å°é¢

封面 

网站 :http://www.phpchina.com 投稿 :phper@phpchina.com 《PHPer》 1/111

卷首语 

《PHPer》 

卷首语 

Zend Framework 全接触 

PHP 的发展也不是一帆风顺 : 从 2000 年左右 PHP3.0 的风行 , 到 2005 年 PHP 一 

度陷入低谷 , 再到现在 PHP 的再度崛起 ,PHP 走过了一条曲折的道路。PHP 从 5.0 开 

始 , 面向对象的功能趋于完善 , 然后是 Zend Framework 的发布 , 由此我们能够看出 

Zend 公司向企业开发市场进军的意图和雄心。 

PHP 在 4.0 之前 , 主要以面向过程的开发为主 , 代码中包含着大量的系统函数和 

用户自定义函数。但是即使 PHP5.0 之后充分考虑了对类和对象的支持 , 但是大多数 

程序员的代码中真正应用对象的时候并不多 , 程序员还是习惯像 ASP 一样书写结构化 

的面向过程的代码。面向对象的好处并没有被大家充分挖掘出来。 

每种语言几乎都有若干个框架可用。选择刚好满足业务需求的框架可能有点为难 , 

但是选择框架时应当要求其节省的时间和精力越多越好。如果一个框架工作得很好但 

是耗费大量的支持成本 ; 或者即使易于支持 , 但是起到的反作用大于正面辅助开发作 

用 , 那也不是一个好的框架。如果一个框架十分 “ 优雅 ”, 但是在支持和开发中问题频 

发 , 那么这个框架也是没有任何用处的。 

目前流行和比较流行的 PHP 框架已经不少 , 例如 Zend 框架 ,FleaPHP,CodeIgniter, 

ThinkPHP,CakePHP 等。选择学习一个框架可能全凭个人爱好。Zend Framework 大 

量应用了 PHP5 中面向对象的新特征 : 接口、异常、抽象类、SPL 等等。这些东西的 

应用让 Zend Framework 具有高度的模块化和灵活性。同时 , 因为严格遵循 “ 针对接口 

编程 ” 和 “ 单一对象职责 ” 等原则 , 让 Zend Framework 很有希望成为一个出色的企业应 

用开发框架。但同时也有批评者指出 Zend Framework 虽然大量应用 PHP5 的新特征 , 

但却没有将这些相对于 PHP4 的优势转化为能够为开发者提供帮助的东西。对于简单 

和小型的项目来说 ,Zend Framework 不但不能提高开发效率。反而因为在框架中应用 

了大量面向对象设计和 PHP5 的新特征 , 对开发者提出了更高的要求 , 间接增加了项 

目的开发成本。而对于较大的项目和企业应用 ,Zend Framework 倒是一个不错的基 

础。但要创建一个成功的应用 , 仍然需要付出不小的努力。并且要时刻注意 Zend 

Framework 的性能问题。 

至于 Zend Framework 到底是好是坏 , 只能说仁者见仁 , 智者见智。本期杂志中 

我们发布了 Zend Framework 团队的力作 , 对于 Zend 框架从介绍到应用进行了详细的 

阐述。希望对于 Zend 框架感兴趣的 phper 们可以从中有所收获 , 也希望 Zend 框架可 

以更好的应用到各类实际的应用到中去 , 真正的在项目开发中得到普及。 

刘昊 


PHPer 贡献者名单 

《PHPer》 

PHPer 贡献者名单 

2009 年 6 月 1 日第 20 期 

主管 :PHPChina.com 

主办 :PHPChina 网站会员 

网址 :http://www.phpchina.com 

总编 :PHPChina 

副总编 : 廖宇雷 

编辑 :leehui1983 casual0402 

卷首语 : 刘昊 

应用 

知识库 

招聘 : 王志军 

新手乐园 : 于安 

扩展与框架 : 廖宇雷、ZendFramework 团队 

企业解决方案 :ZendFramework 团队 

高级应用 :ZendFramework 团队 

项目管理 : 李桂杰 

安全优化 : 机械工业出版社 

LAMP 大讲堂 :Richard Petersen 

校验排版 :PHPChina 

后期制作 : 兔石尾 

另外 , 欢迎广大 PHP 程序员踊跃投稿 ! 

请将稿件发送至 

phper@phpchina.com 

请注明所投栏目 , 并附上作者简介。 

PHP 中国开源社区感谢您的参与 ! 


目录 

《PHPer》 

目录 

封面 ........................................................................................................................................1 

卷首语 ....................................................................................................................................2 

PHPER 贡献者名单 ..............................................................................................................3 

目录 ......................................................................................................................................4 

PHP 新闻 ...............................................................................................................................7 

2009 年 7 月的编程语言排行榜 ........................................................................................7 

PHP 5.3.0 正式发布 ...........................................................................................................9 

提速与 MySQL 的连接 ........................................................... 9 

E_DEPRECATED 标记将被废弃的功能 ............................................... 9 

PHP 企业招聘 ..................................................................................................................... 11 

新手乐园 ..............................................................................................................................14 

实例命令行模式的管理应用 ..........................................................................................14 

扩展与框架 ..........................................................................................................................19 

ZEND 框架简介 ................................................................................................................19 

1 设置 Zend 框架 ............................................................ 19 

1.1 安装 Zend 框架 .......................................................... 19 

1.2 创建一个虚拟主机 ....................................................... 20 

1.3 引导文件 ............................................................... 20 

2 创建控制器、视图和模型 ................................................... 22 

2.1 添加索引控制器 ......................................................... 22 

2.2 添加视图 ............................................................... 23 

2.3 定义模型 ............................................................... 23 

3 添加功能 ................................................................. 25 

3.1 使用 request 和 response 对象 ............................................ 26 

3.2 使用内置的操作辅助类 ................................................... 27 

3.3 使用内置的视图辅助类 ................................................... 28 

3.4 验证输入信息 ........................................................... 29 

4 小结 ..................................................................... 32 

QEEPHP 快速入门 ( 五 )—— 实现用户功能 ..............................................................33 

1 实现用户注册 ( 用户界面 ) ................................................. 33 

1.1 创建视图 ............................................................... 33 

1.2 url() 函数 .............................................................. 34 

1.3 视图的继承 ............................................................. 34 

1.4 完成视图 ............................................................... 36 

1.5 指定要继承的视图 ....................................................... 36 

1.6 通过定义区块来覆盖父模板中的内容 ....................................... 36 

2 实现用户注册 ( 功能实现 ) ................................................. 37 

2.1 丑陋的表单提交处理代码 ................................................. 37 

2.2 完善模型定义 ........................................................... 38 

2.3 完善模型的属性 ......................................................... 38 

2.4 行为插件 ............................................................... 40 

2.5 完善模型的行为和关系 ................................................... 40 

2.6 实现用户注册表单 ....................................................... 41 

2.7 创建表单对象 ........................................................... 41 

2.8 准备表单视图 ........................................................... 42 

2.9 实现用户登录 ........................................................... 43 


目录 

《PHPer》 

3 用户登录和注销 ........................................................... 45 

3.1 实现登录 ............................................................... 45 

3.2 调用行为插件的方法 ..................................................... 46 

3.3 记住用户的登录状态 ..................................................... 46 

3.4 添加登录需要的视图 ..................................................... 46 

3.5 实现注销 ............................................................... 47 

3.6 在用户界面上显示登录状态 ............................................... 47 

3.7 用户界面组件化 ......................................................... 48 

4 修改密码 ................................................................. 50 

4.1 建立表单 ............................................................... 50 

4.2 添加控制器动作 ......................................................... 51 

企业解决方案 ......................................................................................................................54 

ZEND 框架高级功能 ........................................................................................................54 

1 管理配置文件 ............................................................. 54 

1.1 使用数组的方法 ......................................................... 54 

1.2 INI 方法 ................................................................ 54 

1.3 XML 方法 ................................................................ 55 

2 设置站点级别的视图变量 ................................................... 56 

3 共享对象 ................................................................. 56 

4 错误处理 ................................................................. 56 

5 应用程序日志记录 ......................................................... 57 

6 缓存 ..................................................................... 59 

6.1 缓存功能在安全性上的考虑 ............................................... 59 

6.2 缓存技术 ............................................................... 59 

7 验证用户 ................................................................. 61 

8 在 PHP 语言中使用 JSON ..................................................... 64 

9 自定义路由 ............................................................... 65 

10 管理会话 ................................................................ 67 

11 发送邮件 ................................................................ 68 

12 创建 PDF 文件 ............................................................ 68 

12.1 创建新的 PDF 页面 ...................................................... 69 

12.2 在 PDF 页面上绘图 ...................................................... 69 

13 与 Web 服务相集成 ........................................................ 71 

14 小结 .................................................................... 72 

项目管理 ..............................................................................................................................73 

为什么领导力以信任为基础 ( 一 ) ..............................................................................73 

建立和失去信任 .............................................................. 73 

信任通过承诺而建立 .......................................................... 74 

信任因为不一致的行为而失去 .................................................. 74 

明确信任 ( 挂起绿灯 ) ........................................................ 75 

不同类型的权力 .............................................................. 76 

不要依赖授予型权力 .......................................................... 76 

高级应用 ..............................................................................................................................78 

应用 ZEND 框架 ..................................................................................................................78 

1 模块和模型设置 ........................................................... 78 

1.1 常规的模块化的目录结构 ................................................. 78 

1.2 模型库和 Zend_Loader .................................................... 79 

2 请求生命周期 ............................................................. 80 

3 创建插件 ................................................................. 80 


目录 

《PHPer》 

4 创建辅助类 ............................................................... 81 

4.1 编写操作辅助类 ......................................................... 81 

4.2 编写视图辅助类 ......................................................... 82 

5 实现访问控制功能 ......................................................... 83 

6 使用两步视图 ............................................................. 85 

6.1 创建一个主布局 ......................................................... 85 

6.2 使用占位符 ............................................................. 86 

7 小结 ..................................................................... 87 

安全优化 ..............................................................................................................................88 

WINDOWS 安全 ( 一 ) .....................................................................................................88 

1 Windows 安全概述 .......................................................... 88 

1.1 安全标识符 .............................................................. 89 

1.2 访问控制列表 ............................................................ 90 

1.3 安全描述符 .............................................................. 91 

1.4 访问令牌 ............................................................... 94 

2 安全信息来源 ............................................................. 96 

2.1 访问令牌 ................................................................ 96 

2.2 安全描述符 ............................................................. 97 

LAMP 大讲堂 ...................................................................................................................101 

WEB 服务器 ( 一 ) .......................................................................................................101 

1 Tux .................................................................... 101 

2 其他 Web 服务器 ......................................................... 102 

3 Apache Web 服务器 ....................................................... 102 

3.1 Java:Apache Jakarta 项目 .............................................. 103 

3.2 安装 Linux Apache ...................................................... 103 

3.3 Apache 多处理模块 :MPM ................................................. 104 

3.4 启动和停止 Web 服务器 .................................................. 104 

4 Apache 配置文件 .......................................................... 105 

职场人生 ............................................................................................................................106 

大学生求职七大昏招 —— 说谎 ( 四 ) ........................................................................106 

技巧 —— 如何诚实的描述自己的 “ 问题 ” ....................................... 106 

LAMP 新书 .......................................................................................................................108 

《LINUX 服务器安全策略详解》 .................................................................................108 

《C 标准库》 .................................................................................................................109 

《PYTHON 开发技术详解》 .......................................................................................... 110 

封底 .................................................................................................................................... 111 


目录 

《PHPer》 

PHP 新闻 

2009 年 7 月的编程语言排行榜 

PHPChina 

Tiobe 近日发布了最新一期的编程语言排行榜 , 在前十名的榜单中 , 除 C # 上升一 

位与上期排名第六的 Python 交换位置外 , 其他排名无明显变化。本期榜单 , 我们关注 

Java 的持续下滑。 

编程语言排名前 20: 

排行榜上前十名编程语言的长期趋势图如下 : 


目录 

《PHPer》 

排名 21 到 50 的编程语言 : 

编程语言类别走势 : 


目录 

PHP 5.3.0 正式发布 

PHPChina 

《PHPer》 

随着 PHP 5.3 的发布 , 这个开源动态语言迎来了近两年来的最重要更新 , 新版 PHP 

具有一长串新功能 , 性能得到大大改进。 

应该说 ,PHP 5.3 版是一个大于开发者预期的重大版本 , 加入了最初计划在 PHP 6 

中出现的一些功能。新版 PHP 将继续扮演与 Ruby、Java 和 .net 等多种技术相竞争的 

开源语言角色。 

PHP 核心开发人员 Ilia Alshanetsky 表示 ,“ 在新特点和功能方面 ,PHP 5.3 可以 

说比任何人预想的都要更全面 , 这主要因为 PHP 6 推迟发布的原因。因此尽管它发布 

的时间间隔有些长 , 但是我认为这种等待是值得的 ,PHP 5.3 是一个汇聚众多开发者 

心血的优秀作品。” 

Alshanetsky 表示 , 与多数重要版本 PHP 一样 , 这个版本的 PHP 引入了众多改进 , 

可以让开发者更简单的使用它。 

PHP 5.3 简化应用程序部署的方式之一是它支持新命名空间 , 这是封装类和其它 

PHP 对象的方式之一。 

Alshanetsky 表示 , 对 PHP 开发者来说 , 命名空间可以带来更清晰的代码和更简 

单的名称约定。 

“ 目前 , 多数程序库作者被迫在他们的类和函数名称前加上库名作为前缀 , 以避 

免命名冲突问题 , 有些时候这种做法会带来相当难用的名称 ,”Alshanetsky 表示。“ 该 

功能还会简化单一应用程序中多程序库的利用 , 这些库并不一定必须遵循详细的命名 

约定 , 例如在其类 / 函数名称前加前缀等。” 

提速与 M ySQL 的连接 

PHP 经常被与开源数据库 MySQL 配合使用来开发 Web 应用 , 它们在开源开发工具 

组合 LAMP 中是非常重要的一部分。在 PHP 5.3 中增加了一个名为 MySQLInd 的新功能 , 

取代了以前的 libmysql 库 , 用来连接 PHP 和 MySQL, 并拥有优化 MySQL 性能和内存利 

用率的可能。 

Alshanetsky 表示 ,“ 当说到数据库时 , 多数情况下主要的瓶颈并非数据库接口的 

速度 , 而是数据库的操作。使用 MySQLInd 来取代标准的 libmysql, 肯定会带来速度 

的改善 , 不过我不认为它会让所有应用都提高运行速度。换句话说 , 使用高度调优 

MySQL 应用的人将会看到新版 PHP 中更快速、更专用的接口所带来的速度提升。” 

总体来说 ,Alshanetsky 预计 , 通过从目前的 PHP5.2 转向 PHP 5.3, 用户应该会 

看到多数工作流程的性能将提高 5% 到 15%, 某些特定工作流程甚至可能看到更高的收 

益。 

E_DEPRECATED 标记将被废弃的功能 

尽管增加新功能是任何新技术发布的一个关键部分 , 除此之外 PHP 5.3 还有自己 

的特别之处 —— 它明确了哪个功能可能会被取消。 

该版本提供了一个名为 E_DEPRECATED 的新错误代码 , 让开发者知道哪些特定功能 

即将从该语言中消失。 

Alshanetsky 表示 ,“ 以前我们曾碰到过这样的问题 , 我们没有一个明确的错误代 


目录 

《PHPer》 

码来表示已经不支持的功能 , 人们很难在错误代码层次上来判断什么功能可能最后被 

移除。” 

通过创建一个专用错误代码来解决这个问题 , 开发者可以通过使用 PHP 的错误记 

录工具来识别自己代码库中的哪一部分还在使用将被移除的功能 , 因此开发者可以进 

行相应的调整。 

据 Alshanetsky 表示 ,PHP 开发团队存在一个共识 , 目前被标记为 E_DEPRECATED 

的功能将在 PHP 6 中移除。 


PHP 企业招聘 

《PHPer》 


PHP 工程师 

招聘信息 

公司名称 : 新浪网 

招聘人数 : 若干名 

工作地点 : 北京 

薪水待遇 :5k++ / month 

职位描述 : 

1、负责无线业务相关 CMS 平台的设计、建设及日常维护、开发、测试。 

2、负责管理数据库的数据维护及统计。 

3、负责实时平台网站运行状况 , 保证网站安全性。 

4、根据产品需求 , 负责开发新的无线增值业务。 

任职资格 : 

1 、大学本科毕业 ,4 级英语水平 , 能熟练阅读相关英文技术文档 ; 

2 、熟悉 Unix/Linux/FreeBSD 开发环境 ; 

3 、至少 2 年以上的 PHP/MySQL 开发经验 , 熟悉面向对象的软件设计方法 , 

4 、具备数据库应用系统的规划及设计能力 ; 

5 、熟悉 HTTP 协议 , 熟悉 HTML/CSS/XML 等 Web 开发基本技术 ; 

6 、具备良好的代码编程习惯及较强的文档编写能力 ; 

7 、具备强烈的进取心、求知欲及团队合作精神 ; 

8 、能够承受适当压力 , 独当一面 ; 

9 、具有 SMS/MMS 等无线增值应用开发经验者优先考虑。 

10、具有大中型网站的系统构架设计和程序开发经验者优先考虑。 

联系方式 : 

公司介绍 

联系人 :PH PC hina 伯乐 

电子邮箱 :wangzhijun@comsenz.com 

联系电话 :13146612015 

QQ: 752719295 

新浪 (NASDAQ: SINA) 是一家服务于中国大陆及全球华人社群的领先在线媒体及增 

值资讯娱乐服务提供商。新浪拥有十五家地区性网站 , 以服务大中华地区与海外华人 

为己任 , 通过旗下三大业务主线即提供网络媒体及娱乐服务的新浪网 (SINA.com)、 

提供用户付费在线及无线增值服务的新浪无线 (SINA Online) 以及向中小型企业提供 

增值服务的新浪企业服务 (SINA.net), 提供包括门户网站、收费邮箱、无线短信、虚 



《PHPer》 

拟 ISP、搜索引擎、分类信息、在线游戏、电子商务、网络教学、企业电子解决方案 

在内的一系列服务。 

新浪在全球范围内拥有超过 8328 万注册用户 , 各种付费服务的常用用户超过 1000 

万 , 是中国大陆及全球华人社群中最受推崇的互联网品牌。 

新浪将业务重点放在中国大陆 , 其营业收入的 96% 即来自这一地区。据中国互联 

网络信息中心 (CNNIC) 公布的中国互联网络发展状况显示 , 中国目前拥有 6800 万互联 

网用户 , 居世界第二位。同 1997 年 10 月第一次调查结果 62 万上网用户人数相比 , 

现在的上网用户人数已是当初的 109.7 倍。随着中国经济的迅猛发展 , 作为中国最大 

的网络媒体公司 , 新浪将直接受惠于这一巨大的成长空间。 

新浪网称雄中国线上广告市场 

通过与国内外六百余家内容供应商达成合作关系 , 新浪设在中国大陆的各家网站 

提供了三十多个在线内容频道。新浪及时全面的报导涵盖了国内外突发新闻、体坛赛 

事、娱乐时尚、财经及 IT 产业资讯 , 成为数以百万计中国互联网用户生活中不可或 

缺的部分。新浪免费电子邮件系统拥有两千多万活跃用户 , 仅次于 Hotmail、雅虎和 

美国在线 , 居世界第四位。新浪综合搜索引擎也一直在国内名列前茅。 

新浪无线 - 中国领先的用户付费增值服务提供商 

新浪于 2002 年 4 月正式推出新浪无线业务 , 以打造中国的用户付费增值服务平台 , 

提供无线增值服务、虚拟 ISP、收费邮箱服务和在线游戏等。中国拥有超过 2 亿的手 

机用户 , 是全球最大的移动电话市场 , 从而为无线内容服务提供了巨大的商机。作为 

领先的线上内容整合商 , 新浪在无线增值服务领域亦居领导地位 , 为数以百万计的付 

费用户提供短信服务。新浪是国内最受欢迎的无线应用协议 (WAP) 门户之一 

新浪企业服务 - 中国领先的中小型企业增值服务提供商 

新浪是国内最受信赖的互联网品牌。为充分发掘这一品牌的价值 , 新浪于 2002 

年 2 月推出了新浪企业服务 (SINA.net), 将服务领域延伸至国内的中小企业。新浪的 

企业服务项目包括企业邮箱、企业黄页、分类信息、网络营销和电子商务。目前 , 新 

浪已发展了 20 多万个中小型企业客户 , 且客户数量仍在快速增长。 

新浪 - 通往中国的门户 

新浪凭借自己在全球范围的影响力 , 已成为引导众多跨国企业进入中国、开发这 

个全球最大、成长最快的市场的领路人。当戴尔、欧莱雅、强生、耐克等国际著名企 

业决心在中国实施网络营销策略时 , 他们均选择新浪作为其网络合作伙伴。跨国企业 

已经并将继续成为新浪客户基础的一个重要组成部分。 

新浪的前景 

新浪旨在通过互联网及无线网络等多种平台 , 向中国及全球华人社群的个人与公 

司用户提供高质量的增值信息服务。 



《PHPer》 

PHP 高级工程师 

招聘信息 

公司名称 : 北京智博 

招聘人数 :3 名 

工作地点 : 北京 

薪水待遇 :6k++ / month 

职位描述 : 

1 、负责电子商务网站的建设及日常维护、开发、测试。 

任职资格 : 

1 、一年以上网站开发经验 

2 、工作认真细致负责 , 勇于接受挑战 , 具有良好的团队协作精神 ; 

3 、精通 PHP+MySQL 开发 , 熟悉 JavaScript、HTML; 

4 、精通 DIV+CSS 网站架构 ; 

5 、熟悉 PHP 的常用函数库以及熟悉 PHP 的类的用法 , 具有良好的编程风 

格、习惯 ; 

6 、精通关系数据库 MySQL, 熟悉 SQL 语言 ; 

7 、有一定的前台能力设计者优先 ; 

8 、有大、中型网站开发经验者优。 

联系方式 : 

公司介绍 

联系人 :PH PC hina 伯乐 

电子邮箱 :wangzhijun@comsenz.com 

联系电话 :13146612015 

QQ: 752719295 

体彩导刊、彩民周刊官网。国内彩票行业主流媒体之一。 



《PHPer》 

新手乐园 

实例命令行模式的管理应用 

于安 

在上一期杂志中 , 我发表了一篇 < 偏向于命令行模式的管理应用 > 这篇主题简单讲 

了如何用命令行来管理 , 如何来快速高效地应用起来 . 由于只是初型 , 所以没有做上 

实例 . 经过长久的思考 , 现在终于有了眉目 , 现在我补上一篇 . 

在实现此应用前 , 我要先考虑 

• 命令行在什么地方输入 ? 

• 输入的结果如何返回 ? 

• 还有就是如何模拟出 DOS 的界面 ? 

