最近迁移服务器,将 PHP 升级到 8.0.10 之后,且关闭 PHP warning 报错,博客首页、文章页显示“有点尴尬诶!该页无法显示”。

一开始以为数据库导入有问题,文章没有导入。进入后台查看,文章虽然都还在,但查看文章具体页面,均是“有点尴尬诶!该页无法显示”。
恰好点开评论,遇到函数报错,无法打开评论管理界面,猜测是受 PHP 8。

回退到 PHP 7.4.23 之后,文章正常显示。
科技改变生活, 编程改变世界
最近迁移服务器,将 PHP 升级到 8.0.10 之后,且关闭 PHP warning 报错,博客首页、文章页显示“有点尴尬诶!该页无法显示”。
一开始以为数据库导入有问题,文章没有导入。进入后台查看,文章虽然都还在,但查看文章具体页面,均是“有点尴尬诶!该页无法显示”。
恰好点开评论,遇到函数报错,无法打开评论管理界面,猜测是受 PHP 8。
回退到 PHP 7.4.23 之后,文章正常显示。
为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般会对密码进行单向不可逆加密——哈希。
常见的方式是:
哈希方式 | 加密密码 |
md5(‘123456’) | e10adc3949ba59abbe56e057f20f883e |
md5(‘123456’ . ($salt = ‘salt’)) | 207acd61a3c1bd506d7e9a4535359f8a |
sha1(‘123456’) | 40位密文 |
hash(‘sha256’, ‘123456’) | 64位密文 |
hash(‘sha512’, ‘123456’) | 128位密文 |
密文越长,在相同机器上,进行撞库消耗的时间越长,相对越安全。
比较常见的哈希方式是 md5 + 盐,避免用户设置简单密码,被轻松破解。
但是,现在要推荐的是 password_hash() 函数,可以轻松对密码实现加盐加密,而且几乎不能破解。
$password = '123456'; var_dump(password_hash($password, PASSWORD_DEFAULT)); var_dump(password_hash($password, PASSWORD_DEFAULT));
password_hash 生成的哈希长度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使用。
每一次 password_hash 运行结果都不一样,因此需要使用 password_verify 函数进行验证。
$password = '123456'; $hash = password_hash($password, PASSWORD_DEFAULT); var_dump(password_verify($password, $hash));
password_hash 会把计算 hash 的所有参数都存储在 hash 结果中,可以使用 password_get_info 获取相关信息。
$password = '123456'; $hash = password_hash($password, PASSWORD_DEFAULT); var_dump(password_get_info($hash));
输出 array(3) { ["algo"]=> int(1) ["algoName"]=> string(6) "bcrypt" ["options"]=> array(1) { ["cost"]=> int(10) } } 注意不包含 salt
可以看出我当前版本的 PHP 使用 PASSWORD_DEFAULT 实际是使用 PASSWORD_BCRYPT。
password_hash($password, $algo, $options) 的第三个参数 $options 支持设置至少 22 位的 salt。但仍然强烈推荐使用 PHP 默认生成的 salt,不要主动设置 salt。
当要更新加密算法和加密选项时,可以通过 password_needs_rehash 判断是否需要重新加密,下面的代码是一段官方示例
$options = array('cost' => 11); // Verify stored hash against plain-text password if (password_verify($password, $hash)) { // Check if a newer hashing algorithm is available // or the cost has changed if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { // If so, create a new hash, and replace the old one $newHash = password_hash($password, PASSWORD_DEFAULT, $options); } // Log user in }
password_needs_rehash 可以理解为比较 $algo + $option 和 password_get_info($hash) 返回值。
password_hash 是出了名的运行慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低。
$password = '123456'; var_dump(microtime(true)); var_dump(password_hash($password, PASSWORD_DEFAULT)); var_dump(microtime(true)); echo "\n"; var_dump(microtime(true)); var_dump(md5($password)); for ($i = 0; $i < 999; $i++) { md5($password); } var_dump(microtime(true));
输出 float(1495594920.7034) string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm" float(1495594920.7818) float(1495594920.7818) string(32) "e10adc3949ba59abbe56e057f20f883e" float(1495594920.7823)
password_hash 运行一次耗时 784 毫秒, md5 运行 1000 次耗时 5 毫秒。这是一个非常粗略的比较,跟运行机器有关,但也可以看出 password_hash 运行确实非常慢。
通过 php curl 请求网页并不能获取到证书信息,此时需要使用 ssl socket 获取证书内容。
