原文查看。

via: https://kinsta.com/blog/real-world-wordpress-benchmarks-with-php5-5-php5-6-php-ng-and-hhvm/

作者：Mark Gavalda 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

通常，大多数默认设置安装的web服务器存在信息泄露，这其中之一就是PHP。PHP 是如今流行的服务端html嵌入式语言（之一？）。在如今这个充满挑战的时代，有许多攻击者会尝试发现你服务端的漏洞。因此，我会简单描述如何在Linux服务器中隐藏PHP信息。

默认上expose\_php默认是开的。关闭“expose\_php”参数可以使php隐藏它的版本信息。

[root@centos66 ~]# vi /etc/php.ini

在你的php.ini, 定位到含有expose\_php的那行把On设成Off：

expose_php = Off

在此之前，web服务器头看上去就像这样：

[root@centos66 ~]# curl -I http://www.ehowstuff.com/

HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.3
X-Pingback: http://www.ehowstuff.com/xmlrpc.php
Date: Wed, 11 Feb 2015 14:10:43 GMT
X-Page-Speed: 1.9.32.2-4321
Cache-Control: max-age=0, no-cache

更改并重启 Web 服务后，php就不会在web服务头中显示版本了：

HTTP/1.1 200 OK
Server: nginx
Date: Wed, 11 Feb 2015 15:38:14 GMT
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Pingback: http://www.ehowstuff.com/xmlrpc.php
Date: Wed, 11 Feb 2015 14:10:43 GMT
X-Page-Speed: 1.9.32.2-4321
Cache-Control: max-age=0, no-cache

LCTT译注：除了 PHP 的版本之外，Web 服务器也会默认泄露版本号。如果使用 Apache 服务器，请参照此文章关闭Apache 版本显示；如果使用 Nginx 服务器，请在 http 段内加入server_tokens off; 配置。以上修改请记得重启相关服务。

via: http://www.ehowstuff.com/how-to-hide-php-version-in-linux/

作者：skytech 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

建议用户马上更新可用的补丁

这个漏洞之前由Qualys的安全研究员发现，并取了绰号叫Ghost，可以利用WordPress或其他PHP应用来攻击网站服务器。

这个瑕疵是一个缓冲区溢出问题，可以被攻击者触发用来获取Linux主机的命令行执行权限。发生在glibc的“\_\_nss\_hostname\_digits\_dots()”函数中，它会被“gethostbyname()”函数用到。

PHP应用可以用来利用这个瑕疵

Sucuri的Marc-Alexandre Montpas说之所以这个问题很重要是因为这些函数在大量软件和服务器系统使用。

“说这是个严重问题的一个例子是WordPress本身：它使用一个叫wp\_http\_validate\_url()的函数来验证每个pingback的发送URL，它是通过PHP应用的“gethostbyname()”函数替代来执行的”，他在周三的一篇博客文章里写到。

攻击者可以用这种方式来引入一个设计用来触发服务器端漏洞的恶意URL，从而获得系统访问权限。

实际上，Trustwave的安全研究人员提供了验证代码，可以使用WordPress的pingback功能引起缓冲区溢出。

多个Linux发行版受到影响

ghost漏洞存在于glibc 2.17以上版本中，发布于2013年5月21日。glibc当前版本是2.20，发布于2014年9月。

不过，当时并没有升级为一个安全补丁，许多发行版并没有包含进去，特别是提供长期支持（LTS）的发行版。

受影响的系统包括Debian 7（wheezy），Red Hat企业版Linux 6和7，CentOS 6和7，Ubuntu 12.04。幸运的是，Linux供应商已经开始发布可以减轻风险的升级补丁。建议用户马上下载并更新。

为了展示这个漏洞，Qualys建立了一个利用它通过Exim邮件服务器运行远程代码的试验页面。这家安全公司声称在这个漏洞丢掉半条命之前不会关闭这个页面，意思是受影响的系统的数量降到50%的水平。

Linux上存在漏洞的应用包括clockdiff，ping和arping（在某些特定情况下），procmail，pppd，和Exim邮件服务器。

via: http://news.softpedia.com/news/WordPress-Can-Be-Used-to-Leverage-Critical-Ghost-Flaw-in-Linux-471730.shtml