首先 , 为了方便 , 建议使用 jquery 1.32 min 发行版本 , 加载到 html 中。接着我 

们来分析 html (dos.html); 

代码片段 

 

 

 

 

DOS 执行命令 

 

 

 

// 缓期需要 ; 

var int =0; 

$(function (){ 

focus_(); // 为每一次固定焦点 ; 

}) 

function focus_(){ 

$('textarea').focus(); 

$('textarea').val($('textarea').val()); 

setTimeout_(); // 为滚动条设置函数 , 就是总是固定在底部 . 

} 

// 回车点击后 , 因为用户最喜欢回车 

function noNumbers(e){ 

var keynum; 

var keychar; 

var numcheck; 

if(window.event){ // IE 

keynum = e.keyCode; 

} else if(e.which){ // Netscape/Firefox/Opera 

keynum = e.which; 

} 

if(keynum===13){ // 如果回车 , 这是关键 ; 



《PHPer》 

var mess = $('textarea:last').val(); 

var array = mess.split('\n'); // 一行一行 , 是以 \n 为结束 ; 切割 ; 

for (s in array){ 

if(array[s].indexOf('PHP>')!=-1) // 查找最后一个 PH P> 后面 . 

mess2 = array[s]; // 将值赋出 , 简单来讲 , 就是将当前行赋出 . 

} 

// 判断一下 PHP> 是否存在 , 这标识不要删除 , 否则难看了 

if(mess2.indexOf('PHP>')!=-1){ 

mess2 = mess2.replace('PHP>',''); // 新变量记录实质的命令行 . 

var len = mess2.length; // 判断一个命令行长度 ; 

// 判断一下有没有结尾 ; 

if(len>2 && mess2.substr(len-1,len)!==';') // 如果没有结尾 , 就禁止回车 . 

return false; 

// 判断是否直接回车 , 禁止两个字符的命令 ; 

if(len


《PHPer》 

} 

}); 

// 假如返回信息是 javascript:XX 模式 , 表示要直接运行 ; 

if(msg.indexOf('javascript:')!=-1){ 

msg = msg.replace('javascript:',''); // 先把 javascript: 去掉 

eval_(msg); //EVAL 运行它 ; 

} 

} 

focus_(); // 又是焦点函数 ; 

// 自动运行返回的 JS, 为了更可观 , 所以增加了缓期执行 ; 

function eval_(msg){ 

if(int


《PHPer》 


《PHPer》 

刷新或者输入 clear, 将使界面恢复到初始状态 ; 

为了测试功能 , 我写了数学算法功能 ; 

现在功能实现了 , 基本上与 DOS 有如下类似功能 : 

• 禁止非结尾为 ”;” 的命令提交 , 这点是学习 mysql 的 ; 

• 结果显示效果与 DOS 一样 , 甚至好过 DOS; 

• 清屏功能 ; 

• 命令安全输入功能 ; 

• 速度更快 , 更直观。 

本程序在 IE6 IE7 IE8 FF 浏览器下测试成功。演示 : 

http://www.fenanr.com/show.php?action=dos; 

作者简介 : 

姓名 : 冯 . 于安 

Email: Yua n-e@qq.com 

分享工作室 :http://www.fenanr.com; 

现居 : 广州 


扩展与框架 : 

《PHPer》 

扩展与框架 

Zend 框架简介 

ZendFramework 团队 

为了开发用于 PHP 的标准化的 MVC 框架 , 社区成员付出了很大努力 , 最终形成 

了 Zend 框架。它是真正的开源项目 , 它的授权是基于 BSD 授权协议的 , 这确保了所 

有人都有权利适当地使用它。 

Zend 框架遵循 MVC 架构 , 但它的实现质量要高得多 , 并且也很成熟。它为大多 

数 Web 开发任务提供了相应的功能 , 而且操作也很灵活。 

本文介绍了 Zend 框架 , 并且演示了使用这个框架进行开发的一种方法。使用 Zend 

框架并不是仅仅只有这一种方法 , 这是因为 Zend 框架的整体目标是创建一个适合大 

量不同的开发人员的灵活的开发环境。 

1 设置 Zend 框架 

Zend 框架的入门是非常简单的。你需要下载并安装它 , 然后为这一框架配置 Web 

服务器环境即可。 

1.1 安装 Zend 框架 

首先需要访问 http://framework.zend.com 并下载最新的稳定版本。编写此书时 , 最 

新的版本是 1.0.3。 

> wget http://framework.zend.com/releases/ZendFramework-1.0.3/ ➥ 

ZendFramework-1.0.3.tar.gz 

需要挑选一个保存框架库的公共位置 , 这取决于你如何组织服务器。这里使用以 

下路径。 

> mkdir /usr/share/php/ZendFramework 

不过 , 使用哪个目录完全取决于你自己 , 你所需做的事情就是记住保存框架文件 

的位置。 

下一步 , 将框架解压缩到这个目录中。 

> tar xzf ZendFramework-1.0.3.tar.gz 

现在就获得了以下的一个目录。 

> drwx------ 7 1005 513 ZendFramework-1.0.3 

这将使得框架的完整路径为 /usr/share/php/ZendFramework/ZendFramework-1.0.3/。 

不过 , 你也许已经注意到 , 文件的权限分配不是很理想。在这里 , 你有几种选择 , 可 

以让 Web 服务拥有这些文件 , 另外 , 为了使文件不易被修改 , 也可以保护这些文件。 

推荐使用后者。 

> cd ZendFramework-1.0.3 

> chown root:root . –R 

现在 , 已经获得了 root 用户拥有的所有框架文件了 , 但是 Web 服务器还不能读取 

这些文件。需要将目录的权限设置为 chmod755(drwxr-xr-x), 将文件的权限设置为 

644(-rw-r--r--)。最简单的方法是使用 find 命令。 



《PHPer》 

> find -type d -exec chmod 755 {} \; 

> find -type f -exec chmod 644 {} \; 

权限设置正确并且框架配置完成之后 , 只有 root 用户才可以修改框架文件。这应 

该可以提供更多的安全保障 , 从而防止框架库在主原始位置之外的地方被修改。 

从这里开始 , 你就不能再通过替换现存文件来升级到新版本了。相反 , 应该遵循这一 

过程 , 每次都创建一个新的目录。 

1.2 创建一个虚拟主机 

框架安装完成以后 , 需要创建一个虚拟主机。这一过程在前一章已经做过说明。 

Zend 框架使用一种非常相似的目录结构。 

> cd /usr/local/www/yourdomain.com 

> mkdir –p document_root/images document_root/styles 

> mkdir –p application/models application/views/scripts/index \ 

> application/controllers 

> find 

代码片段 

. 

./document_root 

./document_root/images 

./document_root/styles 

./application 

./application/models 

./application/views 

./application/views/scripts 

./application/views/scripts/index 

1.3 引导文件 

引导文件将 Web 服务器环境和 Zend 框架集成在一起。它是 Web 服务器向站点发 

送所有请求的地方 , 它将处理应用程序的分派工作。 

第一步是在 document_root 目录中创建 index.php 文件 ( 引导文件 ) 和 .htaccess 文件。 

document_root. 

> cd document_root 

> pico –w index.php 

代码片段 

 

> pico –w .htaccess 

RewriteEngine On 

RewriteCond %{REQUEST_FILENAME} -s [OR] 

RewriteCond %{REQUEST_FILENAME} -l [OR] 

RewriteCond %{REQUEST_FILENAME} –d 

RewriteRule ^.*$ - [NC,L] 

RewriteRule ^.*$ /index.php [NC,L] 

这一脚本会将所有请求重定向到 index.php, 从而避免发生 404 文件未找到 HTTP 



《PHPer》 

的错误。严格说来 , 它会检查请求是否能找到对应的文件、符号链接或者目录 , 然后 

在所有这些条件都不满足的情况下执行重定向操作。 

要测试输出结果 , 可以访问 http://yoursite.com/asdf 并确保看到 “Rewrite working.” 

字样。如果看不到这一结果 , 你将需要解决 mod_rewrite 的问题 ( 要找到关于 mod_rewrite 

的文档 , 可参见 http://httpd.apache.org/docs/2.0/mod/mod_rewrite.html)。 

假设一切正常 , 下一步骤就应该是开始编写真实的 index.php 文件。先清除旧文件中 

的内容。 

> echo > index.php 

然后创建一个新的 index.php 文件 , 并且包含主要的 Zend 平台 include 文件。 

> pico –w index.php 

代码片段 


《PHPer》 

代码片段 


《PHPer》 

2.2 添加视图 

在前面 , 通过创建视图对象 , 给它设置变量 , 并调用 render() 方法 , 你手工输出了 

视图。Zend 框架有一个被称为视图输出器的默认组件 , 它为你处理了其中两个步骤 : 

自动创建视图实例以及输出视图脚本。视图实例被保存在控制器的实例的 $this->view 

变量中。 

对应用程序来说 , 第一个视图模板将是 application/views/scripts/index/index.phtml, 

如代码清单 1-3 所示。目录 index 代表了控制器名称 , 而 index.phtml 文件则代表去掉 

了 Action 后缀的方法名称。 

代码清单 1-3 示例视图 (application/views/scripts/index/index.phtml) 

代码片段 

 

 

Welcome: 

 

 

这个模板非常简单。现在 , 要使用这个模板 , 需要重构 IndexController.php 文件中 

的 indexAction 方法 , 并设置 name 变量的值 , 如代码清单 1-4 所示。 

代码清单 1-4 一个启用了视图的操作 ( 在 IndexController.php 中 ) 

代码片段 

public function indexAction() { 

$this->view->name = 'Kevin'; 

} 

如果重新加载页面 , 应该会看到 “Welcome: Kevin.” 的字样。现在 , 你已经完成了 

一个可以运行的 Zend 框架应用程序。 

2.3 定义模型 

下一步是创建数据模型 , 这一模型可以为应用程序提供一些有意义的数据。Zend 

框架包含了大量有价值的类 , 这些类可用来作用于数据库。你将使用这些基类创建数 

据模型 , 但首先需要一个数据库。 

1. 设置数据库 

使用哪种数据库完全取决于你自己。本章的例子中使用的是 PostgreSQL 数据库 , 

这是因为在 Debian Linux 发行版上 , 它可以从包管理器安装。对于特定系统来说 , 用 

到的二进制程序的位置可能不在路径上 , 并且 pg_hba.conf 文件所在的位置也可能与 

这里显示的位置不同。 

首先 , 需要创建一个 PostgreSQL 用户作为数据库的拥有者 , 还要将应用程序访问 

的数据库与已经在主机上运行的其他数据库分隔开。这是一个交互式命令 , 应该作为 

postgres 用户来运行。确保为数据库使用自定义的密码。 

> createuser –P 

然后 , 创建一个由 demouser 用户拥有的数据库 , 这个数据库是 UTF-8 编码格式的 , 

名称为 demodb。 

> createdb -O demouser -E utf-8 demodb 

下一步 , 要启用对新数据库的访问 , 需要编辑 PostgreSQL 基于主机的验证配置文 



《PHPer》 

件 (pg_hba.conf), 以便让新用户有权限连接到数据库。以下的配置行将 demodb 的本 

地 (UNIX 套接字 ) 访问权限授权给使用 MD5 散列密码的 demouser 用户。 

> pico -w /etc/postgresql/8.1/main/pg_hba.conf 

local demodb demouser md5 

下一步 , 需要重新加载 postgresql 守护进程 , 可以使用初始化脚本或者 pg_ctl 二 

进制程序。 

> /etc/init.d/postgresql reload 

现在 , 应该可以连接到数据库了。 

> psql -U demouser -W demodb 

下一步 , 创建一个表。创建的第一个表可能用来保存客户的信息。 

demodb=> create table customers(customer_id serial, name varchar); 

然后可以在这个表中创建一条记录。 

demodb=> INSERT INTO customers (name) VALUES ('Kevin'); 

最后 , 使用 \q 命令退出。 

demodb=> \q 

拥有了数据库之后 , 便可以为 customers 表创建一个模型 , 但首先必须配置 Zend 

框架 , 以便使用这个数据库。 

2. 配置框架以使用数据库 

要让 Zend 框架可以使用你的数据库 , 你需要编辑引导文件 index.php。 

> pico –w document_root/index.php 

在这个文件中包含 Zend_Controller_Front::run 的代码行之前添加代码清单 15-5 中 

显示的代码。 

Zend_Controller_Front::run. 

代码清单 1-5 用于引导的数据库连接信息 ( 在 index.php 文件中 ) 

代码片段 

$params = array ( 

'username' => 'demouser', 

'password' => 'demopass', 

'dbname' => 'demodb' 

); 

$db = Zend_Db::factory('PDO_PGSQL', $params); 

Zend_Db_Table::setDefaultAdapter($db); 

setDefaultAdapter() 函数的调用确保了一种情况 , 即之后所有不使用显式连接信息 

连接数据库的代码都将使用这个连接信息。这使所有的 Zend_Db_Table 实例只需要关 

注表的结构 , 而不用关注要连接的数据库的位置。它还提供了一个方便并且集中的配 

置点。 

3. 创建 Customers 的模型、控制器和视图 

现在你可以创建一个从 Zend_Db_Table 派生的模型类 , 这个模型将与数据库表相 

互作用。 

> pico application/models/Customers.php 

添加代码清单 1-6 中显示的代码。 

代码清单 1-6 Customers 模型类 (application/models/Customers.php) 

代码片段 



《PHPer》 

 

 

 

 

 

 

 

 

 

 

重新加载页面 , 将会生成 customers 表的带样式列表。 

现在 , 你已经完成并激活了 Zend 框架 , 但是 , 还没有处理过任何数据输入 , 或者执行任何交 

互式操作。 

3 添加功能 

Zend 框架提供了一个功能集 , 它们可以被用来创建表格并且使处理输入数据的工 

作更加简单。这个功能包含了三个主要的部分 : 



《PHPer》 

• request 和 response 对象 ; 

• 操作辅助类和视图辅助类 ; 

• 输入校验功能。 

3.1 使用 request 和 response 对象 

request 对象封装了所有你希望用到的 HTTP 数据 , 其中包含了所有的 GET 数据 ( 查 

询 ) 、 POST 数据和 cookie 数据。它还提供了从请求 URI 中解析出的信息 , 例如控制 

器和操作名称等信息。另外 , 还提供了一种特殊类型的数据 , 它被称为参数 , 参数可 

以通过 URL 来设置 , 与使用查询变量相比 , 这种设置使站点对搜索引擎更加友好。 

为了补充 request 对象 ,response 对象提供了封装好的用于处理输出流的一种方式。 

1.request 对象 

以下五个请求对象方法的用法都是相同的 , 它们允许你与标准的输入流打交道。 

• getQuery($key = null, $default = null) 

• getPost($key = null, $default = null) 

• getCookie($key = null, $default = null) 

• getServer($key = null, $default = null) 

• getEnv($key = null, $default = null) 

如果为 key 参数传入 null 值 , 将获得信息的一个完整数组。如果传入一个键值 , 

将只获得那个键值对应的数据。还可以传入一个默认值 , 这使得它们在没有找到匹配 

的键值时可以返回这个默认值。如果没有找到匹配的键值并且也没有传入默认值 , 将 

返回 null 值。 

如果需要访问 HTTP 请求头信息 , 将需要使用 getHeader() 方法 , 并传入头信息的 

名称。需要注意的是 HTTP 头信息是区分大小写的。 

getHeader($header) 

在所有 MVC 实现框架中参数都是最关键的一个部分。它们是 get 变量的替换方法 , 

而且它们会使站点对搜索引擎更加具有吸引力。为了在 Zend 框架应用程序中使用参 

数 ,URL 将被分隔为以下的部分。 

http://example.com/controller/action/key1/value1/key2/value2 . . . 

通过使用参数 , 不需要使用 get 信息 , 就可以将关键的查询信息传入脚本中 , 例 

如顾客的 ID 信息。使用参数是最佳的方法之一 , 它确保了搜索引擎爬虫可以获取到 

动态内容 , 这是因为大多数爬虫程序都会忽略查询变量。 

如果在 URL 参数中没有找到请求的键值 ,getParam() 方法也会访问 query 和 post 信息。 

getParam($key, $default = null) 

getParams() 方法会返回包含所有参数、query 和 post 信息的一个数组。 

要确定当前的 HTTP 请求方法 , 如 GET、POST、HEAD 等 , 可以使用以下方法 : 

getMethod()。 

另外 , 还可以使用以 is 开头的一些方便的函数 :isPost()。 

2.response 对象 

response 对象包含了允许设置头信息和分配响应内容的方法。代码清单 15-9 演示 

了如何设置一个 Content-Type 头信息 , 以及如何在一个 JSON(JavaScript Object 

Notation,JavaScript 对象标志 ) 操作的场景中设置响应内容。 

代码清单 1-9 JSON 返回操作 

代码片段 



《PHPer》 

public function jsonAction() { 

// 不输出模板 

$this->getHelper('ViewRenderer')->setNoRender(); 

// 设置 response 对象中的内容类型头信息 

$this->getResponse()->setHeader('Content-Type', 'application/json'); 

} 

// 手工设置响应内容 , 而不是输出模板 

$json = '{"Name":"Kevin"}'; 

$this->getResponse()->setBody($json); 

此外 , 你还可能会使用 setHttpResponseCode() 方法来设置状态码 , 例如在你希望 

创建 404 错误或者 503 错误页面时。 

3.2 使用内置的操作辅助类 

操作辅助类是一种可重用的类 , 可以向控制器添加功能 , 通常这种功能不应该被 

当作程序逻辑功能。例如 , 在 Zend 框架中 , 将用户重定向到另外一个页面的能力是 

作为辅助类来实现的。 

在第 17 章你将学到如何创建自己的操作辅助类。现在 , 我们介绍一些内置的操作辅 

助类。 

1.Redirector 辅助类 

Redirector 辅助类执行的操作和它的名称的含义一样 , 允许将用户重定向到一个新 

的页面。它提供了几种方法 , 但最关键的一个是 goto() 方法。 

void goto($action, $controller=null, $module=null, $params=array()) 

goto() 方法执行重定向操作 , 并且允许重定向到一个特定的操作。应该优先使用提 

供的 API, 而不是直接使用头信息 , 这是因为有几种因素会在执行过程中影响 Zend 

框架应用程序的 URL 布局功能。 

为了将用户重定向到一个新页面 , 需要向 customers 控制器添加一个操作方法 , 如 

代码清单 1-10 所示。 

代码清单 1-10 使用 Redirector 辅助类 ( 在 CustomersController.php 文件中 ) 

代码片段 

public function redirectAction() { 

$this->getHelper('redirector')->goto('index'); 

} 

当访问 /customers/redirecct 时 , 应该会将你的动作转发到 index 动作。 

可以使用 Zend_Controller_Action 类的 getHelper() 方法 , 通过辅助名称来访问所有的辅 

助类。 

2.FlashMessenger 辅助类 

FlashMessenger 辅助类的作用在于将一个请求的消息保存到下一个页面。它允许 

添加一个将要显示在下一页面的消息 , 它将处理关于会话的所有问题 , 其中包括在显 

示完成之后将这个消息从会话中删除。 

FlashMessenger 辅助类的用法将在代码清单 1-11 和代码清单 1-12 中演示。 

代码清单 1-11 使用 FlashMessenger 辅助类 ( 在 CustomersController.php 文件中 ) 



《PHPer》 

代码片段 

public function redirectAction() { 

$this->getHelper('FlashMessenger') 

->addMessage("This was set at the redirector"); 

$this->getHelper('redirector')->goto('show'); 

} 

} 

public function showAction() { 

$this->view->messages = $this->getHelper('FlashMessenger')->getMessages(); 

代码片段 

代码清单 1-12 消息视图 (application/view/scripts/customers/show.phtml) 

 

 

 

如果访问 /customers/redirect, 将被重定向到 /customers/show 上 , 而且还会看到消息。 

然后 , 如果重新加载页面 , 将看不到这个消息 , 因为在它被显示出来之后它就被从会 

话中删除了。 

3.3 使用内置的视图辅助类 

视图辅助类与操作辅助类遵循相同的逻辑 , 这允许为视图创建可重用的组件。在 

后面你将学到如何创建视图辅助类。现在 , 我们来看一下内置的辅助类。 

许多内置的视图辅助类协助创建表单并将表单绑定到视图上。用辅助类创建表单 

使用的代码较多。不过 , 它们实现了一些有用的操作 , 如输出转义 , 并且使从一个数 

组来创建选择下拉列表更加容易。另外 , 它们还有助于提供更加一致的最终输出结果。 

因为 customers 表只有一个列 , 所以使用视图辅助类将非常容易。创建一个如代码清 

单 1-13 所示的新视图 , 并将它保存为 /application/views/scripts/customers/add.phtml。 

代码清单 1-13 使用视图辅助类 (application/views/scripts/customers/add.phtml) 

代码片段 

 

 

 

 

这段代码调用了两个视图辅助类 :formText 和 formSubmit。解析这些视图将生成 

以下输出 HTML。 

下一步 , 向 CustomersController.php 文件中的控制器类添加一个空的操作方法 , 如 

代码清单 1-14 所示。即使没有方法实现体 , 这个方法的存在也提供了输出 

customers/add.phtml 视图的功能。 

代码清单 1-14 添加一个操作方法 ( 在 CustomersController.php 文件中 ) 

代码片段 



《PHPer》 

public function addAction() {} 

下一步 , 访问 http://example.com/customers/add, 便可以看到表单了。 

在开始处理任何特定的表单之前 , 提交一些有效的数据并确保它们能够让你的应 

用程序正确运行通常是很有用的。一般来说 , 你可能会使用 var_dump($_POST) 方法 

或者一些类似的方法来输出所有的表单数据。不过 , 在 Zend 框架中 , 你希望确保数 

据能够正确地被所有的 API 理解。要实现这一点 , 你将使用 Zend_Debug 以显示由 

Zend_Request 对象解析的 post 信息。修改 addAction() 方法 , 如代码清单 1-15 所示。 

代码清单 1-15 使用 Zend_Debug::dump( 在 CustomersController.php 文件中 ) 

代码片段 

public function addAction() { 

Zend_Debug::dump($this->getRequest()->getPost()); 

