最近项目调研时，需要在集成板子上做个配置的网页，板子上装的是linux系统，配置信息在一个SQLite数据库中，经过讨论大家决定用PHP做这个网页。由于项目组没一个会PHP的，所以安排我调研下写个Demo，经过几天的研究终于完成了Demo的调研(调研过程主要参考网络，具体开发就交给月底入职的小弟去做了，哈哈，有个小弟真好)，特此记录(根据我调研的顺序展开)。

项目截图：

1.搭建环境         首先当然是搭建环境了，我选择的是phpstudy(下载和安装可

参考，完全傻瓜式)，编译器选择的是免费的Notepad++(只因为免费而选用，实际效果比记事本好点而已)。至此你可以开发第一个Hello World了。语法可

参考。发布也很简单，只要把php文件放到网站目录下就行了(如安装教程中，目录就是D：\WWW)。网站的端口号可以打开phpStudy主界面，点击其他选项菜单，点击myHomePage，就能看到端口号啦。

2.PHP从SQLite中读取信息         代码如下：

if ($db = sqlite_open('GateWay.db')) {

$sql = "select * from ComInfo";

$res = sqlite_unbuffered_query($db, $sql);

echo "

echo "

comIdcomNamebaudparitydataBitstopBit";

echo"

";

while($item = sqlite_fetch_array($res, SQLITE_ASSOC))

{

echo "

";

echo "

".$item["comId"]."";

echo "

".$item["comName"]."";

echo "

".$item["baud"]."";

echo "

".$item["parity"]."";

echo "

".$item["dataBit"]."";

echo "

".$item["stopBit"]."";

}

echo "

";

sqlite_close($db);

}

3通过Ajax获得信息         作为一个网站，现在很少能看到每次提交刷新整个页面的网站了。下面是通过Ajax请求获得数据(这个跟html中类似，这边用的是jQuery中封装的Ajax)：在页面上有一个id为fullDataDiv的DIV用来装获取的数据，代码如下：

//js代码

var data={ opType:"ShowAllComInfo" };

$.post("ComInfoServer.php", data, function (result) {

$("#fullDataDiv").html(result);

});

//ComInfoServer.php页面的代码

$opType = $_POST["opType"];

switch($opType)

{

case "ShowAllComInfo":

{

if ($db = sqlite_open('GateWay.db')) {

$sql = "select * from ComInfo";

$res = sqlite_unbuffered_query($db, $sql);

echo "

echo "

comIdcomNamebaudparitydataBitstopBit";

echo"

";

while($item = sqlite_fetch_array($res, SQLITE_ASSOC))

{

echo "

";

echo "

".$item["comId"]."";

echo "

".$item["comName"]."";

echo "

".$item["baud"]."";

echo "

".$item["parity"]."";

echo "

".$item["dataBit"]."";

echo "

".$item["stopBit"]."";

}

echo "

";

sqlite_close($db);

}

}

break;

}

4.新建记录         接着是新建记录，本质跟Ajax查询类似，代码如下：

//js代码

var comName = $('#tbComName').val();

var baud = $("select#selBaud option:selected").text();

var parity = $("select#selParity option:selected").text();

var dataBit = $("select#selDataBit option:selected").text();

var stopBit = $("select#selStopBit option:selected").text();

var data={opType:"AddComInfo",comName: comName, baud: baud,parity:parity,dataBit:dataBit,stopBit:stopBit};

$.post("ComInfoServer.php", data, function (result) {

alert("Add Success!");

});

//ComInfoServer.php页面的代码

$comName =$_POST["comName"];

$baud = $_POST["baud"];

$parity = $_POST["parity"];

$dataBit = $_POST["dataBit"];

$stopBit = $_POST["stopBit"];

if ($db = sqlite_open($dbName)) {

$sql= "insert into ComInfo values(null,'".$comName."', '".$baud."','".$parity."', '".$dataBit."', '".$stopBit."')";

sqlite_query($db, $sql);

sqlite_close($db);

}

5.删除记录         然后就是删除记录，比新增还简单，只需要传一个ID就行，ID在当前行的第一列(var comInfoid = $(this).parents("tr").find('td:first').text();)，代码跟新增类似，就不贴了。