作者：Ionut Ilascu 译者：zpl1025 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

AUTH：PHILO EMAIL：lijianying12 at gmail.com

基于POST GET 的http通讯虽然非常成熟，但是很容易被人监听。 并且如果使用跨域jsonp的通讯很容易在历史记录中发现通讯网址以及参数。为了克服这些问题， 并且降低服务器成本，我们没有使用SSL而使用 RSA加密。文章中的php加密解密 JS的加密解密 互相加密解密 都能验证通过。

其中PHP依赖常见的OPENSSL LIB 。 JS依赖 jsencrypt。

我们使用jsonp get RSA加密通讯好处如下：

1. 前后分离适合cdn加速。
2. 安全跨域更适合松散结构的网站。
3. 不用去买ssl证书了。

首先要生成密匙对

openssl genrsa 1024 > private.key
openssl rsa -in private.key -pubout > public.key

JS的RSA加密流程

下载最新版本请移步到github：jsencrypt 代码在目录BIN下面是否用压缩的根据情况决定。

生成KEY

var keySize = 1024; //加密强度
var crypt = new JSEncrypt({default_key_size: keySize});  //RSA 操作对象
//方法1 (async)
crypt.getKey(function () {
    crypt.getPrivateKey();
    crypt.getPublicKey();
});
//方法2：
crypt.getKey();
crypt.getPrivateKey();
crypt.getPublicKey();

客户端加密场景：

var crypt1 = new JSEncrypt(); //新建rsa对象
        var publickey = '\
        -----BEGIN PUBLIC KEY-----\
        MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3N8LJFqlsa6loCgFpgZVMr/Sx\
        DMQY7pr0euNQfh2g+UVPbB0MGhoc7nWL0FQhCgDedbjQw/nGFStFx7W1+0o1oRTY\
        u5ebNVivZSobraUv7LJvwT8O66Zs8cxbKLqQ/nE/WwJvXomSIckH6R8iOUO8/QT9\
        kv6/L0Uma3qA07pmDQIDAQAB\
        -----END PUBLIC KEY-----\
                ';
crypt1.setPublicKey(publickey );//添加来自服务端的publickey
crypt1.encrypt('abc'); //返回值为加密后的结果

客户端解密场景:

        var privatekey = '-----BEGIN RSA PRIVATE KEY-----\
        MIICXQIBAAKBgQC3N8LJFqlsa6loCgFpgZVMr/SxDMQY7pr0euNQfh2g+UVPbB0M\
        Ghoc7nWL0FQhCgDedbjQw/nGFStFx7W1+0o1oRTYu5ebNVivZSobraUv7LJvwT8O\
        66Zs8cxbKLqQ/nE/WwJvXomSIckH6R8iOUO8/QT9kv6/L0Uma3qA07pmDQIDAQAB\
        AoGBAKba3UWModbfZXQeSJLxNCqWw9zJp3ydL/keQQ35DLqgyIJAD2QKEWXvtJUT\
        sMo19fyicSGOmFXQyYvPCKkmpLkOMAj1XaNpSMtSrcMx+gC01PO6Ey9rsUxW1g3u\
        fpqbEk9E3a5AtCS0I61nbUpRL6rqMtR5o2wcNR3TLtJt7pjxAkEA7hlFJKU1zWGp\
        OvvkJDnHc2NOCEJoGjqCR9wwv96+/xAykl2laI6WvEbbhjoO0+8+d17oigjhneS5\
        2UKFcfqw7wJBAMT+MCQ5TYLQlvjrBaDMqOdLsqtaDE6CpkrgwV820QMvHOo3R4Xd\
        uSbrA2tOr9t2/x+FzF971lRGdPFIch9UYMMCQQCZtO6SDaWCBP3++gX57OL5dq41\
        XsldxU+9nERMWTvr5UUAgDv8F7Dvsr6dFHXmE5i77yUnlzwvdi0UOIF1Z2U5AkBV\
        wyRKYPgx34Ya0JcerntKV1Zt60I4XADx0G/feAn/DN/VyENHMISPQPm4GgXN0jy4\
        CJQ1bcCd6B65fQTSRvXpAkA2Vv5yXzeKDls/AyxHEoros/VYftVc1HOFC++q13Rw\
        NH2rnlRT8FMTFEqL9MYRqvvYAFf5VmH0M1Nx5t4LRN+l\
        -----END RSA PRIVATE KEY-----\
                ';
var crypt2 = new JSEncrypt();//新建加密对象
crypt2.setPrivateKey(privatekey);//给加密对象设置privatekey
crypt2.getPublicKey();//Tip 我们是不需要存储publickey的直接用private能得到publickey
crypt2.decrypt("MeUqWB5LwTh8crzPqbZtEtKuZxYvPWH9CTCChK1qoBzIgIXGPCdzNMbiH0cCYHl5qWSERIDOgDIgv4dXsIMjEJ5q0cp/qNQYHM5va0iw0UvKvQB1E8aWtY2nFEPy4F+ArQ0Mj/ijr/CntEP1jHKC3WU9nu2kYrBIBnbj14Bs+kI=");//调用解密方法

