6. 密码验证
　　也许你想在自己的网站放上你的照片集,而且只想给自己知心的朋友看,这时你需要一个密码验证的程序。
6.1 基于HTTP验证
　　如何用PHP来实现密码验证的功能呢？我们可以使用简短的PHP代码,使用函数header()发送HTTP标头强制验证,客户端浏览器则弹出供输入用户名和密码的对话框。在PHP中,客户端用户输入的信息传送到服务端之后自动保存在$PHP_AUTH_USER, $PHP_AUTH_PW, 以及 $PHP_AUTH_TYPE这三个全局变量中。利用这些变量,我们就可以根据实现保存在数据文件或数据库中的用户帐号信息验证用户身份。
　　不过在这里需要提醒使用者注意的一点是：只有在Apache模块方式运行的时候,PHP脚本才能使用$PHP_AUTH_USER, $PHP_AUTH_PW, 以及 $PHP_AUTH_TYPE这三个变量。如果用户使用的是CGI模式的PHP则无法实现基于HTTP的验证功能。
6.2 下面,我们就来详细介绍一下如何使用PHP对用户身份进行验证。
　在下例中,我们是使用$PHP_AUTH_USER和$PHP_AUTH_PW这两个变量来验证进入者是否合法并允许进入。在本例中被允许登录的用户名称和密码对分别为tnc和nature：
<?
if(!isset($PHP_AUTH_USER))
Header(”WWW-Authenticate: Basic realm=”My Realm””);
Header(”HTTP/1.0 401 Unauthorized”);
echo ”Text to send if user hits Cancel buttonn”;
exit;
else
if ( !($PHP_AUTH_USER==”tnc” && $PHP_AUTH_PW==”nature”) )
{
// 如果是错误的用户名称/密码对,强制再验证
Header(”WWW-Authenticate: Basic realm=”My Realm””);
Header(”HTTP/1.0 401 Unauthorized”);
echo ”ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid.”;
exit;
else
echo ”Welcome tnc!”;
?>
　　事实上再实际引用中不大可能如上面使用代码段明显的用户名称/密码对,而是利用数据库或者加密的密码文件存取它们。
6.3 根据指定的验证信息核实用户身份
　　首先,我们可以使用以下代码确定用户是否已经输入了用户名和密码,并显示出用户输入的信息。
<?php
if (!isset($PHP_AUTH_USER))
header( WWW-Authenticate: Basic realm=”My Private Stuff” );
header( HTTP/1.0 401 Unauthorized );
echo Authorization Required. ;
exit;
else
echo ”<P>You have entered this username: $PHP_AUTH_USER
You have entered this password: $PHP_AUTH_PW
The authorization type is: $PHP_AUTH_TYPE</p>”;
?>
说明：
isset()函数用于确定某个变量是否已被赋值。根据变量值是否存在,返回true或false。
header()函数用于发送特定的HTTP标头。注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数。
　　虽然上述代码相当简单,没有根据任何实际值对用户输入的用户名和密码进行有效验证,但是至少我们了解了如何使用PHP在客户端产生输入对话框。
　　下面,我们就来了解一下如何根据指定的验证信息核实用户身份。代码如下：
<?php
if (!isset($PHP_AUTH_USER)) {
header( WWW-Authenticate: Basic realm=”My Private Stuff” );
header( HTTP/1.0 401 Unauthorized );
echo Authorization Required. ;
exit;
else if (isset($PHP_AUTH_USER)) {
if (($PHP_AUTH_USER != ”admin”) || ($PHP_AUTH_PW != ”123”)) {
header( WWW-Authenticate: Basic realm=”My Private Stuff” );
header( HTTP/1.0 401 Unauthorized );
echo Authorization Required. ;
exit;
else
echo ”<P>You re authorized!</p>”;
?>
　　在这里,我们首先检查用户是否已经输入了用户名称和密码,如果没有则弹出相应对话框要求用户输入身份信息。随后,我们通过判断用户输入的信息是否符合admin/123这一指定用户帐号来授予用户访问权限或提示用户再次输入正确的信息。这种方法适用于所有用户都使用同一登录帐号的网站。
6.4 另一种简易的密码验证
　　如果你是在windows98下面编写和运行着你的PHP脚本,或者是你在Linux下面按默认设置,将PHP安装成一个CGI程序的话,你将无法使用上面的PHP程序来实现验证功能。为此,无边给大家提供了另外一种简易的密码验证的方法。虽然实用性不大,但是拿来学习还是挺好的。
<?php
$password = ”123”;
// check password
if($pass != $password)
{
echo ”<html><head><title>管理密码</title></head><body>”;
echo ”<form method=”post” action=$PHP_SELF>”;
echo ”请输入你的管理密码:
”;