} 

到目前为止 , 你知道输入的数据是有效的 , 并且 post 操作也是正确的。现在便可 

以开始处理表单了。 

3.4 验证输入信息 

在将 post 信息提交给数据库之前 , 必须确保信息有效 , 以便使数据库中的数据保 

持一致。Zend_Db 基础架构将提供对 SQL 注入的保护 , 所以这个校验层主要是为了 

确保数据是合理的 , 并且可以安全地显示在其他页面中。 

在 Zend 框架应用程序中接受用户的输入数据包含两个部分。 

• 过滤 , 这一部分包括了修改数据操作 , 例如去掉字符串末尾的空格或者删除 

HTML 标签等操作。 

• 验证 , 这一部分在过滤之后发生 , 它可以确保数据是合理的 , 以保证它不会 

导致如跨站点脚本攻击这样的问题。 

这些操作分别通过 Zend_Filter 类和 Zend_Validate 类来实现。不过 , 它们更多的是 

通过 Zend_Filter_Input 类在一起使用的 , 这个类的作用在于过滤信息数组 , 例如整个 

表单或者 URL 参数集合。 

1. 使用 Zend_Filter_Input 类 

要使用 Zend_Filter_Input 类 , 首先需要定义两个关联数组 , 一个用于过滤器 , 另 

外一个用于验证器。这些数组中的键值指向你希望验证的字段 , 而相对应的数值定义 

了要应用的规则。代码清单 1-16 显示了如何验证 customers 表单。 

代码清单 1-16 验证表单 ( 在 CustomersController.php 文件中 ) 

代码片段 

public function addAction() { 

$request = $this->getRequest(); 

// 确定是否正在处理 post 请求 

if($request->isPost()) { 

// 过滤掉 name 字段的标签 

$filters = array( 

'name' => 'StripTags' 

); 



《PHPer》 

// 验证名称不少于 1 个字符并且不多于 64 个字符 

$validation = array( 

'name' => array ( 

array('StringLength', 1, 64) 

) 

); 

// 初始化 Zend_Filter_Input(ZFI), 并向它传递整个 getPost() 数组 

$zfi = new Zend_Filter_Input($filters, $validation, $request->getPost()); 

// 如果验证通过 , 这个值应该为 true 

if ($zfi->isValid()) { 

// 直接从 zfi 获取数据并且为 Zend_Db 类创建一个数组 

$clean = array(); 

$clean['name'] = $zfi->name; 

// 创建 customers 表的一个实例并插入 $clean 行 

$customers = new Customers(); 

$customers->insert($clean); 

// 在添加完数据之后重定向到显示页面 

$this->getHelper('redirector')->goto('index'); 

} else { 

// 表单没有通过验证 , 从 ZFI 获得信息 

foreach($zfi->getMessages() as $field=>$messages) { 

// 将每个 ZFI 消息放在 FlashMessenger 中 , 让它在表单上显示这些信息 

foreach($messages as $message) { 


->addMessage($field . ' : '. $message); 

} 

} 

// 重定向回输入表单 , 但这次包括了信息数据 

$this->getHelper('redirector')->goto('add'); 

} 

} 

// 不是 post 请求 , 检查 flash 信息并显示到视图上 

if($this->getHelper('FlashMessenger')->hasMessages()) { 

$this->view->messages = $this->getHelper('FlashMessenger')->getMessages(); 

} 

// 视图显示器会自动地输出 add.phtml 模板 

} 

还需要修改 add.phtml 模板。在文件顶部添加代码清单 1-17 所示的代码。 

代码清单 1-17 修改 Add 视图 ( 在 add.phtml 文件中 ) 



《PHPer》 

代码片段 

 

 

 

 

 

当提交一个空值时 , 它会验证失败。如果输入一个 HTML 标签 , 它应该被过滤掉。 

验证器和过滤器的数组是用来实现这一功能的。在之前的代码清单中演示的值非常简 

单 , 但可以使用一些非常复杂的验证规则。对于验证器来说 , 可以提供一个数组 , 将 

多个验证器应用到一个字段上。例如 , 如果要求姓名中只包含字符 , 可以添加 Alpha 

过滤器 , 如代码清单 1-18 所示。 

代码清单 1-18 使用多个验证器 

代码片段 



array('StringLength', 1, 64), 

'Alpha' 

) 

); 

你会留意到这里只使用了验证器的名称 , 而不是数组。这是因为并非所有的验证 

器都需要参数。第一种格式将数值作为构造函数参数在验证器名称后面传给验证类。 

第二种格式不需要参数。 

要找到所有内置验证类的清单 , 可以在 Zend 框架库的安装目录中查找以下的路径 : 

/ZendFramework-1.0.3/library/Zend/Validate 

在这里 , 你将找到包含了验证类的文件集合 , 你可以直接使用这些验证类。它们 

接受的参数是由每个类的 __construct() 方法定义的。 

与验证器类似 , 过滤器也可以串在一起。以下是查找过滤器信息的路径 : 

ZendFramework-1.0.3/library/Zend/Filter 

对于 StripTags 过滤器 , 你将留意到它接受多个参数 , 而不仅仅是允许使用的标签 

的一个列表。建议试验多种过滤器和验证器的组合 , 从而找到一个适合表格的混合体。 

还应该注意到 , 当某个字段没有通过验证时显示出来的错误信息很简洁 , 你可能希望 

修改默认信息。 

2. 使用元命令 

可以通过一种名为元命令的特殊机制来修改验证错误信息。在验证或者过滤记录 

中元命令被当作另外一个值使用。这些值是特殊的保留字 , 或者是执行一些附加功能 

的类常量 , 如设置错误信息等。例如 , 要设置 name 字段的验证信息 , 将使用 MESSAGES 

元命令和一个验证数组 , 如代码清单 1-19 所示。 

代码清单 1-19 控制错误信息 

代码片段 



《PHPer》 



array('StringLength', 1, 64), 

Zend_Filter_Input::MESSAGES => array( 

array( 

Zend_Validate_StringLength::TOO_SHORT => 'Name cannot be blank', 

Zend_Validate_StringLength::TOO_LONG => 'Name field is too long' 

) 

) 

) 

); 

ALLOW_EMPTY 元命令允许一个字段提交空值。这个字段仍然需要出现在输入 

数据数组中 , 这被称为 presence, 但它的值可能是 "。你可以认为在 Zend 框架中 presence 

和 empty 的区别与 PHP 中 null 和 " 的区别是一样的。代码清单 1-20 演示了 

ALLOW_EMPTY 元命令的用法。 

代码清单 1-20 允许为空的字段 

代码片段 



'Alpha', 

Zend_Filter_Input::ALLOW_EMPTY => true 

) 

); 

这个字段现在可以包含零个或多个字母字符。 

你还可能会用到另外几个元命令。 

• PRESENCE。要求某个键值出现在输入数组中 (Boolean)。 

• FIELDS。不使用输入键值作为字段名称 , 重写并使用这个值作为替代。 

• DEFAULT。如果某个字段不存在 , 就为这个字段设置一个默认值。 

• BREAK_CHAIN。在验证某个字段时碰到第一个验证失败就停止 , 而不是在 

它上面应用所有的验证器。 

4 小结 

在本文中 , 我们介绍了 Zend 框架的内容 , 其中包括设置和引导过程。需要下载包、 

设置权限 , 通常还要为 Zend 框架配置 Web 服务器环境。然后 , 介绍了 MVC 模式中 

的元素在 Zend 框架中是如何应用的。 

本文中的示例项目演示了一个非常基本的视图 , 介绍了 Zend 框架是如何与开发过 

程一起工作的。在下一章 , 你将学到如何使用其他的一些 Zend 框架特性 , 其中包括 

模块支持功能和几种内置组件的功能 , 用来控制应用程序的访问、发送邮件、使用会 

话、记录错误以及与 Web 服务交互等。 



《PHPer》 

QeePHP 快速入门 ( 五 )—— 实现用户功能 

1 实现用户注册 ( 用户界面 ) 

廖宇雷 

根据我们最开始的分析 ,todo 应用应该允许用户注册、登录 , 然后创建自己的任 

务列表。用户注册这个功能流程很简单 , 用流程图表示如下 : 

用户注册的流程 

这个功能我们使用 users 控制器的 register 动作来完成 , 所以首先通过 WebSetup 

创建 users 控制器。并在 users 控制器中添加如下代码 : 

代码片段 

function actionRegister() 

{ 

} 

现在通过浏览器访 

问 http://localhost/todo/public/index.php?controller=users&action=register 还只能看到一 

片空白 , 因为我们还没有为 register 动作方法提供对应的视图文件。 

1.1 创建视图 

在 QeePHP 应用程序中 , 视图的功能就如其名称暗示的一样 , 是用来显示给用户 

看的。大多数情况下 , 视图都是包含大量 HTML 代码的 PHP 文件。我们可以在视图 

中输出变量内容 , 以便将操作结果展示给用户。 

register 动作的操作结果就是显示一个 “ 用户注册 ” 表单。因此创建 

app/view/users/register.php 文件 , 内容如下 : 

代码片段 


《PHPer》 

 

 

 

 

 

现在刷新浏览器 , 就可以看到注册表单了。但是我们会发现浏览器中的 HTML 源 

代码是不合法的。因为连 head、body 等基本元素都没有。 

1.2 url() 函数 

在视图中 , 我们使用了 url() 函数。这个函数在 QeePHP 框架中承担着非常重要 

的职责 : 生成有效的 URL 地址。 

在 Web 应用程序中 ,URL 地址的重要性无论如何强调都不过分。而在 QeePHP 

中 ,URL 中特定参数将被 MVC 模式用于访问特定控制器和动作。为了能够生成有 

效的 URL 地址 ,QeePHP 框架提供了 url() 函数。 

url() 函数有多种用法 , 但最常用的用法只需要两个参数 : 

参数 

用途 

$udi 

指定 URL 地址对应的 UDI 

$args 

要在 URL 中传递的附加参数 

这里提到的 UDI 是统一目的地标识符 (Uniform Destination Identifier) 的缩写。 

UDI 由控制器、动作、名字空间以及模块名组成 , 采用如下的格式 : 

代码片段 

namespace::controller/action@module 

UDI 字符串中 , 每一个部分都是可选的。如果没有提供控制器和动作名 , 则使用 

默认的控制器 (default) 和动作名 (index) 代替。 

UDI 字符串写法示例 : 

代码片段 

controller 

controller/action 

/action 

controller@module 

controller/action@module 

namespace::controller 

namespace::controller/action 

namespace::controller@module 

namespace::controller/action@module 

@module 

namespace::@module 

由于本教程没有用到名字空间和模块 , 所以整篇教程中出现的 UDI 都是 

“tasks/create”、“users/login” 这样的形式。 

1.3 视图的继承 

在传统开发模式中 , 视图是个不被人重视的地方。配合 Smarty 之类的模板引擎 , 

将页面分割成多个子模板就算不错了。但是随着现代 Web 应用的复杂度越来越高 , 

对用户界面的要求也变得更严格 , 传统做法的工作量和灵活性都很不理想。 



《PHPer》 

参考下面的示意图 , 可以看到一个页面中 , 除了中间的内容部分外 , 页头、侧边栏、 

页脚在其他页面中都是可以重复使用。那么我们为什么不能引入面向对象中的继承思 

想 , 让视图也可以继承呢 ? 

典型的视图布局 

使用模板继承后 , 我们把整个页面作为一个父模板 , 而各个页面对应的模板做成 

子模板 , 子模板从父模板继承。 

多个子模板从父模板继承 



《PHPer》 

1.4 完成视图 

虽然没有特别要求 , 但惯例上将包含页面整体结构的视图称为 “ 布局视图 ”。在 todo 

应用中 , 为了简单起见 , 我们就不制作新的布局视图了 , 直接沿用生成应用时自动创 

建的布局视图。 

修改 register.php 文件 , 顶部加入下列代码 : 

代码片段 

// 指示该视图从 _layouts/default_layout 继承 

 

// 定义一个名为 contents 的区块 

 

在 register.php 文件底部加入 : 

代码片段 

// 区块定义结束 

 

修改完成后刷新浏览器 , 可以看到现在的页面不但有 register.php 中添加的表单 

内容 , 还有完整的页头、侧边栏和页脚。 

1.5 指定要继承的视图 

从布局视图继承后获得的完整页面 

新增的代码中 , _extends() 方法表示当前视图从哪一个视图继承。打开 

_layouts/default_layout.php 可以看到这里定义了完整的页面结构。注意 _extends() 方 

法指定的视图名字不需要包含扩展名。因为 QeePHP 支持多种模板引擎 , 而每种模板 

引擎使用的文件扩展名都有所不同。 

1.6 通过定义区块来覆盖父模板中的内容 

在新增代码中 , 出现了 _block() 和 _endblock() 两个方法。这两个方法总是成对 

出现的 , 用来定义一个 “ 区块 ”。每一个区块都有名称 , 因此 _block() 方法需要提供区 

块名称作为参数。在子模板中定义的区块 , 区块的内容会替换掉父模板中同名区块的 

内容。 

打开 _layouts/default_layout.php 父模板可以看到如下代码 : 

代码片段 



《PHPer》 

 

 

这里定义了一个名为 “contents” 的区块。由于子模板中也定义了同名区块 , 所以子 

模板中的内容就将父模板的 “contents” 区块内容替换掉了 , 最终获得了完整的输出内容。 

利用这个特性 , 我们可以实现非常灵活的视图。例如在文章显示页面 , 将文章标题添 

加到页面的 title 标签中 : 

代码片段 

// 父模板 

这是我的网站 - 欢迎 

// 子模板 

 

当显示文章页面时 , 文章页面视图中定义的 “title” 区块就会替换掉父模板中的内容。 

从而页面标题就变成了 “ 这是我的网站 – 文章的标题 ”。而在没有定义 “title” 区块的子 

模板中 , 父模板 “title” 区块的内容则会被保留。 

除了继承和区块 ,QeePHP 的视图还提供了其他非常有使用价值的特征。我们会 

在教程接下来的内容中为大家逐步呈现。 

2 实现用户注册 ( 功能实现 ) 

在前面的小结中 , 我们主要学习了怎么使用视图。现在我们来解决表单提交 , 以 

及模型的创建问题。 

2.1 丑陋的表单提交处理代码 

修改 controller/users.php 文件 , 加入以下代码 : 

代码片段 


{ 

// 从 POST 中提取用户名和密码 

$username = trim(strtolower(isset($_POST['username']) ? $_POST['username'] : '')); 

$password = isset($_POST['password']) ? $_POST['password'] : ''; 

// 对输入数据进行验证 

$errors = array(); 

if (strlen($username) < 5) 

{ 

$errors['username'][] = ' 用户名不能少于 5 个字符 '; 

} 

if (strlen($username) > 15) 

{ 

$errors['username'][] = ' 用户名不能超过 15 个字符 '; 

} 



《PHPer》 

} 

if (strlen($password) < 6) 

{ 

$errors['password'][] = ' 密码不能少于 6 个字符 '; 

} 

..... 更多的验证代码 

..... 检查用户名是否重复 

..... 检查保存是否成功 

..... 如果失败 , 将错误信息存入视图 

..... 如果失败 , 将 POST 信息存入视图 , 以便在表单中重新显示提交的内容 

上述代码可能和过去的做法类似 , 但是这些代码看着不恶心吗 ? 

QeePHP 为表单提供了全面支持 , 并且允许开发者将表单和模型结合起来使用。 

这样一来 , 表单数据的过滤、验证 , 以及错误处理都可以自动完成 , 不需要开发者手 

工编码实现。关于如何使用表单 , 有专门的章节详细阐述。这里我们只简单的展示一 

下使用 QeePHP 表单模型带来的优势。 

2.2 完善模型定义 

时刻记住一点 ,QeePHP 是一个遵循 “ 领域驱动开发 ” 思想的框架。而领域驱动中 , 

最重要的就是模型。而我们的大多数表单都是和模型有关的 , 所以在处理表单之前 , 

首先要完善模型的定义。因为这些定义可以直接套入表单对象中 , 避免我们在不同的 

地方编写同样的逻辑 , 这就是 DRY 原则的最佳实践。 

先前创建的 User 模型只是半成品 , 现在我们需要对其进行完善。一个模型由几 

个方面组成 : 

• 属性 : 定义模型有哪些属性、属性的类型以及属性的行为和验证规则等 

• 行为 : 添加实现业务逻辑需要的方法 , 让模型逐步逼近实际的需求 

• 数据 : 由属性和存储模型属性的数据表组成 , 但属性不一定要和数据表一一 

对应 

• 关系 : 模型需要互相配合来实现业务需求 , 因此关系也是模型的一部分 

2.3 完善模型的属性 

打开模型的定义文件 , 在 __define() 方法中可以找到模型的详细定义。这些定义 

分为几个部分 : 

• 指定存储模型使用的数据表 

• 属性和关联的定义 , 例如只读属性、虚拟属性、关联等 

• 对属性的验证规则 

• 安全性方面的定义 

• 行为插件的定义 

在 QeePHP 的模型中 , 属性本身具有多种特性 : 

• 是否是只读属性 

• 是否是虚拟属性 

• 是否有 getter 或 setter 方法 

• 类型 

• 验证规则 



《PHPer》 

对于 todo 这样的简单应用 , 我们用不到这么多高级特性 , 所以上述内容了解一下 

就行了。 

todo 应用中 ,user 模型只有两个主要属性 : 用户名和密码。根据需求 , 这两个属 

性有下列要求 : 

• 用户名应该是唯一的 

• 用户一旦成功创建 , 就不能更改用户名 , 因此用户名必须是只读属性 

• 用户名不能少于 5 个字符 , 不能多于 15 个字符 , 并且只能使用字母和数字 

组成 

• 密码不能少于 6 个字符 , 不能多于 20 个字符 

• 密码应该加密存储 

现在我们一步步来实现这些要求。 

修改 __define() 方法 , 禁止更新用户名 : 

代码片段 

'props' => array( 

..... 

// 指定 username 属性为只读 

'username' => array('readonly' => true), 

..... 

), 

/** 

* 指定更新数据库中的对象时 , 哪些属性的值不允许由外部提供 

*/ 

'update_reject' => 'username', 

继续 : 

代码片段 

'validations' => array 

( 

// 指定 username 属性的验证规则 

'username' => array 

( 

array('not_empty', ' 用户名不能为空 '), 

array('min_length', 5, ' 用户名不能少于 5 个字符 '), 

array('max_length', 15, ' 用户名不能超过 15 个字符 '), 

array('is_alnum', ' 用户名只能由字母和数字组成 '), 

), 

// 指定 password 属性的验证规则 

'password' => array 

( 

array('not_empty', ' 密码不能为空 '), 

array('min_length', 6, ' 密码不能少于 6 个字符 '), 

array('max_length', 20, ' 密码不能超过 20 个字符 '), 

), 

), 



《PHPer》 

经过简单的设置 , 大部分要求都可以由 QeePHP 来处理了 , 剩下的密码加密存储 

则可以借助现成的 acluser 行为插件来实现。 

2.4 行为插件 

虽然我们可以通过给 password 属性添加 getter 和 setter 方法来实现密码的加密 , 

但 QeePHP 已经提供了现成的插件来帮助我们完成类似工作 , 并且提供了更丰富的特 

性。 

acluser 行为插件应用到一个模型后 , 可以实现下列特征 : 

• 密码属性的自动加密 

• 验证用户名和密码的正确性 

• 验证用户名的唯一性 

• 查询用户的基本属性和角色信息 

要使用 acluser 插件 , 只需要修改 __define() 方法 : 

代码片段 

// 指定该 ActiveRecord 要使用的行为插件 

'behaviors' => 'acluser', 

// 指定行为插件的配置 

'behaviors_settings' => array 

( 

# ' 插件名 ' => array(' 选项 ' => 设置 ), 

'acluser' => array( 

'acl_data_props' => 'username', 

), 

), 

acluser 插件的详细文档请参 

考 : http://qeephp.com/docs/qeephp-api/class-model-behavior-acluser 

指定好 acluser 插件后 , 我们的 user 模型在属性方面就完善了。 

2.5 完善模型的行为和关系 

根据前面的需求分析 ,user 模型具有下列行为 : 

user 模型的行为 

validateLogin 

验证用户名和密码 

createTask 

创建属于该用户的任务 

loadTasks 

载入属于该用户的任务 

由于 acluser 插件已经提供了验证用户名和密码的方法 ,validateLogin() 方法不需 

要我们自己实现了。下面来实现 createTask() 和 loadTasks() 方法。修改 user 模型的 

类 , 加入下列代码 : 

代码片段 

class User extends QDB_ActiveRecord_Abstract 

{ 

/** 

* 创建属于当前用户的任务 

* 



《PHPer》 

} 

* @return Task 

*/ 

function createTask($subject, $description = null) 

{ 

$task = new Task(); 

$task->owner = $this; 

$task->subject = $subject; 

$task->description = $description; 

return $task; 

} 

..... 

而 loadTasks() 方法也不需要我们去实现 , 因为 QeePHP 的 ORM 可以让我们直 

接通过属性访问一个模型关联的其他模型。所以我们只需要修改 __define() 方法 , 加 

入 user 模型和 task 模型的关联就可以了 : 

代码片段 

'props' => array( 

..... 

'tasks' => array(QDB::HAS_MANY => 'Task', 'target_key' => 'user_id'), 

..... 