但是虽然写到了这里，加密方面还是不够用，因为1024长度的RSA加密最多只能加密长度为117的字符串。而URL长度最多为4k因此这里我们要让加密长度达到2691以达到能用的程度。

那么这种加密长度大概能容纳多少数据呢？ 我们借助json-generator来帮忙生成JSON

    sdata =[
        {
            "_id": "542f9ac2359c7d881bc0298e",
            "index": 0,
            "guid": "db1dacc1-b870-4e3c-bc1a-80dfd9506610",
            "isActive": false,
            "balance": "$1,570.15",
            "picture": "http://placehold.it/32x32",
            "age": 36,
            "eyeColor": "blue",
            "name": "Effie Barr",
            "gender": "female",
            "company": "ZORK",
            "email": "[email protected]",
            "phone": "+1 (802) 574-3379",
            "address": "951 Cortelyou Road, Wikieup, Colorado, 4694",
            "about": "Sunt reprehenderit do laboris velit qui elit duis velit qui. Nostrud sit eiusmod cillum exercitation veniam ad sint irure cupidatat sunt consectetur magna. Amet nisi velit laboris amet officia et velit nisi nostrud ipsum. Cupidatat et fugiat esse minim occaecat cillum enim exercitation laboris velit nisi est enim aute. Enim do pariatur
",
            "registered": "2014-05-08T15:26:35 -08:00",
            "latitude": 48.576424,
            "longitude": 146.634137,
            "tags": [
                "esse",
                "proident",
                "quis",
                "consectetur",
                "magna",
                "tempor",
                "anim"
            ],
            "friends": [
                {
                    "id": 0,
                    "name": "Trisha Cannon"
                },
                {
                    "id": 1,
                    "name": "Todd Bullock"
                },
                {
                    "id": 2,
                    "name": "Eileen Drake"
                },
                {
                    "id": 3,
                    "name": "Ferrell Kelly"
                },
                {
                    "id": 4,
                    "name": "Fischer Blankenship"
                },
                {
                    "id": 5,
                    "name": "Morales Mann"
                },
                {
                    "id": 6,
                    "name": "Brandie Pittman"
                },
                {
                    "id": 7,
                    "name": "Virgie Kerr"
                }
            ],
            "greeting": "Hello, Effie Barr! You have 1 unread messages.",
            "favoriteFruit": "apple"
        },
        {
            "_id": "542f9ac21c260d03e763a4f2",
            "index": 1,
            "guid": "9e3a3d8a-26f8-46b7-aca0-336a194808b1",
            "isActive": true,
            "balance": "$3,617.89",
            "picture": "http://placehold.it/32x32",
            "age": 31,
            "eyeColor": "brown",
            "name": "Butler Best",
            "gender": "male",
            "company": "SPORTAN",
            "email": "[email protected]",
            "phone": "+1 (905) 428-3046",
            "address": "798 Joval Court, Wanship, Delaware, 8974",
            "about": "Nostrud occaecat id sunt pariatur ad nisi do veniam sit officia non consequat amet fugiat. Est eiusmod labore ut cillum qui eu elit ut eiusmod exercitation. Ut anim nostrud eiusmod voluptate tempor proident id do pariatur. In Lorem ullamco ea irure adipisicing. Quis est dolor ex commodo aliqua nisi elit sit elit anim fugiat sunt amet. Enim consequat ipsum occaecat ipsum tempor deserunt dolor veniam nostrud. Anim cillum ullamco cupidatat aute velit fugiat sit enim in amet anim mollit dolor eiusmod.
",
            "registered": "2014-08-02T06:15:44 -08:00",
            "latitude": -20.529765,
            "longitude": 2.396578,
            "tags": [
                "consequat",
                "enim",
                "magna",
                "sunt",
                "Lorem",
                "quis",
                "commodo"
            ],
            "friends": [
                {
                    "id": 0,
                    "name": "Kenya Rice"
                },
                {
                    "id": 1,
                    "name": "Hale Knowles"
                },
                {
                    "id": 2,
                    "name": "Michael Stephens"
                },
                {
                    "id": 3,
                    "name": "Holder Bailey"
                },
                {
                    "id": 4,
                    "name": "Garner Luna"
                },
                {
                    "id": 5,
                    "name": "Alyce Sawyer"
                },
                {
                    "id": 6,
                    "name": "Rivas Owens"
                },
                {
                    "id": 7,
                    "name": "Jan Petersen"
                }
            ],
            "greeting": "Hello, Butler Best! You have 8 unread messages.",
            "favoriteFruit": "banana"
        }
    ]

