常见PHP技术问题

购物车:

        思路:

              1.要实现得样式----用户不登录也能添加购物车----提高用户体验

              2.实现方式: cookie+数据库

              3.未登录的时候购物车信息存在cookie中,给cookie设置过期时间,这样保证关闭浏览器后数据仍然存在

             4.用户登录之后----将cookie中的数据与数据库中的数据相结合----存在则改变数量,不存在则追加----清空cookie中的购物车数据----登陆之后对购物车的操作都是在数据库上进行的  

             5.购物车信息展示----按照添加顺序倒序展示

             6.后期优化:

             a)对于活动商品添加购物车后的处理----活动中----活动后

             b)对于添加购物车商品和,商品下架的处理

             c)对于购物车中商品下架后有上架,怎么处理

             d)修改购物车商品数量的优化----添加增减的按钮----使用ajax实现页面无刷新

             e)后期用户量大的情况下,数据库响应缓慢----购物车信息存在redis中

订单:

        思路:

              1.判断有没有收获地址

              2.生成总订单表----用于支付

              3.拆弹----根据商家拆弹,每个商家一个子订单

              4.订单详情表----每个商品都要生成订单详情

              5.减少库存----生成订单详情的同时,减少对应商品的库存

              6.清空购物车----逻辑删除,数据用于后期统计分析

              7.添加日志----记录用户的购买行为

              8.以上几个操作都是在事务中进行----保障数据的一致性

              产生的问题: 订单号演变uniqueid----时间戳+随机数+流水号----订单池

自动加载原理,实现

             Php的自动加载有两种方式可以实现,

             一种是魔术方法__autoload(),在页面实例化一个新类,就会先在当前目录找对应的类代码,如果没有就去autoload堆栈找对应的自动加载函数,如果有的话就自动加载该类,没有的话就抛出错误,但是在一个大型应用中如果引入多个类库的时候,可能会因为不同类库的autoload机制而产生一些莫名其妙的问题

             另一种的话就是使用官方提供的方法,spl_autoload_register(),这种方法更加灵活,这个函数的功能就是把函数注册至SPL的__autoload函数栈中,并移除系统默认的__autoload()函数,一旦调用spl_autoload_register()函数,当调用未定义类时,系统会按顺序调用注册到spl_autoload_register()函数的所有函数,而不是自动调用__autoload()函数

    添加一种收藏类型，除了给表加字段，还可以怎么设计表结构？

            收藏功能的话,新建一张表,这个表可以没有自增字段,就拿收藏文章来说,这个表只需要两个字段就可以了,一个用户id,一个文章id,其他的根据实际需求可以加上收藏时间字段等,这样用户收藏的时候,就直接在表中添加数据,取消收藏了删除数据好了,这就既增加了收藏功能,又不影响其他功能

    对一列数从小到大排序?快速，冒泡排序

    冒泡排序:

    1.循环数组,将相邻的两个数两两比较,大的放后面,小的放前面,这样一次循环下来,就把整个数字组中最大的数放在后面了

    2.再循环一次,效果就是把数组中第二大的放在倒数第二的位置了

    3.继续循环,这个数组有多长,就循环多少次,这样就实现了一队列的从小到大排序

           快速排序:

           1.先从数列中取出一个数为基数(一般是取第一个)

           2.循环数列,将比这个数大的放在右边,比这个小的放在左边

           3.再对左右区间中第二步,知道各个区间只有一个数,这样就实现了数列的排序

           选择排序:

          1.在要排序的数列中选出最小的数与第一个数交换位置

          2.然后在剩下的数中再选出最小的数与第二个数交换

          3.以此类推,直到倒数第二个数与最后一个数减缓为止,这样也能实现数列的排序

怎么样防止sql注入?（评论内容）怎么过滤?

   所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

预防：  

   1、PDO预处理

   2、关键词验证

   3、对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双"-"进行转换等。

   4、不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询

存取。

   5、不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接

   6、不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

在上线之前视同sql注入检测软件进行检测。

Xss攻击如何防止，csrf 攻击防止？

   XSS攻击：

   XSS攻击全称跨站脚本攻击，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。

   主要的防御手段有：

   1、对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。

   2、对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

   3、strip_tags()去掉标签

   4、htmlspicialchars()转化为实体代码

   csrf 攻击:

   Csrf又称为跨站请求伪造，它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。

   预防：

   1、验证来源（REFERER）

   2、token

   3、图片验证码

API接口如何验证他是合法的登陆者，加密，token

   通过加密和签名

   1、当用户需要调用接口时候，需要在服务器端注册，服务端将生成一个appkey和appsecret，并将他们存在表里，然后下发给用户，并定义好调用接口必须的参数（例如：user_name,pwd，sign，appkey）

   2、用户调用接口的时候，传入user_name,pwd,sign,key.其中sign是通过user_name,pwd,appsecret拼接，加密之后的串，对整个传值可以加密，也可以不加密

        3、服务器接收提交过来的数据，如果是加密的，就解密，获取到user_name,pwd,sign,appkey，通过表查找到appsecret，然后通过与用户端相同的签名算法计算出sign，比较用户传过来的sign与自己生成的sign，如果相等，则验签通过，如果不相同，则验签不通过

token的签名算法泄露怎么办？

   在述方法中，即使token的签名算法泄露了也没关系，因为别人并不知道你的APPkey和APPsecret，所以即使是改变了用户名和密码，使用相同的算法，但是appkey和appsecret对不上也是没用的