), 

OK, 现在用户模型已经准备好了。 

2.6 实现用户注册表单 

在 Web 应用中 , 表单需要完成下面的主要任务 : 

• 容纳从客户端提交的数据 

• 对客户端提交的数据进行过滤 

• 对客户端提交的数据进行验证 

• 导出过滤和验证后的数据 

• 构造出在浏览器中需要的 HTML 代码 

为了提供更好的灵活性 , 并且简化表单的使用 ,QeePHP 将上述几项任务分为多 

个不同的部分 : 

• QForm 负责构造表单元素容器 

• 表单元素负责容纳数据 , 并数据进行过滤和验证 

• 通过 QeePHP 的用户界面控件构造表单 HTML 代码 

在 QeePHP 应用中使用表单 , 典型的过程如下 : 

• 创建表单 , 定义表单需要容纳的数据 , 以及过滤和验证规则 

• 在控制器动作中构造表单对象 , 并导入数据进行过滤和验证 

• 在视图中构造表单的 HTML 代码 , 或者通过视图片段构造表单 HTML 代码 

搞清楚了基本概念 , 我们就来一步步实现用户注册表单。 

2.7 创建表单对象 

新建文件 app/form/userlogin.php, 内容如下 : 



《PHPer》 

代码片段 

class Form_UserLogin extends QForm 

{ 

function __construct($action) 

{ 

// 调用父类的构造函数 

parent::__construct('form_userlogin', $action); 

} 

} 

// 从配置文件载入表单 

$filename = rtrim(dirname(__FILE__), '/\\') . DS . 'userlogin_form.yaml'; 

$this->loadFromConfig(Helper_YAML::loadCached($filename)); 

$this->addValidations(User::meta()); 

再新建文件 app/form/userlogin_form.yaml: 

代码片段 

# ~form 开头的内容用于指定表单属性 

~form: 

_subject: " 注册新用户 " 

# 指定字段及过滤器等信息 

username: 

_ui: textbox 

_filters: ['trim', 'strtolower'] 

_label: " 用户名 " 

password: 

_ui: password 

_label: " 密码 " 

虽然为了演示表单的时候 , 对于用户登录这种表单我们也用了两个分离的文件。 

但对于一些复杂表单 , 分离为两个文件后 , 可以分别修改表单的行为 ( 表单对象文件 ) 

和定义 ( 配置文件 ), 更好的实现职责分离的目标。 

2.8 准备表单视图 

表单对象要转换成 HTML 代码 , 还要借助表单视图。幸运的是表单视图是一个 

完全独立的部分 , 我们可以从 QeePHP 社区上下载一些现成的表单视图来使用 , 或 

者以其为基础修改。这样大大的减少了工作量。这里使用的是 

http://qeephp.com/projects/show/name/formview_simple 这个表单视图。 

记得将表单视图的样式表合并到 public/css/style.css 文件中。按照说明准备好文 

件后 , 修改 app/view/users/register.php 文件的内容为 : 

代码片段 

 

 



《PHPer》 

 

 

相比以前手工编写的表单 , 代码量大大减少 , 而且还具有更多的功能。 

2.9 实现用户登录 

修改 users 控制器的 actionRegister() 方法为 : 

代码片段 


{ 

// 构造表单对象 

$form = new Form_UserLogin(url('users/register')); 

if ($this->_context->isPOST() && $form->validate($_POST)) 

{ 

// 是 POST 提交 , 并且表单验证通过 

try 

{ 

// 创建 user 对象并保存 

$user = new User($form->values()); 

$user->save(); 

题 

} 

} 

// 成功后输出新建用户对象的信息 

dump($user->username, ' 新建用户的用户名 '); 

dump($user->password, ' 新建用户的密码 '); 

dump($user->id(), ' 新建用户的 ID'); 

exit; 

} 

catch (AclUser_DuplicateUsernameException $ex) 

{ 

// 捕获 AclUser_DuplicateUsernameException 异常 , 在表单中指出用户名存在重复问 

} 

$form['username']->invalidate(" 您要注册用户名 {$user->username} 已经存在了 "); 

// 将表单对象传递给视图 

$this->_view['form'] = $form; 

现在用浏览器访 

问 http://localhost/todo/public/index.php?controller=users&action=register , 然后不输入 

任何内容就点击 “ 提交 ” 按钮 , 将可以看到如下界面 : 



《PHPer》 

对验证信息的反馈 

现在输入用户名为 :imphper, 密码为 123456, 提交后会看到如下内容 : 

注册成功后的输出信息 

通过 phpMyAdmin 可以看到刚刚输入的信息已经存入数据库了 : 

保存到数据库中的用户信息 

为了方便后续开发 , 我们再修改一下 users 控制器的 actionRegister() 方法 : 

代码片段 

// 成功后输出新建用户对象的信息 

dump($user->username, ' 新建用户的用户名 '); 

dump($user->password, ' 新建用户的密码 '); 

dump($user->id(), ' 新建用户的 ID'); 

exit; 

改为 : 

代码片段 



《PHPer》 

// 登录成功后 , 重定向浏览器 

return $this->_redirect(url('default/index')); 

现在读者朋友们可以发挥自己的想象力 , 尝试输入不同的内容来测试表单的验证 

规则、过滤器设置 , 以及对重复用户名的检查 :) 

3 用户登录和注销 

通过前面实现用户注册功能 , 我们了解了如何完善模型及创建表单。这一个小节 

我们来实现用户的登录和注销功能。 

3.1 实现登录 

修改 users 控制器 , 加入下列代码 : 

代码片段 

function actionLogin() 

{ 

$form = new Form_UserLogin(url('users/login')); 

$form->_subject = ' 登录 '; 


{ 

try 

{ 

// 使用 acluser 插件的 validateLogin() 方法验证登录并取得有效的 user 对象 

$user = User::meta()->validateLogin($form['username']->value, $form['password']->value 

); 

} 

} 

// 将登录用户的信息存入 SESSION, 以便应用程序记住用户的登录状态 

$this->_app->changeCurrentUser($user->aclData(), 'MEMBER'); 

// 登录成功后 , 重定向浏览器 


} 

catch (AclUser_UsernameNotFoundException $ex) 

{ 

$form['username']->invalidate(" 您输入的用户名 {$form['username']->value} 不存在 "); 

} 

catch (AclUser_WrongPasswordException $ex) 

{ 

$form['password']->invalidate(" 您输入的密码不正确 "); 

} 


这段代码中有两个地方需要说明一下。 



《PHPer》 

3.2 调用行为插件的方法 

acluser 行为插件为模型扩展了多个方法 , 包括 : 

方法名用途类型 

validateLogin() 验证用户登录并返回用户对象类方法 

validateUsername() 验证用户名类方法 

validatePassword() 验证用户名和密码类方法 

changePassword() 修改指定用户的密码类方法 

checkPassword() 检查指定的密码是否与当前用户的密码相符实例方法 

changePassword() 修改当前用户的密码实例方法 

updateLogin() 更新用户的登录信息实例方法 

aclRoles() 获得包含用户所有角色名的数组实例方法 

aclData() 获得用户的 ACL 数据实例方法 

类方法是指调用该方法不需要构造模型对象实例 , 而实例方法则只能通过模型对 

象实例来调用。要调用一个类方法 : 

代码片段 

User::meta()->validateLogin(); 

调用一个实例方法则是 : 

$user->changePassword(); 

可以看出 , 类方法必须通过 meta() 方法返回的连贯接口来调用。 

在用户登录中 , 我们用到了 acluser 插件提供的 validateLogin() 类方法 , 所以调 

用方式就是 : 

代码片段 

$user = User::meta()->validateLogin( 

$form['username']->value, 

$form['password']->value 

); 

validateLogin() 方法检查用户名和密码的正确性 , 如果检查通过就返回有效的用 

户对象 , 否则抛出不同的异常。通过拦截异常我们就可以给用户反馈合适的错误信息。 

3.3 记住用户的登录状态 

登录成功 , 我们必须让应用程序记住用户的登录状态 , 不然用户一刷新页面 , 又 

变成未登录了。在 QeePHP 自动生成的应用程序对象中 , 已经提供了一系列方法来完 

成这项工作 : 

方法名 

用途 

changeCurrentUser 

将用户数据保存到 session 中 

currentUser() 

获取保存在 session 中的用户数据 

currentUserRoles() 

获取 session 中用户信息包含的角色 

cleanCurrentUser() 

从 session 中清除用户数据 

所以要让应用程序记住用户的登录状态 , 调用 changeCurrentUser() 方法就可以了。 

3.4 添加登录需要的视图 

我们还没有添加登录页面需要的视图 , 不过由于登录和注册的页面内容完全一样 , 



《PHPer》 

所以我们直接重用注册的视图即可。在 actionLogin() 方法最后添加一行代码 : 

$this->_viewname = 'register'; 

这行代码告诉 QeePHP 使用 register 动作的视图。修改好后 , 访问 

http://localhost/todo/public/index.php?controller=users&action=login 测试一下登录功能 

吧。 

3.5 实现注销 

登录验 

既然有登录 , 就有注销 , 在 users 控制器新增方法 actionLogout(): 

代码片段 

function actionLogout() 

{ 

// 清除当前用户的登录信息 

$this->_app->cleanCurrentUser(); 

} 

// 重定向浏览器 


3.6 在用户界面上显示登录状态 

现在注册、登录和注销功能都做好了 , 但是用户界面上还没有相应的链接 , 而且 

也没有显示出用户的登录状态。 

在编码之前 , 我们可以打开 app/view/_layouts/default_layout.php 文件来看看。可 

以看到其中有一行 : 

代码片段 

 



《PHPer》 

侧边栏视图片段 

在视图中 , 可以用 “$this->_element( 片段名 )” 来载入一个视图片段 , 该视图片段存 

储为 “app/view /_elements/ 片段名 _element.php” 文件。例如 “sidebar” 视图片段对应的文 

件名就是 “app/view/_elements /sidebar_element.php”。 

视图片段通常用于一些在各个页面都会重复出现的内容 , 例如页头、页脚等。合 

理使用视图片段可以极大减少视图中存在的重复代码。不过视图片段并不能够处理自 

己需要的数据 , 所以像显示当前用户登录信息这样的需求 , 我们需要使用用户界面控 

件。 

3.7 用户界面组件化 

在前面的章节中 , 看到如何通过视图的继承和区块来分拆用户界面 , 最终获得各 

个可以重用的部分。而用户界面控件就是一种更强大的手段 , 可以将用户界面上的一 

个独立区域封装起来。 

这个区域不但有自己的表现 , 还可以有自己的数据。例如 “ 最新 10 个回复 ” 这个控 

件可以自己查询最新的 10 个回复数据 , 然后载入自己的视图来构造 HTML 代码。 

而在传统开发模式中 , 如果某个页面需要 “ 最新 10 个回复 ” 这个区域 , 就必须在该页面 

对应的控制器动作中查询需要的数据。最终 , 各个控制器动作中都重复着相同的代码。 

QeePHP 利用用户界面控件机制 , 彻底解决了这个问题 , 完全符合 DRY 原则。现在 

我们来把 sidebar 这个视图片段转换为一个用户界面控件。 

用户界面通常由控件类和控件视图两部分组成。控件类都放置在 app/control/ 目 

录中。我们现在新建文件 app/control/sidebar.php 文件 , 内容如下 : 

代码片段 

class Control_Sidebar extends QUI_Control_Abstract 

{ 

function render() 

{ 



《PHPer》 

// 从对象注册表中查询 app 对象 

$app = Q::registry('app'); 

// 取得当前用户的信息 

$this->_view['current_user'] = $app->currentUser(); 

} 

} 

// 渲染视图并返回结果 

return $this->_fetchView(dirname(__FILE__) . '/sidebar_view'); 

然后将文件 app/view/_elements/sidebar_element.php 移动到 app/control/ 目录 , 并 

改名为 sidebar_view.php。打开该文件 , 在适当位置添加如下内容 : 

代码片段 

 

 

用户登录 

 


《PHPer》 

未登录状态的侧边栏 

4 修改密码 

登录状态的侧边栏 

通常 , 用户登录后修改自己的密码时都要求输入正在使用的密码。因此这次我们 

不能重用刚刚的 Form_UserLogin 表单了 , 需要单独建立一个。 

4.1 建立表单 

创建文件 app/form/changepasswd.php, 内容为 : 

代码片段 

class Form_ChangePasswd extends QForm 

{ 

function __construct($action) 

{ 

// 调用父类的构造函数 

parent::__construct('form_changepasswd', $action); 

// 从配置文件载入表单 

$filename = rtrim(dirname(__FILE__), '/\\') . DS . 'changepasswd_form.yaml'; 

$this->loadFromConfig(Helper_YAML::loadCached($filename)); 



《PHPer》 

// 三个密码字段按照 User 模型的 password 属性来验证 

$this['old_password']->addValidations(User::meta(), 'password'); 

$this['new_password']->addValidations(User::meta(), 'password'); 

// 但 new_password2 字段还有一个额外的验证规则 , 

// 通过 Form_ChangePasswd 对象的 checkNewPassword() 方法进行验证 

$this['new_password2']->addValidations(User::meta(), 'password') 

->addValidations(array($this, 'checkNewPassword'), ' 两次输入的密码必须一 

致 '); 

} 

} 

/** 

* 检查两次输入的新密码是否一致 

*/ 

function checkNewPassword($new_password) 

{ 

return ($this['new_password2']->value == $this['new_password']->value); 

} 

这次的表单对象复杂了许多。除了要为三个密码输入字段指定验证规则外 , 还特 

别增加一个额外的验证规则。checkNewPassword() 这个方法被用于对 new_password2 

字段的验证。这样可以检查两次输入的新密码是否一致。 

对于复杂表单的自定义验证规则 , 都可以采用上述方式实现。创建修改密码表单 

的配置文件 app/form/changepasswd_form.yaml: 

代码片段 

# ~form 开头的内容用于指定表单属性 

~form: 

"_subject": " 修改密码 " 

old_password: 

_ui: password 

_label: " 现在使用的密码 " 

new_password: 

_ui: password 

_label: " 新密码 " 

new_password2: 

_ui: password 

_label: " 再次输入新密码 " 

4.2 添加控制器动作 

修改 users 控制器 , 加入下列代码 : 

代码片段 

function actionChangePasswd() 

{ 



《PHPer》 

} 

$form = new Form_ChangePasswd(url('users/changepasswd')); 


{ 

try 

{ 

// 取得当前用户的信息 

$current_user = $this->_app->currentUser(); 

} 

// 修改密码 

User::meta()->changePassword( 

$current_user['username'], 

$form['new_password']->value, 

$form['old_password']->value 

); 

// 重定向浏览器 

return $this->_redirectMessage( 

' 修改密码成功 ', 

' 您的登录密码已经成功修改 , 下次登录请使用新密码。', 

url('default/index')); 

} 

catch (AclUser_WrongPasswordException $ex) 

{ 

$form['old_password']->invalidate(' 您输入的现用密码不正确 '); 

} 


$this->_viewname = 'register'; 

这里我们继续沿用了 register 动作的视图 :) 

actionChangePasswd() 中 , 我们使用 acluser 的 changePassword() 方法来修改密 

码。如果现有密码出错 , 将抛出异常。只要捕获异常就可以在界面提示用户输入出错 

了。 

输入了错误的密码 



《PHPer》 

注意这次在重定向浏览器时调用的是 _redirectMessage() 方法。这个方法会通过 

redirect_message 视图来显示提示信息 , 能够让用户注意到操作的结果。如果有必要 , 

可以将注册、登录等方法的重定向操作也改为使用带提示信息的重定向。 

成功修改密码后的提示信息 

现在用户方面的功能就基本上实现完了。下一节开始 , 我们将实现任务的管理功 

能。 

框架介绍 

QeePHP 是新一代敏捷开发框架 

QeePHP 是全球第一个遵循 “ 领域驱 

动开发 ” 思想设计和实现的 PHP 开发 

框架。在保持易学易用、快速稳定的同 

时 ,QeePHP 为创建具有复杂内在逻辑的 

Web 应用提供了全方位的支持。 


企业解决方案 : 

《PHPer》 

企业解决方案 

Zend 框架高级功能 

Zend Framework 团队 

如果你开发并且运行了一个非常基本的 Zend 框架应用程序。它允许我们给数据库 

建模、创建表单以及验证数据。Zend 框架还提供了更多功能。 

本文提供了关于 Zend 框架实际运作的细节 , 并介绍了一些高级特性。你将学到如 

何使用这些特性完成配置、调试、路由、缓存、发送 E-mail、创建 PD F 文档以及操作 

多个 Web 服务等功能。 

1 管理配置文件 

任何具有一定复杂度的应用程序都需要一套配置文件。这些文件将保存一些配置 

信息 , 如站点所操作的数据库的登录信息、域配置数据以及其他与环境相关的设置。 

通过 Zend_Config 类 ,Zend 框架提供了写入配置数据的几种方法。这里 , 我们将介绍 

以下几种方法。 

• 在引导文件中创建一个具有层次结构的数组。 

• 创建一个 INI 文件。在处理 INI 文件时 , 框架甚至允许扩展配置节并重写键 

值。 

• 使用 XML 文件。 

1.1 使用数组的方法 

要在引导文件中添加一个配置数组 , 只需创建一个具有键值 / 数值结构的数组。 

还可以嵌套数组以创建具有多个层次的结构。当 Zend_Config 类通过数组来初始化时 

, 将把数组的键值转换成属性 , 从而提供了一个非常清晰的接口。如代码清单 1-1 显 

示了一个使用数组方法的例子。 

代码清单 1-1 在引导文件中使用数组来配置系统 ( 在 index.php 文件中 ) 

代码片段 

$configArray = ( 

'domain' => 'some.com', 

'database' => array( 

'name' => 'dbname', 

'password' => 'password' 

) 

); 

$config = new Zend_Config($configArray); 

echo $config->database->name; 

1.2 INI 方法 

INI 方法和数组方法的主要区别在于 IN I 文件可以定义重写的数据 , 这一特性可以 

被用在特定的情况下 , 例如在测试服务器上运行时 , 或者在生产服务器上运行时。 

这提供了一定程度的灵活性 , 但也会导致了很多重复 , 因此 ,Zend 框架的 IN I 格式也 



《PHPer》 

提供了配置节级别的扩展。代码清单 1-2 显示了一个 INI 文件 , 其中包含了正式的配置 

数据和测试用的配置数据。 

代码清单 1-2 使用 INI 文件配置系统 ( Config.INI) 

代码片段 

[production] 

domain = some.com 

database.name = dbname 

database.password = password 

[staging : production] 

domain = beta.some.com 

database.name = stagingdb 

在这个例子中 , 测试用的配置数据扩展了正式产品的配置数据并重写了两个键值 

, 但没有改变第三个键值 password。 

为了使 Zend_Config 类知道使用哪一种设置 , 需要使用以下代码来实例化 Zend_Co 

nfig_ Ini 类。 

代码片段 

$config = new Zend_Config_Ini('config.ini','staging'); 

echo $config->database->password; 

第一个参数指向 INI 文件 , 第二个参数表示使用的配置节。 

1.3 XML 方法 

使用 XM L 方法配置系统提供了 INI 方法的所有功能 , 并且使应用程序之间具有更 

强的移植性。不过 , 它也带来了解析 X M L 文件所需的开销。代码清单 1-3 显示了一个 

XML 配置文件的示例。 

代码清单 1-3 使用 XM L 文件配置系统 ( Config.xml) 

代码片段 

 

 

 

some.com 

 

dbname 

password 

 

 

 

beta.some.com 

 

dbname 

 

 

访问 X M L 配置数据的方法与使用 IN I 文件配置系统时的访问方法是相同的。 

代码片段 



《PHPer》 

$config = new Zend_Config_Xml('config.xml', 'staging'); 

echo $config->database->password; 

这里不推荐使用 XML 作为配置数据 , 这是因为解析 XML 文档带来的开销实际上是 

非常高的。不过 , 可以使用缓存功能来抵消这个问题 , 本文将会讨论到缓存技术。 

2 设置站点级别的视图变量 

默认情况下 , 框架会创建一个新的 Zend_View 实例并自动将它注册到视图输出类 

上。然而 , 在某些情况下 , 你可能希望自定义这个视图。自定义视图实例时 , 允许设 

置默认的应用程序级别的变量 , 修改默认的路径结构 , 以及设置几种不同的选项。代 

码清单 1-4 显示了注册自定义视图的一个例子。 

代码清单 1-4 将一个自定义视图注册到视图输出类上 

代码片段 

$view = new Zend_View(); 

$view -> siteWideProperty = 'value'; 

$viewRenderer = Zend_Controller_Action_HelperBroker::getStaticHelper('ViewRenderer'); 

$viewRenderer -> setView($view); 

这个方法非常简单 , 可以在引导过程中执行它。现在 , 每个视图脚本都可以访问 

$this-> siteWideProperty 的值 , 这一功能在设置公共位置的路径方面非常有用 , 例 

如在设置图像、JavaScript 和 CSS 文件的路径时。 

3 共享对象 

Zend_Registry 组件的作用在于允许创建可在不同框架类之间共享的对象。这一 

方法与使用全局变量类似 , 但不会与你可能正在和框架一起使用的其他库发生冲突。 

要在 Zend_Registry 类中存储一个对象实例 , 只需调用 set() 方法并且为这个项定义 

一个名称即可。 

Zend_Registry::set('handle', $instance); 

之后 , 如果需要获取这个对象 , 只需调用 get() 方法就可以了。 

$instance = Zend_Registry::get('handle'); 

4 错误处理 

在前面你创建了一个会抛出异常的框架引导程序。这并不是默认行为 , 需要通过 

调用前端控制器实例上的 throwExceptions(true) 方法来激活它。 

默认情况下 , 框架会在发生问题时查找一个名为 ErrorController 的控制器 , 而 

不是直接抛出异常。框架还在 request 对象上设置了一个名为 error_handler 的请求 

参数 , 这个参数包含了错误条件的细节。 

为了在示例应用程序中正确地处理错误 , 需要创建一个名为 ErrorController 的 

新控制器 , 并将它和其他控制器放在一起。在这个控制器中 , 你需要创建一个名为 

errorAction 的方法 , 这个方法在错误条件发生时会被框架所调用。 

现在 , 你应该拥有一个类似以下代码的控制器了。 

代码片段 


《PHPer》 

} 

public function errorAction() { 

} 

还需要创建一个名为 error.phtml 的视图 , 并将它放在一个名为 error 的目录中。 

视图的内容本身并不是特别重要。 

下一步 , 需要获得异常抛出的原因。错误信息包含在请求参数 error_handler 中 , 

可以使用代码清单 1-5 中显示的代码来获得这个信息。 

代码清单 1-5 获取错误信息 (ErrorC ontroller.php) 

代码片段 


《PHPer》 

与添加到引导文件中的所有其他附加功能的位置是一样的。 

代码清单 1-6 创建一个日志记录器 ( 在 index.php 文件中 ) 

代码片段 

// 创建一个 Log 对象 

$log = new Zend_Log(); 

// 过滤掉干扰项 ( 可选操作 ) 

$log->addFilter(new Zend_Log_Filter_Priority(Zend_Log::ERR)); 

// 创建一个 W riter 对象 

$logWriter = new Zend_Log_Writer_Stream(APP_PATH . '/application.log'); 

// 创建一个 Form atter 对象 ( 可选操作 ) 

$logFormat = '%timestamp% %priorityName% %message%' . "\n"; 

$logWriter->setFormatter(new Zend_Log_Formatter_Simple($logFormat)); 

// 将 W riter 对象添加到 Log 对象中 

$log->addWriter($logWriter); 

// 将 Log 对象保存到注册表中以便访问 

Zend_Registry::set('log', $log); 

代码清单 1-6 在应用程序根目录中创建了一个名为 application.log 的文件。为 

使操作顺利执行 , 这个目录对 Web 服务器用户必须是可写的 , 可能是 www-data、nobody 

或者 apache2, 这取决于你的操作系统的发布版本 , 日志记录器会过滤掉优先级低于 

ERR 的所有消息 , 并将错误消息格式化为人类可读的格式。格式化和过滤都是可选步 

骤。 

现在 , 日志记录器对象已经设置完成了 , 但还没有记录任何消息。代码清单 1-7 

演示了 ErrorController 和这个日志记录器对象之间的一种可能的集成方法。 

代码清单 1-7 在 ErrorController 中记录日志 (ErrorController.php) 

代码片段 

class ErrorController extends Zend_Controller_Action { 

public function errorAction() { 

$request = $this->getRequest(); 

$errorHandler = $request->getParam('error_handler'); 

// 获得 Log 对象实例 

$log = Zend_Registry::get('log'); 

// 记录包含了抛出的异常信息的一条紧急消息 

$log->emerg($errorHandler['exception']->__toString()); 