表单json能达到这么长已经是很极端的情况了。因此这种方法绝对是够用的。

长表单内容加解密方法：

function encrypt_data(publickey,data)
{
    if(data.length> 2691){return;} // length limit
    var crypt = new JSEncrypt();
    crypt.setPublicKey(publickey);
    crypt_res = "";
    for(var index=0; index < (data.length - data.length%117)/117+1 ; index++)
    {
        var subdata = data.substr(index * 117,117);
        crypt_res += crypt.encrypt(subdata);
    }
    return crypt_res;
}
function decrypt_data(privatekey,data)
{
    var crypt = new JSEncrypt();
    crypt.setPrivateKey(privatekey);
    datas=data.split('=');
    var decrypt_res="";
    datas.forEach(function(item)
    {
        if(item!=""){de_res += crypt.decrypt(item);}
    });
    return decrypt_res;
}

##########NextPage[title=]##########

PHP的RSA加密

php加密解密类

首先要检查phpinfo里面有没有openssl支持

class mycrypt {  

    public $pubkey;  
    public $privkey;  

    function __construct() {  
                $this->pubkey = file_get_contents('./public.key');  
                $this->privkey = file_get_contents('./private.key');  
    }  

    public function encrypt($data) {  
        if (openssl_public_encrypt($data, $encrypted, $this->pubkey))  
            $data = base64_encode($encrypted);  
        else  
            throw new Exception('Unable to encrypt data. Perhaps it is bigger than the key size?');  

        return $data;  
    }  

    public function decrypt($data) {  
        if (openssl_private_decrypt(base64_decode($data), $decrypted, $this->privkey))  
            $data = $decrypted;  
        else  
            $data = '';  

        return $data;  
    }  

}  

密匙文件位置问题，是放到访问接口的附近就可以了如果是CI的话就放到index.php旁边就行了。 但是要注意一点，一定要做访问设置，不然key会暴出来的，那时候信息一旦截获就惨了。

类的使用

$rsa = new mycrypt();  
echo $rsa -> encrypt('abc');  
echo $rsa -> decrypt('W+ducpssNJlyp2XYE08wwokHfT0bm87yBz9vviZbfjAGsy/U9Ns9FIed684lWjYyyofi/1YWrU0Mp8vLOYi8l6CfklBY=');  

长数据加密解密

function encrypt_data($publickey,$data)
{
    $rsa = new mycrypt();
    if($publickey != ""){
        $rsa -> pubkey = $publickey;
    }
    $crypt_res = "";
    for($i=0;$i<((strlen($data) - strlen($data)%117)/117+1); $i++)
    {
        $crypt_res = $crypt_res.($rsa -> encrypt(mb_strcut($data, $i*117, 117, 'utf-8')));
    }
    return $crypt_res;
}
function decrypt_data($privatekey,$data)
{
    $rsa = new mycrypt();
    if($privatekey != ""){  // if null use default
        $rsa ->privkey = $privatekey;
    }
    $decrypt_res = "";
    $datas = explode('=',$data);
    foreach ($datas as $value)
    {
        $decrypt_res = $decrypt_res.$rsa -> decrypt($value);
    }
    return $decrypt_res;
}