6.编辑记录         最后是编辑，为了调研页面跳转，我把编辑放在另一个页面，页面传值直接放在url中，EditComInfoServer.php页面中放了一个隐藏控件保存ComInfoid的值，在页面加载完毕之后根据id向服务端请求完整的数据。代码如下：

//ComInfoMain.php的js代码

$(".edit").click(function(){

var comInfoid = $(this).parents("tr").find('td:first').text();

window.location= "ComInfoServer.php?ComInfoid="+comInfoid;

});

//EditComInfoServer.php

//隐藏控件

//js代码

$(function () {

var URL = "ComInfoHandler.ashx";

var data={ComInfoid: $("#tbComInfoid").val(),opType:"EditInit" };

$.post(URL, data, function (result) {

var info=eval("(" + result + ")");

comName =info.comName;

baud = info.baud;

parity = info.parity;

dataBit = info.dataBit;

stopBit = info.stopBit;

$("#tbComName").val(comName);

$("#selBaud option[value='"+baud+"']").attr("selected", true);

$("#selParity option[value='"+parity+"']").attr("selected", true);

$("#selDataBit option[value='"+dataBit+"']").attr("selected", true);

$("#selStopBit option[value='"+stopBit+"']").attr("selected", true);

});

});

7.PHP+Sqlite的防注入以及错误友好提示         至此初步的增删改查都实现了，但只是实现，根本没考虑安全性。主要有三个方面：如果输入数据库的完整路径，数据库都被下载下来了；或者在comName里精心填入一些字符串就能实现SQL注入；另外出错了，提示也很不友好，直接把程序信息都泄露出来了。

7.1防止数据库被下载         对于数据库被下载(这个问题在Access和SQLite中都有)，可以不让其直接访问，具体配置是在网站的根目录新建一个文件名为.htaccess的文件(直接新建不了，可以另存为该文件，另外注意的是这个文件与PHP的版本有关，我用的是Apache+PHP5.3)，用记事本打开写入内容如下：

Deny from all

        其他的设置在最新的版本中已经都是默认设置了，这样，数据库文件就不会被访问下载了。

7.2防止SQL注入         对于注入攻击，从两方面下手，前台验证输入的内容(过滤一些注入的关键字)，后台再进行二次验证。根据我们实际的业务，我在前台只限制了长度，后台对传入的字符串进行加密之后存到数据库中的，读取的时候再解密。其中解密的几个方法

来自这里。这样做法其实对存储有浪费的，经过测试，加密后的字符串长度是原来的两到三倍，图省事我把comName的字段类型改成了text。在实际操作时还遇到了截取字符串乱码的问题，原因是substr在遇到汉字时会遇到编码问题，因此采用mb_substr方法。代码如下：

//新增或更新时

$postComName=$_POST["comName"];

if(strlen($postComName)>10)

{

$postComName=mb_substr($postComName,0,10,'utf-8');

}

$comName =passport_encrypt($postComName,$key);

//读取时解密

$comName=passport_decrypt($item["comName"],$key);

7.3URL重写         在注入攻击的问题上还可以通过重写url隐藏网站的技术，当然这不能从本质上防SQL注入，只是提高注入的难度而已。在刚刚的.htaccess加入如下代码:

RewriteEngine on

RewriteRule main.html ComInfoMain.php

RewriteRule ComInfoHandler.ashx ComInfoServer.php

RewriteRule ^edit([0-9]+)\.html$ EditComInfoServer.php?ComInfoid=$1

        这样访问main.html就自动解析为ComInfoMain.php，其中第三个规则是用正则表达式实现，例如edit23.html就解析成EditComInfoServer.php?ComInfoid=23。这个调查了大半天，只因为网上的大多都是以讹传讹(或许是版本的原因吧)。当然了，还有一个原因就是配置文件的苛刻要求。在调查期间删除了一个"看似多余"空格导致Apache启动不起来了，元凶如下：

        这个空格删除了就启动不了Apache，而且没有什么有效的提示，真坑爹。

7.4错误友好提示         最后就是错误友好提示了，打开phpStudy主界面，点击其他选项菜单，点击打开配置文件选httpd.conf找到ErrorDocument 404，将其前面的#去除，在后面加上error的页面，本例中设置是ErrorDocument 404 /error.html，这里表示error.html放在网站根目录下。

至此全部完成，Demo很简单，希望能对刚学PHP的读者有些帮助，欢迎阅读、讨论、转载，转载请保留原文链接。