} 

} 

这段集成代码将异常记录到一个文件中 , 而不是将这些信息显示给用户。这将允 

许为用户创建自定义的错误页面 , 同时不会丢失任何关键的调试错误细节。 



《PHPer》 

6 缓存 

缓存是所有具有一定复杂度的应用程序的一个关键部分。不管是缓存静态页面还 

是 SQL 查询结果 , 充分利用缓存功能对应用程序的性能来说都是至关重要的。 

Zend 框架提供了块级别的部分缓存功能和整页面的缓存功能。决定何时使用哪种 

缓存是非常重要的 , 这是因为缓存特定请求有可能导致难以解决的问题 , 以及非常严 

重的安全问题。 

6.1 缓存功能在安全性上的考虑 

以下是安全使用缓存功能的一些原则。 

• 在生成页面时 , 如果请求的数据将导致相同的输出 , 则缓存这些数据。例如 , 

首页就很有可能需要缓存功能。 

• 如果是包含个人信息的输入产生的页面 , 则不要缓存任何数据。它可能会被 

用来创建跨域访问场景 , 这可能会侵犯到用户的隐私 , 从而会对业务产生严 

重影响。 

• 确保缓存页面输出不会避开安全模型 , 不会允许其他用户读取为某个特定用 

户缓存的页面。在缓存需要某种形式的验证才能访问的页面时 , 要非常谨慎 , 

这是因为绕开验证的可能性大大提高了。 

为了更好地理解缓存的安全问题 , 我们设想一个包含了信息展示版面的会员区域 

的网站。可以设想一个场景 , 当用户登录时 , 她的信息展示版面将会被缓存起来。当 

下一个用户登录时 , 可以看到这个已被缓存的页面。问题在于这个缓存是第一个用户 

登录时产生的页面结果 , 而你正好将第一个用户的个人信息展现给了另外一个用户。 

这样的缓存场景很常见 , 并且已经导致一些重要机构遇到了非常严重的问题。 

我已经说过缓存会产生一些问题 , 那么缓存能实现什么功能呢 ? 简单来讲 , 它可 

以做任何事情。Zend 框架有非常好的缓存解决方案 , 这是因为它不仅允许缓存整个页 

面 , 而且还允许缓存部分页面 , 甚至是 SQL 查询结果。 

6.2 缓存技术 

缓存组件有两个重要部分 : 前端和后端。前端负责决定缓存什么以及如何缓存 , 

后端负责已缓存信息的存储。表 1-1 列出了可用的前端 , 表 1-2 列出了后端。 

表 1-1 Zend_Cache 前端 

前端说明 

Zend_Cache_Frontend_Core 包含了 load($handle) 和 save($data) 方法的通 

用的缓存前端。这一前端定义了所有其他前端的基类 , 

而且定义了几个有用的缓存选项 , 其中包含 caching( 

bool)、 lifetime(int 

seconds)、 logging(bool log to 

Zend_Log)、 write_control、 automatic_seri 

alization 

和 automatic_cleaning_factor 等。从字 

面上便可以理解它们的含义。关于这些选项的更多细节 

, 参见 Zend 框架参考文档 

Zend_Cache_Frontend_Output 捕捉 $cache->start() 和 $cache->end() 之间所 

有输出的前端。在缓存整个页面不太合适的情况下 , 对 

于缓存输出的部分块来说 , 它很有用 

Zend_Cache_Frontend_Functi 函数缓存前端允许你保存函数的结果以及它可能直接输 



《PHPer》 

on 

出的任何内容。它只有一个 call(callback$function, 

array$params) 函数 

Zend_Cache_Frontend_Class 类缓存前端允许你缓存需要在加载过程之间保留状态 

的类。它可以被用来序列化或反序列化对象 , 使你可以 

不用再回头访问数据库或者配置文件就可以实例化一个 

类。要使用这一前端 ,'cachedEntity' 选项必须设置为类 

的名称或者实例。要调用缓存的方法 , 调用 

$cache->method- Name(...) 即可 

Zend_Cache_Frontend_File 这一前端和核心前端相同 , 但通过这一扩展 , 缓存会 

在文件被修改的情况下过期。这允许永久缓存一些项目 

, 如 XM L 文件的解析过程 , 直到底层的文件被修改了 

。要使用这一前端 , 需要提供 'master_file'=>' 

/path/to/file' 选项 

Zend_Cache_Frontend_Page 这一前端缓存整个页面 , 用起来也非常简单。需要提 

供一个 regexps 选项 , 这是一个数组的数组 , 它声明 

了将被缓存的页面。这一前端的用法将在代码清单 16-8 

中演示 

最容易实现的缓存类型是全页面缓存。它非常简单 , 这是因为它不需要输入数据 , 

并且它的内容通常是静态的。为了实现这种类型的缓存 , 需要在应用程序路径中创建 

一个名为 cache 的可写目录 , 并且遵循代码清单 1-8 中的例子。 

代码清单 1-8 缓存首页 ( 在 index.php 文件中 ) 

代码片段 

$cacheBackendOptions = array( 

'cache_dir' => APP_PATH . '/cache' 

); 

$cacheFrontendOptions = array( 

'regexps' => array( 

'^/$' => array() // 在首页中使用默认的缓存选项 

) 

); 

$cache = Zend_Cache::factory( 

'Page', // 使用 Page 前端 

'File', // 使用 File 后端 

$cacheFrontendOptions, 

$cacheBackendOptions 

); 

$cache->start(); 

表 1-2 Zend_Cache 后端 

后端说明 

Zend_Cache_Backend_File 

这一基本后端将缓存的对象保存到文件中。可以 

使用后端选项 'cache_dir' 来设置缓存文件目录。 

这一缓存目录必须是 W eb 服务器用户可写的 

Zend_Cache_Backend_Sqlite 这一后端将缓存项保存到一个 SQ Lite 数据库文件 

中。使用后端选项 'cache_db_complete_path' 

=>'/path/to/sqlitefile' 可以指定数据库 

Zend_Cache_Backend_Memcached 这一后端将缓存保存到一个 memcached 守护程序 



《PHPer》 

中。要激活这一后端 , 必须提供 servers 后端选项 , 

这是一个数组的数组 , 其中包含键值 host、port 和 

persistent 等。还可以通过将 compression 后端选项设 

置为布尔值 true 激活即时的压缩功能 

Zend_Cache_Backend_Apc 

APC 缓存后端允许使用 APC 扩展来存储缓存数 

据。将需要 APC 扩展 , 在 PHP 安装程序上它通常不 

是标准的扩展。这一后端不需要其他附加的选项 

Zend_Cache_Backend_ZendPlatf 还可以使用 Zend 平台来缓存数据。这一后端不需 

orm 

要其他附加的选项 

代码清单 1-8 中的示例使用了 Page 前端和 File 后端来缓存页面的整个输出。Page 

前端接受一个数组 , 其中包含了用于指定需要缓存的页面的正则表达式。这里 , 你可 

以使用默认的缓存选项 , 它不会缓存带有变量信息的请求 , 请求的类型包括 get、post、 

cookie、session 等。 

为了确保缓存能在变量存在时创建 , 可以使用几种类型的 

cach_with_*_variables 和 make_id_with_*_variables 选项。例如 , 如果希望缓存 

GET 请求的结果 , 将需要使用 cache- FrontendOptions 数组 , 如代码清单 1-9 所示。 

代码清单 1-9 缓存 GET 请求 

代码片段 

$cacheFrontendOptions = array( 

'debug_header' => true, 

'regexps' => array( 

'^/$' => array( 

'cache_with_get_variables' => true, 

'make_id_with_get_variables' => true 

) 

) 

); 

cache_with_get_variables 选项表示缓存功能可以缓存包含 get 变量的页面。 

make_id_ with_get_variables 选项表示所有页面输入都必须单独地缓存页面。也就 

是说 , 同一 get 变量的两个值会导致两个不同的缓存文件。 

在代码清单 1-9 中 , 你还将注意到 debug_header 选项被设置为 true。这个选项 

使缓存页面输出一个头信息 , 以表明它是一个已缓存的页面 , 这样就可以知道页面被 

缓存的时间 , 还可以帮助调试页面。 

将 get 替换为 post、cookie、session 或者 files, 将会导致不同的缓存场景。 

不过 , 只有在相同输入参数总是产生相同页面输出的情况下 , 这种缓存类型才是适用 

的。 

7 验证用户 

Zend_Auth 组件允许确认访问者的身份。这个组件结合会话和数据访问的功能创 

建了一个稳定的身份验证系统。为了了解 Zend_Auth 的机制 , 我们来看一个完整的例 

子。 

代码清单 1-10 显示了一个完整的验证解决方案 , 其中集成了表格处理、 

FlashMessenger 和数据库。这个例子的前提条件是需要一个名为 users 的数据库表 , 

其中包含了名为 email、password 和 name 的字段。创建如代码清单 1-10 所示的 

IndexController.php 文件。 



《PHPer》 

代码片段 

代码清单 1-10 一个完整的 Zend_Auth 示例程序 (IndexController.php) 

// 这一示例是在 H ello: name 示例程序的基础上创建的 

public function indexAction() { 

// 获得 Zend_A uth 类的一个引用 

$auth = Zend_Auth::getInstance(); 

// 检查用户是否已登录 

if($auth->hasIdentity()) { 

// 获得用户的身份并且将视图变量设置为用户姓名 

$identity = $auth->getIdentity(); 

$this->view->name = $identity->name; 

} else { 

// 无法获得身份的用 W elcom e: unknown 来表示 

$this->view->name = 'unknown'; 

} 

} 

public function loginAction() { 

if($this->getRequest()->isPost()) { 

// 过滤掉字段中的标签 

$filters = array( 

'email' => 'StringTrim', 

'password' => 'StringTrim' 

); 


'email'=>array('emailAddress'), 

'password' => array ( 

array('StringLength', 1, 64) 

) 

); 

/* 

初始化 Zend_ Filter_ Input, 并向它传递整个 getPost() 数组 

*/ 

$zfi = new Zend_Filter_Input( 

$filters, 

$validation, 

$this->getRequest()->getPost() 

); 



《PHPer》 

// 如果通过了验证 , 这个值将为 true 

if ($zfi->isValid()) { 

$dbconfig = array( 

'host' => 'localhost', 

'username' => 'user', 

'password' => 'password', 

'dbname' => 'demo' 

); 

$db = Zend_Db::factory('PDO_PGSQL', $dbconfig); 

// 创建一个新的 Zend_A uth_A dapter 对象 

$adapter = new Zend_Auth_Adapter_DbTable( 

$db, 

'users', // 表的名称 

'email', // identity 字段的名称 

'password', // credential 字段的名称 

'md5(?)' // 应用的 SQ L 函数 ( 可选 ) 

); 

// 将 identity 和 credential 字段设置为经过验证的值 

$adapter->setIdentity($zfi->email) 

->setCredential($zfi->password); 

/* 

使用适配器获得 Zend_A uth 类的实例和 authenticate() 方法 

*/ 


$result = $auth->authenticate($adapter); 

// 检查验证是否成功 

if ($result->isValid()) { 

/* 

下一行代码将整个数据库行保存到用户的 Zend_A uth 身份数据中。 

通常只有 identity 列会被保存为字符串 , 在这个例子中是 e-mail 列。 

通过保存整个记录 , 可以同时访问用户的 nam e 和 ID 。 

*/ 

$auth->getStorage()->write($adapter->getResultRowObject()); 

// 成功登录后重定向到 /index/index 中 

$this->getHelper('redirector')->goto('index','index'); 

} else { 

// 到了这里说明验证失败了。 


->addMessage( 

"The login credentials provided are not valid." 

); 

$this->getHelper('redirector')->goto('login'); 

} 



《PHPer》 

} 

} else { 

foreach($zfi->getMessages() as $field=>$messages) { 

foreach($messages as $message) { 


->addMessage($field . ' : '. $message); 

} 

} 

$this->getHelper('redirector')->goto('login'); 

} 

} 

$this->view->messages = $this->getHelper('FlashMessenger') 

->getMessages(); 

还需要一个位于 /views/scripts/index/ 中的 login.phtml 视图 , 如代码清单 1-11 

所示。 

代码清单 1-11 Login 视图 (login.phtml) 

代码片段 

 

 

ERROR: 

 

 

 

 

 

Email Address: 

 

 

Password: 

 

 

 

 

 

 

要访问这个登录表单 , 直接访问 http://example.com/index/login 即可。 

8 在 PH P 语言中使用 JSON 

Zend_Json 提供了一个简单的编码器 / 解码器机制 , 将变量在 JSON 和 PHP 之间转 

换。这个组件非常容易理解 , 代码清单 1-12 演示了如何在 JSON 操作场景中运行这个 

组件。 

代码清单 1-12 使用 Zend_Json 类 

代码片段 



《PHPer》 

public function jsonAction() { 


// 模拟一个 JSON 输入值 

$jsonInput = '[0,1,2,3]'; 

// 将 JSON 值解码到一个 PHP 数组中 

$phpArray = Zend_Json::decode($jsonInput); 

// 执行 PH P 操作 

shuffle($phpArray); 

// 编码用于输出的数据 

$jsonOutput = Zend_Json::encode($phpArray); 

// 获得 response 对象并设置内容类型 HTTP 头信息 

$response = $this->getResponse(); 

$response->setHeader('Content-Type', 'application/json'); 

// 确保只输出 JSON 数据 

$response->clearBody(); 

// 将 response 对象中的内容设置为 JSON 代码 

$response->setBody($jsonOutput); 

} 

PHP 中 JSON 解码的一般操作是将 JSON 对象转换为关联数组。因为我们有时不希 

望有这个操作 ,Zend 框架提供了另外一种解码语法。 

$phpObject = Zend_Json::decode('{"x":1}', Zend_Json::TYPE_OBJECT); 

这句代码会产生一个 stdClass 对象 , 其中有一个名为 x 的属性。 

9 自定义路由 

前面介绍了 Zend 框架的前端控制器。在控制路由的 URL 格式方面 , 这个控制器相 

当严格。不过 ,Zend 框架的设计者们认识到 , 有些情况下和这一典型结构有所不同是 

有必要的。例如 , 移植一个具有一定结构的应用程序时 , 或者创建一个多语言站点时。 

通过使用 rewrite 路由程序 , 可以向默认规则中添加路由规则 , 或者甚至完全覆 

盖原有的路由规则。代码清单 1-13 显示了如何将 rewrite 路由程序与应用程序集成 

在一起 , 并且不用改变任何功能。将上一章编写的引导文件中的代码 

代码片段 

$front = Zend_Controller_Front::getInstance(); 

$front->throwExceptions(true); 

$front->run(APP_PATH . '/application/controllers'); 

替换为代码清单 1-13 所示的代码。 

代码清单 1-13 引导 rewrite 路由程序 ( 在 index.php 文件中 ) 

代码片段 

$router = new Zend_Controller_Router_Rewrite(); 

$front = Zend_Controller_Front::getInstance(); 

$front->setRouter($router); 

$front->run(APP_PATH . '/application/controllers'); 

现在 , 已经启用了 rewrite 路由程序 , 但没有重写任何功能。调用 

$router->addRoute() 方法将重写功能添加到默认路由上。路由的格式是通过 



《PHPer》 

Zend_Controller_Router_Route 类实例化的 , 并且其用法非常简单。代码清单 1-14 

演示了如何将 /product/view/productId/1 路由转换到 /product/view/1。 

代码清单 1-14 rewrite 路由信息 

代码片段 

$route = new Zend_Controller_Router_Route( 

'/product/view/:productId, array( 

'controller' => 'product', 

'action' => 'view', 

'productId' => false 

) 

); 

$router->addRoute('viewproduct, $route); 

在这个例子中 , 控制器和动作是硬编码的 ,productId 参数是可选的并且默认值 

是取值为 false 的一个布尔值。从操作控制器的角度看 ,productId 值仍然是一个参 

数 , 并且可以用以前讨论过的方法访问它。只有 URL 发生了变化。 

注意到这种做法并没有替换默认的路由规则也是很重要的。如果希望定义一个将默认 

规则全部替换了的路由系统 , 框架为此提供了 removeDefaultRoutes() 方法。 

实例化路由格式的类具有以下形式。 

Zend_Controller_Router_Route($route, $defaults, $format) 

其中包含了以下参数。 

• $route。以冒号为前缀的符号表示一个变量 , 如果是以斜线结束的 , 它就不 

是变量。有三个保留字变量 ::module、:controller 和 :action。这些变量允 

许指定应该调用哪一个模块、控制器和操作的映射关系。 

• $defaults。第二个参数是默认值的一个数组。当希望使用静态 URL, 但仍然 

需要将它映射到控制器和操作时 , 这个参数就很有用。默认参数值为 false 

表示这些数值是可选的 , 在这种情况下 , 它也是很有用的。 

• $format。如果一个参数不是可选的 , 最后的格式数组可以被用来提供附加路 

由。格式是键 / 值数组 , 这里的键是参数名称 , 而值是一个为匹配路由参数必 

须传递的正则表达式。这不是用来验证数据的 , 否则就会导致系统使用不适 

当的默认路由。相反 , 这一参数允许区分两个相似但不同的路由。 

我们来看一下 /product/view/ProPHP 路由和 /product/view/1 路由。应该如何编写 

一个路由 , 将这两个路由分别映射到 viewByName 和 viewById 操作呢 ?format 参数提 

供了这一功能。前面那个路由需要在后面添加 , 这是因为框架中的路由采用了先匹配 

先使用的方法。代码清单 1-15 显示了这一路由。 

代码清单 1-15 格式匹配路由 

代码片段 

$route1 = new Zend_Controller_Router_Route( 

'/product/view/:productId', 

array( 

'controller'=>'product', 

'action'=>'viewById' 

), 

array( 

'name' => '/[0-9]+/'; 

) 

); 



《PHPer》 

只有在 productId 为数字的情况下这个路由才会匹配成功 , 所以如果 productId 实 

际上是一个名称 , 路由逻辑会直接跳到下一个路由中。然后 , 为了捕捉目标为 

viewByName 的请求 , 需要添加一个如代码清单 1-16 所示的路由。 

代码清单 1-16 用于名称的路由 

代码片段 

$route2 = new Zend_Controller_Router_Route( 

'/product/view/:name', 

array( 

'controller'=>'product', 

'action'=>'viewByName', 

'name'=>false 

), 

); 

你会注意到这一 catchall 路由并没有格式 , 默认的参数值为 false。由于第一个路 

由捕获了所有的 ID, 剩下的肯定是名称 , 所以应该路由到 viewByName。如果希望添 

加一个判断格式的正则表达式 , 没有成功匹配的值将不会被正确路由。 

10 管理会话 

大多数读者都习惯于通过 session_start() 方法和使用 $_SESSION 对象的做法来处理 

会话。Zend 框架提供了一个新的 Zend_Session 类 , 这使得大家可以更加容易地处理 

会话数据。 

Zend_Session 将为你启动会话 , 所以不再需要调用 session_start() 方法。它还提供 

了一个命名空间选项 , 这一特性允许你基于处理会话变量的组件来隔离所有会话变量。 

这可以保持变量名称的简单性 , 但仍然可以确保它们不会与应用程序的其他部分冲突。 

最后 , 框架还可以将会话过期时间设置为以 “ 跳 ” 为单位的数字 ,“ 跳 ” 是指会话启动的 

次数。例如 , 如果要将某个页面的数据传递、重定向并加载到下一页面 , 可以将它设 

置为单个 “ 跳 ” 之内有效 , 并且 , 当信息被下一页面读取之后 , 便会自动从会话中删除。 

代码清单 1-17 演示了 Zend_Session 类的用法。 

代码片段 

public function OneAction() { 

$session = new Zend_Session_Namespace('AUniqueNamespace'); 

$session->setExpirationHops(1); 

$session->key = 'value'; 

$this->getHelper('redirector')->goto('two'); 

} 

public function TwoAction() { 

$session = new Zend_Session_Namespace('AUniqueNamespace'); 

$this->view->key = $session->key; 

} 

如果访问 your/session/one 操作 , 它将会设置会话变量并转到 /session/two 位置。如 

果重新加载 /session/two, 这个值将会变为未定义的值 , 这是因为已经达到了过期 “ 跳 ” 

的次数。 

定期重新生成会话 ID 也是一种常见需求。这有助于减少会话被第三方劫持的可能 

性。对于这一需求 ,Zend_Session 类提供了一个静态的 regenerateId() 方法 , 这个方法 

将重新创建一个新的会话 ID, 并将它与客户端相关联。通过在引导文件中添加以下代 

码行 , 可以确保每个页面加载都会导致一个新的会话 ID 被生成。 



《PHPer》 

Zend_Session::regenerateId(); 

在会话不存在的情况下 , 框架不会重新生成会话 ID, 并且调用这个方法不会启动 

一个用其他方法没有被启动的会话。 

11 发送邮件 

大多数具有一定复杂度的 Web 应用程序都需要生成各种类型的 E-mail, 例如 , 发 

送邮包或者产品订单的通知 , 或者仅仅是一个每日报告。Zend 框架提供了强大的邮件 

发送 API。 

最简单的实现就是通过本地邮件代理给收件人发送一封包含普通文本的 E-mail。 

代码清单 1-18 演示了发送一封单行 E-mail 消息的方法。 

代码清单 1-18 通过本地代理发送普通文本的 E-mail 

代码片段 

$mail = new Zend_Mail(); 

$mail->addTo('user@example.com', 'Firstname Lastname'); 

$mail->setFrom('noreply@example.com', 'example.com messaging system'); 

$mail->setSubject('The subject'); 

$mail->setBodyText('The content'); 

$mail->send(); 

下一步是将 E-mail 的内容从普通文本升级到 HTML 格式。实现这一点 , 有两种选 

择。 

• 如果要发送一封多部件邮件 ( 包含普通文本和 HTML), 可以添加代码调用 

setBody- Html($html) 方法。 

• 如果要发送一个单部件文本 /HTML 消息 , 可以替换对 setBodyText() 方法的调 

用。 

如果没有本地邮件服务器或者邮件代理 , 希望通过简单邮件传输协议 (SMTP) 

来发送邮件 , 框架为这个协议提供了一个接口。代码清单 1-19 显示了一个例子。 

代码清单 16-19 通过 SMTP 发送邮件 

代码片段 

$transport = new Zend_Mail_Transport_Smtp( 

'mail.domain.com', 

array( 

'auth' => 'login', 

'username' => 'myusername', 

'password' => 'password' 

) 

); 

auth 参数控制了如何将验证信息传递给 SMTP。它可以是 plain、login 或者 

cram-md5。要将这个发送过程和前一例子集成在一起 , 需要将代码清单 16-18 中最后 

的 send() 调用替换为 send($transport) 调用。 

当需要向与 sendmail 相兼容的邮件发送程序传递更多选项时 , 还可以使用 

Zend_Mail_ Transport_Sendmail 类。当通过 sendmail 接口发送 E-mail 时 , 添加一个 -f 

选项对于正确地传送头信息来说通常是非常关键的。 

12 创建 PDF 文件 

Zend_Pdf 组件允许在 PHP 代码中创建或者修改 PDF 文件。它支持几种不同的图 



《PHPer》 

像格式、字体以及一些基本的绘图功能。 

从头开始创建 PDF 文件非常简单。只需创建 Zend_Pdf 类的一个新实例即可。 

$pdf = new Zend_Pdf(); 