JSONP 跨域通讯

我们经过千辛万苦经过加密终于能做到通讯安全了。 当然我们的下一步是通过JSONP 的get通讯来实现跨域通讯啦。 经过测试：我们的JS中最长的Case url长度是3956 在加上跨域url callbac参数，经过测试正好差20到4095 （一般的URI长度限制为4K）

$.ajax({  
    type:"get",  
    async:false,  // 设置同步通讯或者异步通讯
    url:"http://22500e31b5a12457.sinaapp.com/ubtamat/getPubKey?c=hknHQKIy3dyeeajyAwZ+raUkV1ezFbgU8zk+54cNQtrcEGozUjXpYhbC6fxz2hCOgp9feIsM1xKJFm5pkAGQ2UcUOc5EJNCAz6L0mXkZbTBmh3PufWxOE7TaicqRCRtZGGNB2qpm2WruXjYg1lPcrPz/rhFZx4DSJvEHkCm7ZU0=......(加密后的结果太长，省略)",  
    dataType:"jsonp",
    jsonp: "",
}); 

header("Content-type: application/javascript; charset=utf-8");
$response = "console.log('test response!')";
$callback = $this->input->GET('callback');
echo $callback.$response;

PHP代码是CI框架controler中的部分代码 并且经过了必要的裁剪。 更加细节的参数都放到GET里面就可以了。 处理之后按照上面的形式处理返回值就ok 如果你配置成功了，你将会在网页的控制台上看到自己动态的， 或者像我一样静态的控制台输出。 如果要是想获取数据到网页的话还是要借助回调函数来实现

JSONP跨域获取通讯结果

请看下面代码：

客户端代码

var global = null;
function jpc(result)
{
    global = result.msg;
}

$.ajax({  
    type:"get",  
    async:false,  // 设置同步通讯或者异步通讯
    url:"http://22500e31b5a12457.sinaapp.com/ubtamat/getPubKey",  
    dataType:"jsonp",
    jsonp: "jpc",
}); 

服务器端代码

header("Content-type: application/javascript; charset=utf-8");
$response = "jpc({'msg':123456})";
$callback = $this->input->GET('callback');
echo $callback.$response;

此次通讯的结果会在jcp当中调用执行，并且返回的内容会记录到 global 变量当中。

实战

从上文中，我们已经找到了整个加密过程方法了，但是距离实战还是有一定距离的。 首先我们实战的话需要克服接口比较少，功能比较多，单个接口维护用时比较长的问题。

为了解决上面的问题我们做出如下设计。

客户端方面：

设计一个通讯类：只管跟服务器通讯。别的业务什么都不管。

//create connection object.
var ConnServ = new Object();

ConnServ.tmpResponse = "not initial";

//call back function register slot.
ConnServ.CallBackFunction=function(){console.log(
    "call back function set error ! U must set a business call back function!"
)};

//input only encrypted data!!!
//send data to server
ConnServ.send=function(data)
{
    data = data.replace(/\+/g,"$");  //replace all + as $
    $.ajax({
        type:"get",
        async:false,  
        url:"http://22500e317.sinaapp.com/ubtamat?c="+data,
        dataType:"jsonp",
        jsonp: "jpc"
    });
    return "Send Finish";
}

//default call back funcation
function jpc(res)
{
    ConnServ.tmpResponse = res.msg;
    ConnServ.CallBackFunction();
}


//public key store.
ConnServ.getpublickey = function()
{
    return "\-" +
        "----BEGIN PUBLIC KEY----- " +
...................................................
        "-----END PUBLIC KEY-----";
}

在上面代码中请注意，RSA加密过后的字符串当中有一个非法字符+要转换成其他合法字符发送到服务器才可以。 不然参数会错误。 等传输到服务器中自己转换回来在解密就好了。

服务器端方面：

首先我们接收到消息之后要对消息进行解密，之后根据报文内容选择服务器上的功能。然后把其他参数输入到业务类中执行即可。 因此我们使用了命令模式来实现单一接口的丰富业务功能。 其他的我们需要对CI框架的配置进行调整： 首先global config里面需要调整 $config['global\_xss\_filtering'] = FALSE; 因为如果传输过来的报文解密不了就直接抛弃不进行处理（防止CC攻击第一层）这样就从url上防止了攻击的可能性。 当然我们还是没有完全避免注入风险这时我们就需要在业务类里面调用安全模块：

 $this->security->xss_clean()