echo ”<input type=”password” name=”pass”>”;
echo ”<input type=”submit” value=”continue”>”;
echo ”</form></body></html>”;
}
else
{
echo ”<html><head><title>恭喜你,你已经通过了密码验证</title></head>”;
echo ”<script>”;
echo window.location=”http:
test/index.php3” ;
# 通过密码验证后转入的页面
echo ”</script>”;
}
?>
7. 文件上传
　　你可以利用PHP实现文件的上传功能,注意客户端的浏览器应该是Netscape3以上或者IE3以上的版本。同时,因为本程序与你的PHP配置文件(PHP3为php3.ini,PHP4为php.in)设置有关。在执行该程序之前请先检查您的PHP配置文件有没有做好如下的设置：
　　将;upload_tmp_dir该行的注释符,即前面的分号”；”去掉,使该行在php.ini文档中起作用。upload_tmp_dir是用来定义上传文件存放的临时路径,在这里你还可以给其定义一个绝对路径,例如：upload_tmp_dir = d:upload 　当然,此时你的d:upload目录必须有读写权限。
　　如果你在你的.php3程序里已经定义了上传的路径,此时上传文件的路径以.php3程序里定义的路径为基准。在下例中,receiver.php3文件就指定了用于存放上传文件的目录是：d:upload。
upload_max_filesize 是用来限制PHP处理的上载文件大小的最大值,以字节计算,缺省值为2097152= 2*1024*1024字节(2兆),你可以通过修改该缺省值来定义最大的上载文件大小。
　　修改后不要忘了重启Apache,IIS或PWS服务哦。
　　 同时在PHP中,文件上载还有几点是值得注意的：
1. 在form表单中要将method属性设为post,enctype属性设为multipart/form-data；
2. 在form表单中可以加一个hidden类型的input框,其中名字为 MAX_FILE_SIZE的隐藏值域,通过设置其VALUE可以限制上载文件的大小。当然,这个值不可能超过PHP的配置文件(PHP3为php3.ini,PHP4为php.ini)中的upload_max_filesize,注意这个input框一定要放在所有file类型的input框前面,否则也是无效的哦；
3. 在PHP程序运行完后,上传文件被放在了临时目录下。如果上传文件没有被改名或移动,那么在请求的最后该文件将自动被从临时文件夹中删除,所以我们最好立即将新的上传文件上传移到一个永久目录下或更改其文件名。
首先我们需要一个上载文件的表单网页(upload.htm)：
<HTML>
<HEAD>
<TITLE>Upload Your File</TITLE>
</HEAD>
<BODY>
<FORM ACTION=”receiver.php3”
ENCTYPE=”multipart/form-data” METHOD=POST>
<INPUT TYPE=”HIDDEN”
NAME=”MAX_FILE_SIZE” VALUE=”2000000”>
<INPUT TYPE=”FILE”
NAME=”uploadfile” SIZE=”24” MAXLENGTH=”80”>
<INPUT TYPE=”SUBMIT” VALUE=”Upload File!”
NAME=”sendit”>
<INPUT TYPE=”SUBMIT” VALUE=”Cancel”
NAME=”cancelit”>
</FORM>
</BODY>
</HTML>
处理上载文件的PHP文件(receiver.php3)
<?
function do_upload ()
{
global $uploadfile, $uploadfile_size;
global $local_file, $error_msg;
if ( $uploadfile == ”none” )
{
$error_msg = ”对不起,你没有选定任何文件上传！”;
return;
}
if ( $uploadfile_size > 2000000 )
{
$error_msg = ”对不起,你要上传的文件太大了！”;
return;
}
$the_time = time ();
// 在这里指定你用来存放上传文件的目录,你需要对以下目录有写权限
// 同时,我们也可以给上传文件指定另外的目录,如：$upload_dir = ”/local/uploads”;
$upload_dir = ”d:/upload”;
$local_file = ”$upload_dir/$the_time”;
if ( file_exists ( $local_file ) )
{
$seq = 1;
while ( file_exists ( ”$upload_dir/$the_time$seq” ) ) { $seq++; }
$local_file = ”$upload_dir/$the_time$seq”;
};
rename ( $uploadfile, $local_file );
*_page ();
}
function *_page ()
{
// 这里是你的页面内容
}
?>
<HTML>
<HEAD>
<TITLE>php3 Receiving Script</TITLE>
</HEAD>
<BODY>
<?
if ( $error_msg ) { echo ”<B>$error_msg</B>
”; }
if ( $sendit )
{
do_upload ();
echo ”文件上载成功！”;
}
elseif ( $cancelit )
{
header ( ”Location: $some_other_script” );
echo ”文件上载失败!”;
exit;
}
else
{
some_other_func ();
}
?>
</BODY>
</HTML>