如果希望修改一个 PDF 文件 , 只需使用静态的 load 函数即可。 

$pdf = Zend_Pdf::load('/path/to/load/file.pdf'); 

要保存一个 PDF 文件 , 不管这个文件是新的还是修改过的 , 都可以调用 save() 方 

法。 

$pdf->save('/path/to/save/file.pdf'); 

要返回一个包含了二进制数据的字符串 , 例如直接输出到浏览器中 , 可以调用 

render() 方法。 

$pdf->render(); 

所有的 PDF 文档都包含了页面。你可以获取页面、创建新页面 , 在页面上绘制形 

状、字体以及图像。当加载一个现存的 PDF 文件时 , 一个名为 pages 的集合属性将会 

被创建和填充 , 其中包含了通过数字索引访问的 Zend_Pdf_Page 对象 , 数字索引号 0 

表示的是第一页。 

12.1 创建新的 PDF 页面 

可以通过两种方式创建新页面。 

• 创建 Zend_Pdf_Page 的一个新实例。这会创建一个独立于文档的页面。 

• 使用 $pdf->newPage() 方法。这会创建一个已挂接的页面。 

独立页面和已挂接页面之间的区别在于内部。这与在同一文档中多个页面之间共 

享资源相关联 , 如字体。 

框架提供了 4 个默认的页面大小 :SIZE_A4、A4_LANDSCAPE、LETTER 和 

LETTER_LANDSCAPE。代码清单 1-20 演示了向一个 PDF 实例添加新页面的方法。 

代码清单 1-20 向一个 PDF 实例添加新页面 

代码片段 

$pdf->pages[] = new Zend_Pdf_Page(Zend_Pdf_Page::SIZE_LETTER); 

// 其他可选的方法 

$pdf->pages[] = $pdf->newPage(Zend_Pdf_Page::SIZE_LETTER); 

// 复制第一页的内容并将它添加到 PDF 中 

$pdf->pages[] = new Zend_Pdf_Page($pdf->pages[0]); 

如果希望删除一个页面 , 只需重置 pages 集合中相应的数组索引即可。 

12.2 在 PDF 页面上绘图 

下一步是在页面上绘图。在 PDF 中 , 绘图坐标 (0,0) 从左下角开始 , 而不是像 

Web 开发人员所期望的那样从左上角开始。在 PDF 页面上的 y 坐标轴上绘图时 , 需要 

将正数想象成负数并且将 0 想象为底部。 

可以绘制形状和线条 , 以及字体和图像。所有的绘图系统都是基于制图风格的系 

统操作的 , 这种风格的系统允许设置线条和填充颜色、宽度和模式等。代码清单 16-21 

显示了 PDF 绘图的一些选项。 

代码清单 1-21 在 PDF 中绘图 ( 在 IndexController.php 文件中 ) 

代码片段 



《PHPer》 

public function pdfAction() { 

// 禁止视图输出器 


// 获得 response 对象并设置内容类型 HTTP 头信息 

$response = $this->getResponse(); 

$response->setHeader('Content-Type', 'application/pdf'); 

// 创建一个新的 PDF 文档 , 并添加一个大小为 letter 的页面 

$pdf = new Zend_Pdf(); 

$pdf->pages[] = $pdf->newPage(Zend_Pdf_Page::SIZE_LETTER); 

// 获得页面的一个引用 

$page = $pdf->pages[0]; 

// 创建图形样式并设置选项 

$style = new Zend_Pdf_Style(); 

// 将字体颜色设置为黑色 

$style->setLineColor(new Zend_Pdf_Color_Rgb(0,0,0)); 

// 加载一个字体 , 并将它的大小设置为 12 

$font = Zend_Pdf_Font::fontWithName(Zend_Pdf_Font::FONT_TIMES); 

$style->setFont($font, 12); 

// 应用这一样式 

$page->setStyle($style); 

// 从页面左上角开始在 100×100 偏移量位置上绘制文本 

$page->drawText('Your first dynamic PDF', 100, ($page->getHeight()-100)); 

/* 

确保没有输出内容来破坏 PDF 输出信息。在输出二进制数据时 , 需要一个空的输出缓存。 

*/ 

$response->clearBody(); 

// 输出 PDF 

$response->setBody($pdf->render()); 

} 

绘制图像的工作要稍微复杂一些。由于 PDF 是打印格式 ,PDF 文档采用的 1..72 

的英寸 .. 点的比例系统 , 这一系统在标准的屏幕分辨率图形上使用 1..1 的比例转换。 

不过 , 对于打印分辨率的图形来说 , 在绘图时 , 必须考虑图像每英寸的点的数量 (DPI)。 

代码清单 1-22 显示了如何正确绘制一个基于 DPI 设置的图像。 

代码清单 1-22 绘制具有指定 DPI 的图像 

代码片段 

// 创建一个 image 对象 

$imageFile = dirname(__FILE__) . '/test.jpg'; 

$image = Zend_Pdf_Resource_ImageFactory::factory($imageFile); 

// 设置计算变量 

$dpi = 300; // 图像的 DPI 很重要 

$pointsPerInch = 72; //PDF 标准的点阵大小为每英寸 72 点 



《PHPer》 

// 以宽和高的点数计算图像大小 

$imageWidth = ($image->getPixelWidth() / $dpi) * $pointsPerInch; 

$imageHeight = ($image->getPixelHeight() / $dpi) * $pointsPerInch; 

// 设置绘图偏移量 

$x = 100; 

$y = ($page->getHeight()-150); // 找到页面顶端 , 并向下偏移 150 点 

// 在 PDF (x1,y1,x2,y2) 偏移量位置上绘制图形 ( 左下角坐标系统 ) 

$page->drawImage($image, $x, ($y - $imageHeight), ($x + $imageWidth), $y); 

13 与 Web 服务相集成 

Zend 框架内置了多个模型类用于快速而且简单地与几种 Web 服务集成。当前 , 它 

包括了与 Akismet、Amazon、Flickr 和 Yahoo API 等 Web 服务相集成的内置机制。 

作为示例 , 我们来看一下 Akismet 服务 , 它是用来确定对某个 Web 站点的评论是有害 

的还是合理的。你将需要一个来自 WordPress.com 的 API 键值以便使用这个 Web 服务。 

一旦获得了键值 , 实例化这个服务就非常简单了。 

$akismet = new Zend_Service_Akismet($apiKey, 'http://your.com'); 

在获取了一个 Akismet 对象之后 , 可以检查一个评论是否是垃圾邮件 , 当它被过 

滤掉时 , 应该将它当成一个有害信息 , 而当它被错误地标记为有害信息时 , 应该把它 

当成是一个好的评论。 

为了检查某个评论是否是有害信息 , 需要向 Akismet 传递关于评论者的特定数量 

的数据。这包括了 HTTP 头信息 , 如浏览器用户代理程序、IP 地址等信息。这一信息 

将和过滤器一起使用以判断评论是否是有害的。传递的数据越多 , 获得的关于有害信 

息的预测也就越可靠。 

这一信息使用的是 key=>value 数组的形式。表 1-3 显示了 Akismet 支持的键值。 

表 1-3 Akismet 键值 

键值数据是否必需 

user_agent $_SERVER['HTTP_USER_AGENT'] 是 

user_ip $_SERVER['REMOTE_ADDR'] 是 

blog 首页的 URL 不是 

comment_author 姓名不是 

comment_author_ema 

il 

user@example.com 

不是 

comment_author_url 评论者的 URL 不是 

comment_content 实际的评论数据不是 

comment_type 

所提供的数据的类型 , 其中包含 comment、不是 

trackback、pingback 或者任何其他的字 

符串 

permalink 表单页面的 URL, 而不是首页的 URL 不是 

referrer $_SERVER['HTTP_REFERER'] 不是 

* 应该提供的所有其他信息不是 

创建了数据数组之后 , 就可以调用 isSpame() 方法。 

if( ! $akismet->isSpam($data)) { // 数据是空的 } 

如果过滤器没有获得数据 , 还可以调用 submitSpam($data) 方法 , 以便让过滤器知 



《PHPer》 

道以后如何截获相似的请求。如果过滤器捕获了一些它不应该捕获的信息并且返回了 

错误的负面评论 , 可以调用 submitHam($data) 方法以帮助过滤器知道以后不要截获这 

样的信息。这两个方法都不会返回任何值。 

14 小结 

本文介绍了 Zend 框架必须提供的几个更加高级的机制 , 总结如下。 

• Zend_Config 允许管理配置文件。 

• 使用 Zend_View, 可以设置站点级别的视图变量。 

• Zend_Resigtry 类允许在组件之间共享对象。 

• 使用 ErrorController 类 , 可以创建一个可以打印出大量调试信息的错误处理程 

序。还可以将这一错误信息集成到一个自定义的 Zend_Log 日志文件中。 

• 使用 Zend_Cache 类 , 可以通过应用有效的缓存功能来提升应用程序的性能。 

在选择如何实现缓存时 , 必须非常谨慎 , 因为使用缓存功能是比较危险的。 

• 使用 Zend_Auth 并将它和登录控制器集成在一起 , 可以创建验证系统。 

• 使用 Zend_Json 类 , 可以创建一个发送 JSON 数据的操作。 

• Zend_Controller_Router_Rewrite 允许应用自定义路由规则 , 从而使得 URL 更 

加简短 , 并且更具有针对性。 

• 可以创建一个 Zend_Session_Namespace 类 , 并且让数据在特定数量的 “ 跳 ” 之 

后过期。为了防止会话数据被劫持 , 可以使用 regenerateId() 方法。 

• 可以使用 Zend_Mail 来发送 E-mail。 

• Zend_PDF 允许创建 PDF 文件。 

• 使用 Zend_Service, 可以与几种 Web 服务集成。例如 , 通过 

Zend_Service_Akismet, 可以使用 Akismet 服务检查博客的评论是否是有害的。 


项目管理 

《PHPer》 

项目管理 

为什么领导力以信任为基础 ( 一 ) 

著 :Berkun.S 

译 : 李桂杰 

我曾遇到过十几个经理。其中多数人很容易就被忘掉了 , 但是有些人却是非常令 

人害怕。但是 , 那些我很欣赏的人需要时间才能赢得我的信任。他们希望我的工作出 

色圆满 , 但他们也知道 , 只有我每天都能依靠他们 , 我才你达到这样的工作状态 , 否 

则根本不可能。但是 , 这并不意味着 , 他们只做我所要求的任何事情 , 或者只屈从于 

我的建议。然而 , 这的确说明他们的行为是可以预期的。他们时常来到我面前 , 跟我 

谈论他们的职责、动机和期望。我知道我的立场 , 也清楚我的角色和他们的角色 , 更 

明白对于所要的事情 , 我能从他们那里得到多大的支持。 

身为团队的领导 , 所有的事情都依赖于每个成员能够对你做出何种假设。当你说 : 

“ 我明天会把它完成 ” 或者 “ 我会和 Sally 谈 , 让她同意这一点。” 其他人心里就会 

打起小算盘 , 看看你所说的话能够成功的几率到底有多少。渐渐地 , 如果你对团队管 

理得很好 , 这种成功的几率就会很高。他们就会开始听从你所说的 , 并且非常信任你。 

虽然电影把领导力描述成高度戏剧化的活动 —— 让英雄冲进燃烧的大楼中 , 或者孤身 

一人勇敢地对抗成群的敌人 —— 而真正的领导力其实是非常简单而实际的事情。做你 

所说的 , 说你所想的 , 当你做错的时就认错。做决策前 , 征求那些受影响者的意见和 

建议。如果你能经常做到这些 , 你就会赢得和你一起工作的同事们的信任。当你必须 

要求他们做一些他们不愿意做 , 或者他们并不同意那样做的事情时 , 对你信任就会使 

你的领导力发挥作用。 

这说明 , 要想成为一名出色的领导 , 你并不需要成为最好的程序员、计划者、架 

构师、沟通者、能说笑话者、设计师或者其他任何角色。你所要做的事情就是 , 把信 

任当成一件重要的事情去培养 , 并且刻意和你身边的人共同分享。因此 , 要成为一名 

好领导 , 你就要学会如何发现、建立、赢得信任和信任他人 —— 同时你也要学会培养 

信任自己。 

建立和失去信任 

信任 (Trust): 名词 , 对某人的正直、能力和品质非常有信心。 

“ 信任是所有有意义的人际关系的核心。没有信任 , 就没有付出、结盟和风险承担。” 

——Terry Mizrahi, 社区组织教育中心主任 (Education Center for Community 

Organizations) 在一次试验中 , 我把一些熟人作为样本 , 询问他们在当前的工作场所信 

任谁 , 为什信任他 ? 他们的回答大致都相同 : 信任是由这样的人赢得的 , 他们努力做 

好自己的工作 , 对项目的的目标尽职尽责 , 公平地对待每个人 , 在艰难的时刻表现也 

始终如一。没有一个人谈到 , 他们是否喜欢这样的人 , 或者愿意邀请他们共进晚餐。 

看上去 , 信任是某种穿透其它人格优点的东西。人们可以信任那些他们根本不喜欢 , 

或者不愿意花时间相处的人。 

不同于其他的人类特征 , 信任和个人喜好没有多少联系。人们不会基于肤浅的事 

情去选择相信谁。相反 , 对于可以依赖谁这个问题 , 我们总会做出深入的思考。如果 


项目管理 

《PHPer》 

我问你 , 在一种危险的情况下 , 你相信谁会挽救你 ? 你所选的人 , 和我问你愿意和谁 

一起看电影所选的人一定不同。无论如何 , 个人感情和可靠性之间没有必然连接的关 

系。 

但是 , 要在一个项目环境中检验信任 , 我们需要把概念分成可以利用的各个部分。 

信任的其中一个简单的单位 , 就是承诺。承诺 , 或者叫允诺 , 就是针对双方达成一致 

意见的事情 , 所签订的最简单的合同。 

信任通过承诺而建立 

你结交了一个新朋友 , 当他告诉你会在哪里和你见面时 , 你相信他会出现在他所 

说的地方。但是 , 如果连续两、三次 , 他都让没有守约 , 最后 , 你一个人看了电影或 

者呆在俱乐部里 , 你对他的信任就会大打折扣。实际上 , 你没有遵守对你的承诺。如 

果这种事情继续发生 , 你的看法就会改变。你将不再信任他 , 在重要的事情面前 , 你 

会怀疑你对他的信任。 

根据 Watts S. Humphrey 所著《管理软件开发过程》( Managing the Software Process, 

Addison-Wesley 出版 ,1989 年 ), 合理管理项目的核心元素之一 , 就是领导者对工作 

作出承诺 , 并且努力完成承诺的能力。Humphrey 认为这一能力非常重要 , 因此他详 

细地定义了有效承诺的元素。他列出了一下几点 , 并且做了一些修正。 

有效承诺的元素 

1. 做出承诺的人非常愿意这样做。 

2. 承诺不是轻易做出的 , 这就是说 , 承诺是在充分地考虑了工作、资源和进度 

的情况下做出的。 

3. 双方对做什么 , 由谁来做 , 以及什么时候去做 , 达成一致意见。 

4. 公开且坦诚地做出承诺。 

5. 即使需要帮助 , 责任人也要尽力实现承诺。 

6. 在承诺兑现之前 , 如果有任何影响其中一方履行承诺的事情发生 , 都要提前 

通知对方 , 并且重新做出承诺。 

这里 , 有两件非常有意思的事情。第一 , 承诺在双方生效。相关的两方互相承诺。 

如果 Cornelius 对 Rupert 承诺 , 当 Rupert 外出时 , 他会帮他遛狗 , 那么双方都会尊重 

彼此的利益。Cornelius 绝不会在穿过 25 个街区 , 来到 Rupert 公寓 , 想要带 Rover 去 

中央公园散步的时候 , 却发现 Rupert 正躺在沙发上看着电视 (“ 哦 , 对不起。我本来 

想昨天给你打电话来着 —— 我的行程取消了。”)。双方交换彼此的信任 , 同时希望对 

方尊重彼此的信任 —— 而不是亵渎或者遗忘。让对方浪费时间或者金钱 , 就是在破坏 

这种信任。 

第二 , 我们经常做出承诺。在每一次的谈话中 , 我们都会要求或者被要求做些什 

么 , 并且对此达成某个期限 , 这样 , 我们就是在做着某种承诺。其中包括某些简单的 

陈述 , 例如 ,“ 嗨 , 晚餐后我会打电话给你 ” 或者 “ 明天我会读那份草稿 ”。对于承诺有 

多认真 , 双方想法可能各不相同 , 但是 , 几乎没有人会怀疑已经做出了某种承诺。我 

们对待别人的承诺越不尽心 , 别人对我们的信任就越会下降。承诺有不同的等级 ( 例 

如 , 如果你忘记了某天下午给你妻子打电话 , 她不会把这看成是因为你要和她离婚的 

表现 ), 但是 , 这些承诺对于我们理解其他人是否值得信任都是相关联和有作用的。 

信任因为不一致的行为而失去 

回到项目上来 , 当人们的行为难以预料时 , 就会破坏信任。当某人采取的行动一 


项目管理 

《PHPer》 

直和他的承诺毫无关系 , 就会产生影响团队的波动情绪。那些和他一起工作 ( 或竞争 ) 

的人的精力就会被消耗。他们现在要花费精力去考虑他是否会按照他所说的去做 , 而 

不是把精力放在完成工作上。他们必须要制定一些应变的计划 , 同时各种程度的压力 

和怀疑都会增加 (“ 如果 Marla 今天不能签入那些代码 , 我们就完了。”)。越是有人对 

他的工作不负责任 , 就越会引起团队的情绪波动。 

我来讲个有趣的 ( 虽然令人感到痛苦 ) 关于失去信任的故事 , 这个故事和我以前 

的一个经理有关。我那时是一名程序经理 , 下面有五个程序员和测试员 , 而且我们相 

处十分融洽。Jake 是团队的领导 , 也是我的经理 , 他的手下除了我还有其他几个项目 

经理。问题出在 Jake 喜欢改变想法的习惯上。例如 , 他和我一起讨论我要做出的重要 

决定 , 而这些需要他的支持。我们很快就对最佳方法达成一致意见。但是 , 一旦我们 

开始开会 , 会上出现个性强硬的人 , 资历和他相同或者比他还高的人不同意他的观点 , 

那么 ,Jake 就会以喜剧性的方式屈服 ( 有三分之一的时间 , 他会这么做 , 而我总是不 

知道是哪三分之一 )。他会改用其它方法 , 赞成任何受欢迎的决策。 

我还记得在会上 , 我站在白板前讲解我的 A 计划 , 刚讲到一半 , 他就同意别人的 

意见而采取 B 计划。我停下来 , 盯着他 , 非常惊讶 , 他竟然可以泰然处之地做出这种 

事情。难道他真的忘了吗 ? 他真的是那种爱拍马屁的人吗 ? 他对我所做的一切竟然毫 

无知觉吗 ? 或者他那风向标一样的行为 ( 跟着房间里的方向转 ), 真的不在他的控制 

范围内吗 ? 我那时还没有能力处理这样的事情 , 而且也不知道和别人讲讲我所经历的 

遭遇 , 所以我只有忍耐。而我去体育馆健身时 , 却从来也没有像这样有忍耐力。 

最后 , 我开始和他讨论他的这种做法。而且 , 只要我们做出决定 , 我就把它写成 

文件 ( 电子邮件对此非常有用 ), 作为日后的参照。我甚至还让他在开会前做好准备。 

但是 , 所有这些努力只是对他之前的行为得到有限的改善 ( 他把不支持 B 计划 , 改成 

不参与讨论 , 不帮助推进 A 计划了 )。我很快发现 , 我已经绕开他做事了。我故意在 

他没有出席会议的时候做出决定。与他参会相比 , 这样做不但减少工作 , 而且还更加 

有效。虽然这样 , 对我的团队会造成其他的问题 ( 也会对我和 Jake 之间的关系不利 ), 

但是我却可以管好我这一摊儿 , 把事情做好。 

糟糕的是 ,Jake 很精明 , 和他共事很有趣。但是 , 因为我不信任他 , 这些也就变 

得无所谓了。作为经理 , 如果他再笨点 , 而值得信任的程度再增加一倍 , 那么他将非 

常有所作为。当然 , 我们就会做出更好的产品 , 我就不用花费太多的精力来对付他 , 

而是把更多的精力放在协助团队上。 

明确信任 ( 挂起绿灯 ) 

我碰到的优秀的经理 , 都会把信任感表现出来。他们明确地告诉我 , 我有权对我 

所负责的事情做出决策 , 只要我能得到团队的支持就行。他们 ( 我的经理 ) 可能会检 

查一些他们所关注的特别事项 , 要求我和他们一起核实这些问题。而且 , 他们会指引 

我把重点放在实现事情上 , 而不是寻求别人的认可上。给予信任 , 是授权的真实意义 , 

是强而有力的东西。有些运动对这种授权有特殊的行话 —— 例如 , 在篮球场上是说或 

者 “ 绿灯 (green light)”。 

多年以前 , 我在高中打篮球 , 加入 Rob Elkins 1 教练的篮球队 , 就在纽约市道格拉 

斯顿的塞缪尔 Y 体育场。有一天训练时 , 他把我拉到一边 , 这通常是指他要开始训斥 

你了。我在练习时一直犯错 , 把其他运动员的短裤拉扯下来 , 害得他们无法进行防守。 

当我坐下时 , 把头下 , 准备好挨骂了。但是 , 他什么也没说。我们做了很久 , 看着场 

上其他队员的混战。最后 , 他说 :“Scott, 你有绿灯了。” 我看着他 , 问道 :“ 绿灯 ?” 