来实现第二层的XSS攻击。这是服务器端设计主要需要说的位置。

服务器获取数据处理全过程

1. 从get接口获得参数c的加密数据
2. 对数据进行RSA解密。

3. 判断数据包时间戳。如果超时直接抛弃（防止从浏览器记录中直接发送request到服务器，下面是安全方面的说明）

   • 首先如果不修改数据只修改时间戳不可能从截获的数据报文中实现，因为需要重新加密，如果想得到内容需要服务器上的privatekey解密保证安全
   • 如果数据包截获直接发送数据包在超时范围内直接获取数据包内容，也不能实现攻击，因为在客户端有临时RSA密匙对生成并且在发送的时候会同时发送publickey 给服务器做session的存储内容并且伪装客户的客户端没有privatekey所以获取任何关于登陆之后的消息根本无法解析。
4. 对解密后的数据进行xss检查
5. 解析报文中需要调用什么功能直接调用反射得到业务类的实例
6. 调度业务类，并且把得到的参数赋值给业务执行函数的参数。

服务器处理数据过程只跟业务有关

服务器返回数据全过程

1. 业务处理完成之后针对每一个用户的登陆情况对返回值进行加密。
2. response

以上业务涉及的部分代码（给出的代码未涉及以上说的安全部分。）

//CI 控制器里面的方法
public function index()
{
    header("Content-Type: text/html;charset=UTF-8");
    $callback = $this -> input->GET('callback');
    $input_data = str_replace("$","+",$this->input->GET('c'));
    $input_data =$this -> rsa->decrypt_data($input_data);
    if($input_data == ""){return;}//如果数据不对解析就会失败，直接抛弃数据包，避免cracker构造数据包问题
    //这里插入时间戳检查代码
    //这插入xss检查
    $output_data = command($input_data);
    $response = "jpc({'msg':".$output_data."})";
    $callback = $this->input->GET('callback');
    echo $callback.$response;
}

//命令模式中的业务调度方法
function command($input)
{
    try
    {
        $obj_input = json_decode($input);
        $action = $obj_input -> {"action"};
        $business_action = new ReflectionClass($action);
        $instance  = $business_action->newInstanceArgs();
        $output = $instance->Action($obj_input);
        //对output变量进行rsa加密
        return "'".$output."'"; // here only accept string
    }
    catch(Exception $e)
    {
        return  "'".$e->getMessage()."'";
    }
}

以下是配合业务进行的工具函数：

//命令接口定义
interface ICommand {
    function Action($arg_obj);
} 
//把此函数放到system/core/common.php
//实现了输入一个文件夹就自动加载所有文件夹中的所有的类。
if ( ! function_exists('require_once_dir'))
{
    function require_once_dir($path)
    {
        $dir_list = scandir($path);
        foreach($dir_list as $file)
        {
            if ( $file != ".." && $file != "." )
            {
                require_once($path."/".$file);
            }
        }
    }
}

//使用：
//在application/config/autoload.php中添加类似如下代码：
require_once_dir(APPPATH."/controllers/lib");
require_once_dir(APPPATH."/controllers/actions");

以下是实现业务的例子：

class register implements  ICommand{
    public function Action($arg_obj)
    {
        return "we are do nothing: ".json_encode($arg_obj);
    }
}

通过以上基本方法，我们可以实现，只要业务继承我们声明的接口就可以开始写业务了。 别的什么都不用管，专注于业务即可，其他的安全、IO等问题都已经一并解决。 并且每一个业务都进行了rsa加密xss攻击过滤伪造数据包攻击。 以及在response加密只能是固定客户端才能看到报文内容的全过程。 但是一定要注意一点，注册这个业务后面要嵌套登陆进行，不然看不到返回值。

数据包必须包含的要素：

1. acton （业务名）
2. req\_time (请求时间)
3. public\_key (如果是注册跟登陆时候需要提交临时公匙)

总结

因为时间仓促所以只能写到这里了。 如果您发现了我文章中的bug欢迎发email批评指正。非常感谢！ 同时本方案也会成为我们开源社区linux52.com后台系统中的接口设计方案。 当然我们社区所有维护的文档都会进行反复验证，如果出问题我们会及时更新。 以维护文档的正确性。 点击=这=里=查看文档最新版本。

关键词

php js rsa get jsonp 跨域 安全