// 创建 stream context $context = stream_context_create([ 'ssl' => [ 'capture_peer_cert' => true, 'capture_peer_cert_chain' => true, ], ]); $resource = stream_socket_client("ssl://$domain:$port", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context); $cert = stream_context_get_params($resource); $ssl = $cert['options']['ssl']; $resource = $ssl['peer_certificate']; // 网站证书中只有公钥,通过 openssl_pkey_get_details 导出公钥 $ret = [ 'crt' => '', 'pub' => '', ]; $pkey = openssl_pkey_get_public($resource); $ret['pub'] = openssl_pkey_get_details($pkey)['key']; openssl_x509_export($resource, $pem); $ret['crt'] = $pem; foreach ($ssl['peer_certificate_chain'] as $resource) { openssl_x509_export($resource, $pem); $ret['crt'] .= "\n" . $pem; } // 保存 $ret['crt'] 为 domain.crt // 保存 $ret['pub'] 为 domain.pub return $ret;
验证证书中的公钥A是否正确,通过私钥导出公钥B,比较两者发现一致。
$domain = 'blog.zhengxianjun.com'; $port = '443'; // ... $pub_a = $ret['pub']; $private_key_path = '/conf/ssl/blog.zhengxianjun.com.key'; // 证书没有设置密码,$passphrase 为空字符串 $pkey = openssl_pkey_get_private(file_get_content($private_key_path), $passphrase = ''); $pub_b = openssl_pkey_get_details($pkey)['key']; // 两者一致 var_dump($pub_a === $pub_b);
函数 stream_socket_client 还有一个用途是当知道服务器 IP 时,能获取到服务器可能可以使用的域名。
$resource = stream_socket_client("ssl://$ip:$port", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context); $cert = stream_context_get_params($resource); // 解析 X.509 格式证书 $info = openssl_x509_parse($cert['options']['ssl']['peer_certificate']); // 获取证书中的可信域名列表 $domain = str_replace('DNS:', '', $info['extensions']['subjectAltName']);
以上可以看到获取网站证书并不能获得私钥。
在一些使用 CDN 的站点,如果使用了 HTTPS 同时又希望使用自有域名,是否需要将自己的私钥提供给 CDN 厂商呢?实际上证书路径与使用者名称(支持 https 的域名)并不需要一致。
也就是使用自有域名并进行 CDN 加速时不需要使用自有的 ssl 证书,只需将自己的 CDN 域名加到厂商证书的域名列表即可。
PHP self 指向定义的 class。
PHP static 指向运行的 class,一般只有子类覆盖父类的 static 成员或者方法时,在父类中使用 static 会访问到子类。
class ParentClass { public static function hello() { echo "ParentClass: hello\n"; } public static function run() { self::hello(); static::hello(); } } class ChildClass extends ParentClass { public static function hello() { echo "ChildClass: hello\n"; } } ParentClass::run(); // 输出 "ParentClass: hello" "ParentClass: hello" ChildClass::run(); // 输出 "ParentClass: hello" "ChildClass: hello"
PHP 安装,从官网下载源码压缩包,进行 configure 遇到几个错误:
./configure –prefix=/usr/local/php –with-config-file-path=/usr/local/php/etc –with-bz2 –with-curl –enable-ftp –enable-sockets –disable-ipv6 –with-gd –with-jpeg-dir=/usr/local –with-png-dir=/usr/local –with-freetype-dir=/usr/local –enable-gd-native-ttf –with-iconv-dir=/usr/local –enable-mbstring –enable-calendar –with-gettext –with-libxml-dir=/usr/local –with-zlib –with-pdo-mysql=mysqlnd –with-mysqli=mysqlnd –with-mysql=mysqlnd –enable-dom –enable-xml –with-libdir=lib64 –enable-pdo –enable-fpm
configure: error: Please reinstall the BZip2 distribution
解决方案
yum install bzip2
yum install bzip2-devel
bzip2 可能已经安装过,bzip2-devel 没有安装
configure: error: Please reinstall the libcurl distribution –
easy.h should be in <curl-dir>/include/curl/
解决方案
yum install curl-devel
configure: error: jpeglib.h not found
解决方案
yum install libjpeg
yum -y install libjpeg-devel
libjpeg 可能已经安装过,libjpeg-devel 没有安装