项目管理 

《PHPer》 

他笑着回答道 “ 是的 ”, 但却连看都没看我。我说 “ 好吧 , 教练 ”, 然后就跑回场上。尽 

管很少有人听过这话 , 但是不知怎么 , 所有队员都知道这话什么意思。一般情况下 , 

球员是否有义务射篮 , 必须要看教练的战术安排 , 但是绿灯除外。我可以随时射篮 , 

只要我觉得合适 —— 当我认为必要时 , 我可以接替任何打法和练习权限。 

注释 1: 纽约市道格拉斯顿的塞缪尔 Y 体育场的 Rob 和 Eric, 教了我很多关于教 

练和管理的知识 , 他们所教的内容比我后来高中和大学的篮球队教练教的内容要多的 

多。如果你认识他们 , 请告诉他们和我联系。 

告诉一个球员这样的话 , 就是给予他非常的信任 , 这恰恰是为什么大多数球员在 

其整个职业生涯中都没有听说过这事 ( 我高中一直打篮球 , 后来还在第三级大学队里 

打 , 但是我再也没有听过这样的话 , 而且之前也从未听说 )。教练通常害怕放弃职权 , 

就像经理们那样 , 他们认为自己的权力非常脆弱。站在边上 ( 或者一个人坐在角落的 

办公室 ) 是非常容易受到攻击的地方。很多经理和教练们担心 , 如果给他们的团队额 

外的自由 , 就会出现什么状况。他们忘了自己可以随时调整信任度 , 如果我滥用 Elkins 

教练给我的信任 , 那么没有什么可以阻止他收回他对我的信任 ( 把绿灯变成黄灯 )。 

更重要的是 , 或许 , 经理们害怕给予的信任程度 , 正好就是团队实际所需的跟随他们 

的领导的程度。 

可以说 , 我在 Elkins 教练带下表现得比其他教练带领时都更加努力。我本能地认 

为我要实现更高的目标 ( 虽然有场比赛 , 我十五分钟内射了 7 次篮 , 结果一次也没射 

中 , 我确信这种射篮成绩可以称得上是某种俱乐部记录了 )。对那些给予我相似信任 

感的经理 , 我也会尽力和他们工作 , 而对于那些没有这么做的经理 , 我工作起来就不 

那么尽力。这并不是因为我喜欢他们 ( 虽然这有所帮助 ), 而是因为我有了更可以努 

力工作的空间。信任的传达才产生真正的授权 , 因为这会给人空间 , 使人能够在他们 

的颠覆状态下工作。 

如果获得最大可能的成功就是你的目标 , 那么你就要寻找各种办法 , 给别人绿灯。 

经理人的工作 , 就是给他的团队创造机会 , 同时还要协助团队有能力和做好准备去抓 

住这些机会。 

不同类型的权力 

在本文中 , 我会使用两种权力模型。在后面的第十六章中 , 会介绍高级模型。现 

在开始 , 我会专注介绍简单而有效的职能性权力。 

职能性权力有两种 : 授予的和自己争取得来的。授予的权力来自积极体制或者工 

作头衔 ( 有时 , 被称为职权 )。例如 , 篮球队教练有权决定哪个队员可以上场 , 哪个 

队员要做冷板凳。小规模营销办公室领导有权聘用和开除任何人。但是 , 这种权力和 

人们对他们有多少尊重无关 , 甚至于和人们认为他们有多少技能和知识也无关。相反 , 

自己争取的权力 , 是必须经过表现和行为的不断进取而获得的。获取的权力 , 或者是 

获取的授权 , 就是那种人们出于领导的英明和有所帮助 , 而不是因为他的权限 , 而选 

择去听从的那种权力。 

不要依赖授予型权力 

“ 我不相信任何体系的组织者 , 而且会避开他们 : 对体系的渴望 , 就是因为自身不 

完整。” 

——Nietzsche 

如果领导以授予型权力作为主要的影响力 , 那么就会限制人际关系。它排除了交 


项目管理 

《PHPer》 

换想法的可能 , 把重点放在了如何使用这些影响力 , 而不是如何调用那些聪明人上。 

虽然在某些情况下 , 必须使用独裁专制的权力 , 但是 , 优秀的领导尽可能地把剑插在 

剑鞘中。一旦你拔剑 , 就没有人听你说什么了 —— 他们都听剑的了。更糟糕的的是 , 

你身边的每个人都会拔出自己的剑去回应你的剑 ( 他们的剑可能比你的剑还要好 )。 

他们不会和你解释为什么你做错了 , 他们只会利用自己的授予型权力去挑战你的力量。 

这就导致了各种力量的竞争 , 这种竞争和智慧无关 , 也不会去寻找最佳的解决方法。 

授予型权力 ( 就像力量的黑暗面 ) 是临时的 , 因为它很容易获得 : 你无需努力 , 就可 

以得到你想要的。 

我曾遇到这样的情况 , 把我推到授予的权力和争取得到的权力的十字路口。那时 

在开发 IE2.0, 那是我第一项重大的程序管理任务。第一天 , 我被介绍给两位我要共 

事的程序员 ,Bill 和 Jay。Jay 非常友好 , 而 Bill 则比较沉默和吓人。他在组织中也是 

一位资力很高的人 ( 以微软的行话来说是 13 级 , 这意味着 , 他是程序员中可能的最 

高级别的人 )。我还记得坐在他的办公室里 , 隔着桌子看着他。我谈了有 10 分钟 , 而 

他几乎什么都没说。他就是那样斜靠在椅子里 , 盯着我。 

我试着走到白板前 , 看看那样能够让他谈点什么 , 但是没有生效。他只会说些讽 

刺或者含糊不清的事 , 例如 ,“ 哦 , 真的是那样吗 ?” 以及 “ 哇 …… 真有趣 , 你竟然你那 

样想。” 他只是在玩弄我 , 就像猫在玩一只半死的老鼠一样。要知道 , 我那时只是个 

狂妄自大的 23 岁的年轻人 , 我对我所做的事情根本不清楚 , 尽管我不断让自己相信 , 

我可以装懂。另一方面 ,Bill 是经验丰富的专家 , 他前有几十次碰到过这样的程序。 

事实上 , 我确定他脑海中只有两个想法 :“ 我怎么能跟着这样一个年轻的新人 ?” 以及 

“ 他是不是我碰到过的最蠢或者第二蠢的人 ?” 见面结束 , 我用一种 “ 直接从 HR 训练录 

像 ” 里学来的方式 , 胡乱说道 , 将和你一起工作多么好啊。( 我坚信 , 这一点让他确信 , 

我事实上是那个最蠢的家伙。) 

那时 , 一个好朋友 ( 另一位 PM) 给了这样的建议 : 按规矩办事。我应该告诉 Bill, 

因为我是 PM, 他是程序员 , 在一些高层次的决定上 , 他应该按我说的去做。这点与 

我曾听说的微软 PM 神话 (“ 谁挡了我的路 , 我就杀谁 ”) 不谋而合 , 于是 , 我重新鼓 

起勇气 , 去尝试和实践这句话。但是 , 在我拔剑准备往前冲时 , 我找我的经理谈话。 

就在温和的笑声中 , 他告诉我不要贸然行事。他提醒我 ,Bill 在他的领域内 , 非常聪 

明且知识渊博 , 我应该想办法如何利用他这一点。他还补充道 , 和 Bill 一起工作 , 就 

像他提过的那样 ,“ 对我有好处 ”。尽管他在笑 , 但我还是相信他。我把剑放到了一边 , 

开始从尽量让 Bill 发挥作用的角度出来去解决问题。 


高级应用 : 

《PHPer》 

高级应用 

应用 Zend 框架 

Zend Framework 团队 

在之前的文章中 , 你已经初步了解了一些 Zend 框架组件 , 以及如何在应用程序中 

使用它们。在本章中 , 你将更好地了解 Zend 框架的架构、分派循环以及插件架构。 

还将学到如何创建你自己的可重用库 , 并将它们与 Zend_Loader 集成。 

在接近本章末尾的地方 , 你将应用已学知识去创建一个完全集成的验证程序和访 

问控制系统。最后 , 将介绍关于 Zend_Layout 组件的内容 , 这个组件允许创建一个在 

整个站点范围内具有公共外观的站点。阅读完本章之后 , 你对 Zend 框架的运行机制 

应该有一个系统的了解。 

1 模块和模型设置 

在前面 , 你已经创建了遵循单一控制器 / 操作层次结构的 Zend 框架站点。这通常 

是所需要的全部功能 , 但是如果有一个复杂的站点 , 也可以添加第三个层次 , 它被称 

为模块 , 允许创建遵循 /module/controller/action 格式的 URL。 

1.1 常规的模块化的目录结构 

这个 URL 结构和它底层的框架布局结构通常被称为常规的模块化的目录结构。在 

使用模块化设置时 , 目录结构应如代码清单 1-1 所示 , 这一示例假设你拥有两个模块 

default 和 admin。 

代码清单 1-1 模块化目录结构 

代码片段 

. 

./application 

./application/modules 

./application/modules/default 

./application/modules/default/controllers 

./application/modules/default/views 

./application/modules/default/views/scripts 

./application/modules/default/views/scripts/index 

./application/modules/default/views/scripts/error 

./application/modules/default/models 

./application/modules/admin 

./application/modules/admin/views 

./application/modules/admin/views/scripts 

./application/modules/admin/views/scripts/index 

./application/modules/admin/models 

./application/modules/admin/controllers 

./document_root 



《PHPer》 

要激活模块化的用法 , 只需在引导文件中将前端控制器指向 modules 目录即可。 

$front->addModuleDirectory(APP_PATH . '/application/modules'); 

index 模块被称为 default, 对 / 的请求将会被转发到 /default/index/index 上。要使用 

框架提供的模块化设置 , 做到这些事就可以了。 

1.2 模型库和 Zend_Loader 

你应该会注意到在常规设置中模块之间不会共享 models 目录。这有助于隔离组件 

逻辑 , 并且使模块更容易在应用程序之间共享。但也会导致代码重复。 

许多框架开发人员发现 , 保持一个可重用的组件库 , 并和框架自身打包的方法类 

似的方法打包 , 是很有价值的。与应用程序级别的模型相比 , 这一方法的优点在于可 

以在应用程序之间以及模块之间共享这个组件库。缺点在于不再可以对应用程序的环 

境设置假设条件 , 例如注册表对象或者引导设置等环境因素。希望绑定的这种类型的 

任何设置都必须在引导库时显式地传递给它。 

要添加一个模型库 , 首先需要在全局位置创建一个名为 library 的目录 , 例如 

/usr/share/ php/YourPrefix。这个 library 目录将作为包含路径在引导过程中传递给框架。 

下一部分的内容与命名规范非常接近。类名称应该全部以一个公共的前缀开头 , 然后 

遵循驼峰匹配原则 , 在希望用目录分隔的地方用下划线 (_) 隔开。例如 , 

YourPrefix_Tax_Calculator 将被保存在 library/YourPrefix/Tax/Calculator.php 中。因为我 

们可能希望对现存的库进行集成 , 所以不想使用这一命名规范 , 这样将不能通过标准 

的 Zend_Loader 自动加载机制访问库了。 

代码清单 1-2 显示了如何创建库模型。 

代码片段 


《PHPer》 

set_include_path(implode(PATH_SEPARATOR, $paths)); 

require_once('Zend/Loader.php'); 

Zend_Loader::registerAutoload(); 

$tax = YourPrefix_Tax_Calculator::calculate(1); 

这一方法是否可行完全取决于遵循 Zend 框架标准的类名命名规范的程度。如果希 

望加载一个没有前缀或者下划线的类 , 如 TaxCalculator, 将需要编写你自己的加载程 

序。如第 9 章所讨论过的 , 通过扩展 Zend_Loader 或者注册一个附加的 spl_autoload 

函数 , 你也可以实现这一功能。 

2 请求生命周期 

现在 , 你已经了解了模块和模型 , 下面将介绍 Zend 框架的核心 , 并真正理解路由 

和分派应用程序时框架运行的步骤。图 17-1 演示了 Zend 框架应用程序的完整流程。 

图 1-1 Zend 框架应用程序流程 

你会留意到的第一件事就是在接收到一个请求之后 , 路由就开始了。( 暂时忽略插 

件和辅助代理类 , 它们的含义将在下一节讨论。) 路由是指框架接收到请求 URL, 并 

将它与路由器规定的规则列表相匹配的过程。这些规则将 URL 分解成模块、控制器、 

操作以及任意数量的已定义参数。然后 , 所有这些信息都会被存储到 Zend_Request 

对象中 , 并且传递给分派循环。 

分派过程是以循环形式运行的 , 它允许几种不同的机制重置应用程序并将它发送 

回分派起点 , 例如将一个未授权的用户转发到登录屏幕中。这一分派过程默认是由 

Zend_Controller_ Dispatcher_Standard 来处理的 , 它会实例化操作控制器 , 并且调用控 

制器的 init() 方法。然后 , 它会调用操作控制器上的 dispatch() 方法。 

3 创建插件 

你可能会留意到 , 框架拥有 PluginBroker 类激发的几个事件 , 严格来讲 , 这个类 

的名称为 Zend_Controller_Plugin_Broker, 这是一个基本的注册和通知类。这些事件提 



《PHPer》 

供了影响和中断分派过程的机会。通常 , 这一中断过程是以修改 Zend_Request 对象的 

值的形式进行的 , 从而对后面的流程产生影响。 

例如 , 一个转发插件在 routeShutdown 事件中可以设置控制器和操作等请求参数 , 

这将会导致完全不同的分派过程。另一种插件可能会在 dispatchLoopShutdown 事件中 

添加或者删除应答内容。 

编写插件非常简单。首先 , 所有插件都必须从 Zend_Controller_Plugin_Abstract 类 

继承 , 并且实现图 1-1 所示的任何 PluginBroker 方法。除了 dispatchLoopShutdown 事 

件之外 , 所有的方法都将传入当前的 Zend_Request 对象作为它们唯一的参数。 

要了解这一机制是如何工作的 , 我们来看一个简单的例子。在库中创建一个名为 

YourPrefix_Controller_Plugin_Statistics 的类 , 这个类将会在 routeStartup 事件中将每个 

请求的 URL 记录到数据库中。这个插件的内容如代码清单 1-4 所示。这个插件假设已 

经有一个名为 stats 的表 , 并且表中有一个名为 uri 的列。 

代码清单 1-4 stats 日志记录插件 (YourPrefix_Controller_Plugin_Statistics) 

代码片段 

class YourPrefix_Controller_Plugin_Statistics extends 

Zend_Controller_Plugin_Abstract { 

public function routeStartup($request) { 

$uri = $request->getRequestUri(); 

$dbconfig = array( 

'host' => 'localhost', 

'username' => 'user', 

'password' => 'password', 

'dbname' => 'demo' 

); 

$db = Zend_Db::factory('PDO_PGSQL', $dbconfig); 

$data = array( 

'uri' => $uri 

); 

$db->insert('stats', $data); 

} 

} 

要注册插件 , 需要调用前端控制器上的 registerPlugin() 方法 : 

$front->registerPlugin(new YourPrefix_Controller_Plugin_Statistics()); 

通过使用插件 , 可以在站点范围内收集关于应用程序的所有类型的信息。 

4 创建辅助类 

辅助类是专门用来为 MVC 组件增加和集成功能的类。有两种主要的辅助类类型 , 

它们分别是操作辅助类和视图辅助类。 

4.1 编写操作辅助类 

回头参考图 1-1, 你将会留意到 HelperBroker 操作上有另外两个事件将会被调用 , 

即 notifyPreDispatch() 和 notifyPostDispatch()。这两个方法在操作辅助类上被简单地转 

换为 preDispatch() 和 postDispatch() 方法 , 它们提供了处理操作控制器特定事件的功能 , 



《PHPer》 

并且不用注册一个站点级别的插件。这可以实现即用即加载的场景 , 如果拥有大量辅 

助类 , 这种做法将会更加有效。 

视图输出器是框架内置功能作为操作辅助类部署的一个好的示例。它使用 

Zend_Request:: getActionName() 方法以及 postDispatch() 事件来确定和输出专门为操作 

设计的模板。 

重定向辅助类没有实现这些事件 , 但是用到了辅助类集成以便为重定向功能提供 

一个方便的接口。 

如果希望编写操作辅助类 , 只需继承 Zend_Controller_Action_Helper_Abstract, 并 

实现认为有价值的那些方法。为了注册操作辅助类 , 可以调用 HelperBroker 上的 

addHelper() 方法。 

Zend_Controller_Action_HelperBroker::addHelper(new YoorHelperClass()); 

另外 , 还可以使用 addPath() 方法设置一个路径 , 在这个路径中 HelperBroker 可以 

找到所有的辅助类。例如 , 把所有辅助类添加到以类前缀 YourPrefix 开头的路径中。 

Zend_Controller_Action_HelperBroker::addPath('/path/to/helpers', 'YourPrefix'); 

为了访问操作的辅助类 , 可以调用 $this->getHelper('YourHelperClass') 方法 , 正如 

之前示例中使用 FlashMessenger、Redirector 和 ViewRenderer 这些类时你所做的那样。 

4.2 编写视图辅助类 

还可以创建你自己的视图辅助类 , 但在确定某个辅助类是否合适时 , 要非常谨慎。 

理想情况下 , 视图辅助类应该用在重复任务上 , 并且只应该被当成在处理公共视图数 

据时获得便利的一种方法。它们不能用来避开操作的处理逻辑 , 因为这样 , 会极大地 

减少使用 MVC 框架带来的好处 , 并且模糊了控制器和视图的界限。 

为了创建视图辅助类 , 应该创建一个名称带有 Zend_View_Helper 前缀的类 , 并将 

它放在 ./views/helpers 目录中。代码清单 1-5 显示了如何创建一个返回当前日期的视图 

辅助类。 

代码清单 1-5 简单的视图辅助类 

代码片段 


《PHPer》 

5 实现访问控制功能 

现在 , 你已经了解了插件、辅助类以及请求周期的不同部分 , 可以开始讨论访问 

控制功能。Zend_Acl 是一个强大的并且复杂的组件 , 它允许定义网站中允许用户访问 

的操作。 

虽然 Zend_Acl 可以独立于插件和辅助类使用 , 但将它们作为一个完整的解决方案 

来使用时 , 其功能要强大得多。它是一个高质量的访问系统 , 其中包含了可继承的角 

色在资源级别控制和权限级别控制等方面的设置功能。这里 , 为简单起见 , 我们将完 

整地介绍资源级别控制。 

在这个例子中 , 你将创建一个基本的订户区域类型的 Web 站点 , 其中特定控制器 

对访客是限制访问的 , 但会员是可以访问的。这个控制器将把未授权的用户转发到登 

录页面。为了实现这个功能 , 你将需要一个如代码清单 1-7 所示的基本的 ACL(Access 

Control List, 访问控制列表 )。 

代码清单 1-7 ACL 启动 (index.php) 

代码片段 

$acl = new Zend_Acl(); 

// 创建 guest 角色 

$acl->addRole(new Zend_Acl_Role('guest')); 

// 创建 members 角色 , 它继承自 guest 角色 

$acl->addRole(new Zend_Acl_Role('member'), 'guest'); 

// 为 index 控制器添加资源 

$acl->add(new Zend_Acl_Resource('index')); 

// 为 articles 控制器添加资源 

$acl->add(new Zend_Acl_Resource('articles')); 

// 允许 guest 访问 index 控制器 

$acl->allow('guest', 'index'); 

// 禁止 guest 访问 article 控制器 , 但允许 members 访问 

$acl->deny('guest', 'articles'); 

$acl->allow('member', 'articles'); 

下一步 , 需要创建一个 articles 控制器以及与之对应的视图 , 如代码清单 1-8 和代 

码清单 1-9 所示。 

代码清单 1-8 articles 控制器 (ArticlesController.php) 

代码片段 


《PHPer》 

This is secret 

在库中 , 需要创建一个名为 YourPrefix_Controller_Plugin_Security 的插件 , 并将它 

放在 /usr/share/php/YourPrefix/library/YourPrefix/Controller/Plugin/Security.php 文件中 , 

这个插件如代码清单 1-10 所示。 

代码清单 1-10 ACL 和 Auth 相结合的插件 

代码片段 

class YourPrefix_Controller_Plugin_Security 

extends Zend_Controller_Plugin_Abstract 

{ 

protected $_acl; 

// 在注册插件时获得启动的 ACL 

public function __construct($acl) { 

$this->_acl = $acl; 

} 

// 响应 dispatchLoopStartup 事件 

public function dispatchLoopStartup($request) { 

// 获得 Zend_Auth 的一个实例并将默认角色设置为 guest。 


$role = 'guest'; 

// 如果用户已登录 , 从数据库行中获得角色标识符 

if($auth->hasIdentity()) { 

$role = $auth->getIdentity()->role; 

} 

// 资源名称就是控制器名称 

$resource = $request->getControllerName(); 

// 如果控制器不处在 ACL 控制之下 , 就忽略访问控制 

if($this->_acl->has($resource)) { 

// 检查当前角色是否有权限访问资源 

if( ! $this->_acl->isAllowed($role, $resource) ) { 

// 不能访问 

// 备份原始的请求 URI 

$session = new Zend_Session_Namespace('ACLSecurity'); 

$session->originalRequestUri = $request->getRequestUri(); 

// 覆盖分派器将会使用的控制器和操作 

$request->setControllerName('index'); 

$request->setActionName('login'); 

} 



《PHPer》 

} 

} 

} 

// else { 可以访问 , 正常分派 } 

下一步就是与前一章中的验证示例集成在一起。为了做到这一点 , 需要在数据库 

users 表中添加一个名为 role 的列 , 并将 role 列的值设为 member。然后在 

IndexController.php 文件中的 loginAction 中找到以下代码。 


并将这行代码修改为 : 

代码片段 

// 试图将用户转发到他们曾试图访问的地方 

$session = new Zend_Session_Namespace('ACLSecurity'); 

if(isset($session->originalRequestUri)) { 

$this ->getHelper('redirector') 

->gotoUrl($session->originalRequestUri); 

} else { 


} 

这使得当重定向的用户成功登录后 , 他们将被带到原来试图访问的原始 URL 上。 

最后 , 将这个插件注册到前端控制器中。 

$front->registerPlugin(new YourPrefix_Controller_Plugin_Security($acl)); 

现在可以尝试访问 /articles 控制器了。应该会被转送到 /index/login 中。一旦成功登 

录 , 将被重新带回 /articles 中。现在你拥有了一个基本的 ACL 和验证集成的插件解决 

方案。 

6 使用两步视图 

Zend_Layout 组件的作用在于满足一种常见需求 , 即创建站点时站点中页面应具 

有相似的外观。这一组件通常被称为站点级模板、两步视图或者布局。 

布局的概念是避免使用在前面添加的模板和在后面添加的模板。相反 , 使用 

Zend_View_ Helper_Placeholder 来指定控制器 — 操作分派过程创建的内容应该放在最 

终输出结果中的位置。这允许你使用一个布局文件来表达最终页面的结构 , 在同一文 

件中同时包含了和。 

6.1 创建一个主布局 

为了使用 Zend_Layout 组件 , 需要向引导文件添加如代码清单 1-11 所示的代码。 

代码清单 1-11 引导 Zend_Layout 组件 ( 在 index.php 文件中 ) 

代码片段 

Zend_Layout::startMvc( 

array( 

'layoutPath' => APP_PATH . '/application/layouts/', 

'layout' => 'index' 

) 

); 



《PHPer》 

这一引导过程定义了布局脚本文件所在的位置以及默认布局的名称。在这个例子 

中 , 为了演示可用的选项 , 我们将默认的名称 layout 重写成了 index。 

下一步 , 创建如代码清单 1-12 所示的布局文件 index.phtml。 

代码清单 1-12 主布局文件 (./application/layouts/index.phtml) 

代码片段 

 

 

 

 

 

激活了 Zend_Layout 组件之后 , 操作的所有输出内容都会被放在 

Zend_Layout->content 占位符中。如代码清单 1-12 所示 , 这一占位符可以通过布局辅 

助类 ($this->layout()) 来访问。 

在控制器和操作层面 , 可以通过在 init() 方法或者操作中调用 setLayout() 方法来选 

择可替换的布局。 

$this->_helper->layout()->setLayout('alternative'); 

要使得某个操作不使用布局 , 可以调用 disableLayout() 方法。 

$this->_helper->layout()->disableLayout(); 

6.2 使用占位符 

除了保存操作的输出内容之外 , 占位符也可以用于将内容放在布局中预定义的位 

置上。一个常见的用法就是在菜单中放置一个菜单项 , 但却在视图脚本中配置这个菜 

单项。 

要创建一个具有菜单系统的布局 , 需要使用自定义键值 menu, 在 Zend_Layout 名 

称下定义一个占位符。代码清单 1-13 演示了如何创建一个基本的布局模板。 

代码清单 1-13 包含条件判断占位符的布局脚本 

代码片段 

 

 

 

 

 

 

当希望将一个菜单项放在这个占位符中时 , 在视图脚本场景中 , 你只需捕获一些 

内容即可 , 如代码清单 1-14 所示。 

代码清单 1-14 捕获输出到占位符中的内容 ( 视图场景 ) 



《PHPer》 

代码片段 

 

New Menu Item 

 

当布局被输出时 , 这一内容将被放在文档中合适的位置。这将允许创建一些将代 

码注入到文档不同部分的高级视图效果。 

7 小结 

在本文中 , 你学习了关于 Zend 框架的内部操作以及如何创建模块、模型库、插件、 

辅助类以及布局等。 

常规的模块化目录结构提供了使用模块的功能。你还可以创建自定义的组件库并 

将其添加到引导文件中 , 以便框架可以自动加载你的类。 

框架的请求周期包含了几个路由和分派事件。你可以创建自定义的控制器插件、 

操作辅助类和视图辅助类。 

Zend_Layout 组件允许创建具有公共外观的站点。 

如果您还要继续学习 Zend 框架 , 可以阅读框架指南文档和邮件列表存档。如果对 

使用 Zend 框架来开发应用程序感兴趣 , 可以参见 irc.freenode.net 上的 #zftalk 频道 , 或 

者位于 http://framework.zend.com 的官方邮件列表。 


安全优化 : 

《PHPer》 

安全优化 

Windows 安全 ( 一 ) 

机械工业出版社 

几乎在很短的时间里 , 人们对安全的态度发生了巨大的转变 , 无论是开发人员还 

是终端用户。几年前 , 大多数计算机都是未联网的设备 , 计算机安全问题的主要来源 

也只是一些离线媒介 , 例如软盘。在当时 , 最大的安全问题就是病毒。现在 , 随着网 

络连接率日益增加 , 几乎所有计算机都可以被远程攻击。 

在一些老的操作系统中 , 例如 Windows 95, 并不支持本地计算机上的安全对象。 

Windows NT 的出现为用户带来了符合 C2 级安全标准的内核。今天 ,Windows 操作系 

统的客户端版本 ( 即 Windows XP 家庭版和 Windows Vista 家庭版 ) 能够控制对每个 

对象的访问 , 因此发生拒绝访问故障 (Access Denied Failure) 的概率也就越大。另一 

种推动力是来自安全社区 , 他们在运行进程时通常使用最低的用户权限。这样可以将 

主机和程序中的安全漏洞分离开来。那么 , 如果以非管理员权限来运行程序 , 那么在 

实际情况中会有多大的可行性 ? 可能只有一些在设计时考虑了安全因素的程序才能 

运行 , 而大多数程序将无法运行 , 因为它们仍然需要访问一些只有管理员才可以访问 

的注册表位置或者文件系统位置。 

对象安全性是开发一流软件的基础要素。本章将介绍如何分析和修复软件中的安 

全问题。本文将重点介绍当合法操作遇到一系列故障时所应采取的步骤 , 而并不会介 

绍由于代码缺陷所导致的一些未预期行为 ( 例如缓冲区溢出、整数溢出等 ), 这些缺 

陷通常会被病毒利用 , 在其他的参考书中已经给出了详尽的介绍。在本章中 , 我们将 

讨论以下内容 : 

• Windows 安全的基本知识以及工作机制。我们将给出在分析与安全相关的问 

题时需要具备的基础知识。 

• 如何通过调试扩展功能来分析各种安全组件。本节将介绍一些对调试安全性 

问题来说非常重要的扩展命令。 

• 如何将一些现有的技术与本书给出的信息结合起来 , 以解决由于未预期的安 

全限制所导致的问题。 

1 Windows 安全概述 

任何一个 Windows 安全对象都可以用句柄来表示 , 在这些安全对象中包含了一些 

安全信息 , 并且受到 Windows 安全机制的保护。Windows 安全模型使用了三个安全概 

念 : 

• 自主访问控制列表 (Discretionary Access Control List,DACL): 描述的 

是哪些主体 (Principal) 可以使用这个对象以及如何使用。 

• 用户的标识 : 也称为主体。 

• 安全引用监视器 (Security Reference Monitor,SRM): 通过一些的信息来 

限制对它所保护的对象进行访问。 

与 Windows 安全对象相关的 DACL 是由对象创建者本身来管理的。DACL 是另一个 



《PHPer》 

结构 — 安全描述符 (Security Descriptor) 中的成员 , 安全描述符是一组与对象相 

关的信息 , 保存在安全的存储位置中。每当一个新的主体访问对象时 , 都会从这个安 

全的存储位置中抽取出对象的安全描述符。例如 , 文件的安全描述符是保存在 NTFS 

文件系统中 , 注册表项的安全描述符是保存在注册表中 , 而内核对象的安全描述符则 

是保存在内核地址空间中。 

Windows SRM 运行在内核地址空间中 , 它与用户态代码是分离的。大多数安全对 

象都是由内核组件创建的 , 内核组件通过地址的独立性来保护与用户态组件相关的安 

全描述符。由于用户态组件不能通过内核来实现自己的安全对象代理 (Object Broker), 

因此 Windows 中的一些组件是通过类似于 Windows 安全机制的思想来实现定制的安全 

模型。 

定制的安全对象代理必须增强对象的访问机制。换句话说 , 在设计安全对象代理 

时 , 你必须确保这个对象不能通过其他任何机制来访问。在这些情况中 , 对象代理将 

扮演 SRM 角色 , 并且按照它自己的方式来管理对象安全描述符。为了确保与操作系统 

保持兼容 , 并且在安全设置中使用相同的用户接口 , 对象代理很可能使用与 Windows 

SRM 一样的数据结构。 

在访问控制中的另一个重要组件就是安全主体 , 它是由操作系统来创建和验证的。 

安全主体保存在访问令牌 (Access Token) 中。这个访问令牌包含了安全主体所在的 

用户组、一组由操作系统赋予的特殊权限 , 以及由系统其他组件使用的一些信息。 

对象访问权限是通过一组位表示的 , 每一位表示一项能否被赋予某个主体的权限 ( 特 

定于对象的属性 )。 

下面将介绍与调试 Windows 程序相关的所有安全结构 , 以及用于查看这些结构的 

各种方法。熟悉这些概念的读者可以跳过这一节。本章的示例使用了三个新的扩展命 

令 :!sd、!token 以及 !sid, 这三个命令是在调试器默认加载的扩展模块中实现的。 

本章将使用 07sample.exe 程序 , 这个程序的源代码文件和二进制文件分别位于以下 

文件夹中 : 

源代码文件 :C:\AWD\Chapter7 

二进制文件 :C:\AWDBIN\WinXP.x86.chk\07sample.exe 

由于在分布式程序中经常会发生安全性错误 , 因此本章还将使用第 8 章的一些示 

例 , 包括一个客户端程序 08cli.exe, 一个包含代理存根 (Proxy Stub) 的动态库 

08comps.dll, 以及一个服务器程序 08comsrv.exe。我们必须通过命令行 08comsrv.exe 

/RegServer 来注册 08comsrv.exe, 并且通过命令行 regsvr32 08comps.dll 来注册 

08comps.dll。这些程序的源代码文件和二进制文件位于以下文件夹中 : 

源代码文件 :C:\AWD\Chapter8 

二进制文件 :C:\AWDBIN\WinXP.x86.chk\08cli.exe、08comps.dll 以及 

08comsrv.exe 

1.1 安全标识符 

安全标识符 , 也被称之为 SID, 是在 Windows 安全机制中使用的基本概念之一。 

SID 表示一个主体或者一个属性 , 并且这个主体或者属性在 SID 所在的操作系统中是 

惟一的。SID 通过一个简单的结构来表示 , 这个结构定义在头文件 winnt.h 中 , 如清单 

1 所示。 

清单 1 SID 结构定义 

typedef struct _SID_IDENTIFIER_AUTHORITY { 

BYTE Value[6]; 



《PHPer》 

} SID_IDENTIFIER_AUTHORITY; 

typedef struct _SID { 

BYTE Revision; 

BYTE SubAuthorityCount; 

SID_IDENTIFIER_AUTHORITY IdentifierAuthority; 

DWORD SubAuthority[1]; 

} SID; 

SID 结构是变长的 , 其中包含了变长数量的 SubAuthority 项 , 可以表示任何主体。 

SID 是根据 IdentifierAuthority 来分组的。SID 的内存布局是非常简单的 , 计算机 

很容易理解 , 但对于人来说却是很难理解的。在一些技术文档中 ,SID 被表示为一个 

字符串 , 形如 S-R-I-S-S-S-⋯-S, 其中 R 表示修订级别 (Revison Level), I 表示控 

制这个 SID 的授权 (Authority), S 是由这个授权所管理的子授权 (Subauthority)。 

Windows SID 的 Revision 域被设置为 1, 并且可以拥有多达 6 个子授权。在 Windows 

中 ,IdentifierAuthority 等于 5:{0,0,0,0,0,5}。例如 , 本地系统 (Local System) 

在内存中被表示为一系列的字节 ,S-1-5-18, 如果下面的清单所示 ( 这些字节被分散 

在多行 , 每行对应一个 SID 组件 ) 

0:000> db 000840c8 Lc 

000840c8 01 

01 

00 00 00 00 00 05- 

12 00 00 00 ............ 

第一行表示 SID 的修订号 , 第二行是 SID 中子授权的数量 , 接下来是 Windows 授权标 

识符 , 最后一行 

是子授权的值。通过扩展命令 !sid 可以将这个数据结构输出为形如 “S-⋯” 的字符串 

格式 , 如下所示 : 

0:000> !sid 000840c8 

SID is: S-1-5-18 

1.2 访问控制列表 

在调试 Windows 安全性问题时 , 另一个重要的结构就是访问控制项 (Access 

Control Entry,ACE)。 ACE 表示 , 在由这个 ACE 保护的对象上 , 有哪些权限可以被赋 

予由 SID 表示的主体。一组有序的 ACE 就构成了一个访问控制列表 (ACL), 它将控制 

所有主体在它所保护对象上的权限。 

从结构上来看 , 每个 ACE 都有一个 ACE_HEADER, 随后是特定于 ACE 的数据 , 这是 

实现对象多态性的一种古老的 “C” 技术。在 MSDN 以及 winnt.h 头文件中对所有的 ACE 

类型都给出了非常详尽的描述。本节将只介绍 ACCESS_ALLOWED_ACE, 因为这是最常使 

用的结构。其他类型的 ACE 都是类似的 , 都可以在头文件 winnt.h 中找到。ACE 结构 

的头部如下所示 : 

typedef struct _ACE_HEADER { 

BYTE AceType; 

BYTE AceFlags; 

WORD AceSize; 

} ACE_HEADER; 

typedef struct _ACCESS_ALLOWED_ACE { 

ACE_HEADER Header; 



《PHPer》 

ACCESS_MASK Mask; 

DWORD SidStart; 

} ACCESS_ALLOWED_ACE; 

AceType 域表示在 ACE_HEADER 后面的结构类型。通常的做法是 , 根据 AceType 域 

中的值将 ACE_HEADER 结构转换为具体的 ACE 类型 , 例如 ACCESS_ALLOWED_ACE。Mask 

域是一个 DWORD 类型的值 , 其中包含了这个 ACE 允许的所有权限。表 1 给出了每一位 

的含义。 

表 1 访问掩码中所有位的含义 

在头文件 winnt.h 中定义了 ACL 结构 , 如下所示 : 

typedef struct _ACL { 

BYTE AclRevision; 

BYTE Sbz1; 

WORD AclSize; 

WORD AceCount; 

WORD Sbz2; 

} ACL; 

在 ACL 中 , 位于这个结构之后的是一组 ACE( 数量为 AceCount), 并且使用了一块 

大小为 AclSize 字节的连续内存。当前 , 在 Windows 中使用的所有 ACL 的 Revision 

域都等于 2。通过扩展命令 !acl 很容易将 ACL 解析出来 , 如下所示 : 

0:000> !acl 000840ac 

ACL is: 

ACL is: -> AclRevision :0x2 

ACL is: ->Sbz1 :0x0 

ACL is: -> AclSize :0x1c 

ACL is: -> AceCount :0x1 

ACL is: ->Sbz2 : 0x0 

ACL is: ->Ace[0]: ->AceType: ACCESS_ALLOWED_ACE_TYPE 

ACL is: ->Ace[0]: ->AceFlags: 0x0 

ACL is: ->Ace[0]: ->AceSize: 0x14 

ACL is: ->Ace[0]: ->Mask : 0x00120089 

ACL is: ->Ace[0]: ->SID: S-1-1-0 

1.3 安全描述符 

到目前为止 , 我们看到的所有结构都包含在安全描述符 (Security Descriptor, 

SD) 结构中 , 这个结构是定义在头文件 winnt.h 中 , 如下所示 : 

typedef WORD SECURITY_DESCRIPTOR_CONTROL; 

typedef struct _SECURITY_DESCRIPTOR { 

BYTE Revision; 

BYTE Sbz1; 



《PHPer》 

SECURITY_DESCRIPTOR_CONTROL Control ; 

PSID Owner; 

PSID Group; 

PACL Sacl; 

PACL Dacl; 

} SECURITY_DESCRIPTOR; 

在 Windows 操作系统中 Revision 域被设置为 1。Control 域表示安全描述符的内 

容 , 例如表示在安全描述符中包含的是一个 DACL( 当设置了 SE_DACL_PRESENT 标志时 ) 

还是 SACL 等。如果在 Control 域中设置了 SE_SELF_RELATIVE 位 , 那么安全描述符中 

的所有指针都应该被视作为相对于安全描述符基地址的偏移 ; 否则 , 这些地址都是绝 

对地址。 

为了理解这些结构在内存中的布局 , 我们将使用 07sample.exe, 并且选择选项 ‘0’, 

这个选项表示执行与安全描述符相关的函数。清单 7-2 的源代码将通过一个基于安全 

描述符定义语言 (Security Descriptor Definition Language,SDDL) 的字符串来 

创建安全描述符。我们可以通过 advapi32!AccessCheck 来获得由这个安全描述符保 

护的对象的用户访问权限。 

清单 2 执行 AccessCheck 函数的示例代码 

代码片段 

void Sample0() 

{ 

LPWSTR stringSD = L"O:SYG:BAD:(A;;FR;;;S-1-1-0)"; 

PSECURITY_DESCRIPTOR sd = NULL; 

... 

if (FALSE == ConvertStringSecurityDescriptorToSecurityDescriptor( 

stringSD, SDDL_REVISION_1, &sd, NULL)) 

{ ... } 

ImpersonateSelf(SecurityIdentification); 

STOP_ON_DEBUGGER; 

HANDLE hToken=NULL; 

if (!OpenThreadToken( 

GetCurrentThread(), TOKEN_QUERY, TRUE, &hToken)) 

{ ... } 

RevertToSelf(); 

... 

if (FALSE == AccessCheck( 

sd, 

hToken, 

MAXIMUM_ALLOWED, 

&rightsMapping, 

privileges,&privilegesSize , 

&grantedAccess, 

&grantedAccessStatus)) 

{ 

TRACE(L"AccessCheck failed "); 

} 



《PHPer》 

... 

} 

下面是安全描述符的来源介绍。在私有符号库中通常会包含安全描述符的地址。 

当不存在私有符号时 , 我们可以发现 advapi32!AccessCheck 的第一个参数就是用于 

访问检查的安全描述符。下一节将解释栈中参数的含义。这个函数的声明如下所示 : 

WINADVAPI BOOL WINAPI AccessCheck ( 

IN PSECURITY_DESCRIPTOR pSecurityDescriptor, 

IN HANDLE ClientToken, 

IN DWORD DesiredAccess, 

IN PGENERIC_MAPPING GenericMapping, 

OUT PPRIVILEGE_SET PrivilegeSet, 

IN LPDWORD PrivilegeSetLength, 

OUT LPDWORD GrantedAccess, 

OUT LPBOOL AccessStatus ); 

我们在用户态调试器 ( 例如 windbg.exe) 下启动 07sample.exe, 并且在 

AccessCheck 地址处设置一个断点。然后 , 以字节形式将安全描述符显示出来 , 如清 

单 3 所示。 

清单 3 安全描述符的二进制表示 

0:000> k2 

ChildEBP RetAddr 

0006fe9c 0100204e ADVAPI32!AccessCheck 

0006ff00 01001f33 07sample!Sample0+0x10e 

0:000> dc @esp L4 

0006fea0 0100204e 00084098 000007bc 02000000 N ...@.......... 

0:000> db 00084098 L4c 

00084098 01 00 04 80 30 00 00 00-3c 00 00 00 00 00 00 00 ....0... !sd 00084098 

->Revision : 0x1 

->Sbz1 : 0x0 

->Control : 0x8004 

SE_DACL_PRESENT 

SE_SELF_RELATIVE 

->Owner : S-1-5-18 

->Group : S-1-5-32-544 

->Dacl : 

->Dacl : ->AclRevision: 0x2 

->Dacl : ->Sbz1 : 0x0 

->Dacl : ->AclSize : 0x1c 

->Dacl : ->AceCount : 0x1 

->Dacl : ->Sbz2 : 0x0 



《PHPer》 

->Dacl : ->Ace[0]: ->AceType: ACCESS_ALLOWED_ACE_TYPE 

->Dacl : ->Ace[0]: ->AceFlags: 0x0 

->Dacl : ->Ace[0]: ->AceSize: 0x14 

->Dacl : ->Ace[0]: ->Mask : 0x00120089 

->Dacl : ->Ace[0]: ->SID: S-1-1-0 

->Sacl : is NULL 

在前面中介绍的 SID 和 ACL 都属于安全描述符的一部分。这些结构的地址都是基 

于安全描述符的相对地址 , 即使扩展命令由于符号不匹配而无法正常工作时 , 也可以 

很容易地将这些信息抽取出来。 

1.4 访问令牌 

只有当主体请求访问由这个安全描述符保护的安全对象时 , 安全描述符才是有用 

的。主体的标识 , 以及被赋予的权限 , 都被封装到一个内核结构中 , 这个结构叫做访 

问令牌 (Access Token)。用户态的组件可以通过句柄来使用访问令牌。我们可以通 

过扩展命令 !token 来查看这些访问令牌 , 这个命令的参数既可以是访问令牌的地址 

( 例如在内核态调试器中 ), 也可以是一个指向令牌的句柄 ( 例如在用户态调试器中 

使用 )。如果在使用这个扩展命令时没有指定参数 , 那么当存在线程模拟访问令牌 

(Thread Impersonation Access Token) 时 , 它将显示这个令牌 ; 否则 , 它将显示 

进程令牌。 

在清单 5 中 , 我们使用了在清单 7-3 中传递给 advapi32!AccessCheck 函数的令牌。 

由于使用了 -n 选项 , 因此这个扩展命令将解析与每个 SID 相关的名字 ( 显示在 SID 

后面的括号中 )。 

清单 5 在调试器中通过扩展命令 !token 来显示令牌 

0:000> * 显示句柄为 0x7bc 的令牌的信息 

0:000> !token 7bc -n 

TS Session ID: 0 

User: S-1-5-21-1060284298-2111687655-1957994488-1003 (User: 

XP-SP2\TestAdmin) 

Groups: 

00 S-1-5-21-1060284298-2111687655-1957994488-513 (Group: XP-SP2\None) 

Attributes - Mandatory Default Enabled 

01 S-1-1-0 (Well Known Group: localhost\Everyone) 


02 S-1-5-32-544 (Alias: BUILTIN\Administrators) 

Attributes - Mandatory Default Enabled Owner 

03 S-1-5-32-545 (Alias: BUILTIN\Users) 


04 S-1-5-4 (Well Known Group: NT AUTHORITY\INTERACTIVE) 


05 S-1-5-11 (Well Known Group: NT AUTHORITY\Authenticated Users) 


06 S-1-5-5-0-35778 (no name mapped) 

Attributes - Mandatory Default Enabled LogonId 

07 S-1-2-0 (Well Known Group: localhost\LOCAL) 


Primary Group: S-1-5-21-1060284298-2111687655-1957994488-513 (Group: 

XP-SP2\None) 



《PHPer》 

Privs: 

00 0x000000017 SeChangeNotifyPrivilege Attributes - Enabled Default 

01 0x000000008 SeSecurityPrivilege Attributes - 

... 

17 0x000000009 SeTakeOwnershipPrivilege Attributes - 

18 0x00000001e SeCreateGlobalPrivilege Attributes - Enabled Default 

19 0x00000001d SeImpersonatePrivilege Attributes - Enabled Default 

Auth ID: 0:1c3a8 

Impersonation Level: Identification 

TokenType: Impersonation 

仔细地观察这个令牌中的所有 SID, 我们可以将它们分为安全组主体 (Security 

Group Principal)、用户主体 (User Principal) 以及标识 , 例如 LogonId。SID 概 

念非常灵活 , 因为它只是一个用来表示不同实体的惟一标识 , 例如在表 2 中给出了一 

些标识。 

表 2 SID 类型及示例 

有些 SID 被用作为属性或者组的成员 , 几乎在任何地方都可以看到这些 SID, 因 

此它们也叫做已知 SID(Well-Known SID)。表 3 包含了一组最为常见的 SID。作为权 

威的信息来源 , MSDN 包含了一组在 Windows 操作系统中使用已知 SID。 

表 3 已知 SID 

这个扩展命令将显示一组 SID, 分别表示令牌主体的标识以及这个主体所属的安 

全组。之后 , 扩展命令还将显示一组赋予给用户的权限 , 其中一些权限已经被启用了。 

每当用户登录系统时都将建立这个令牌信息 , 并且在登录会话期间将保持不变。这些 

权限可以通过程序来启用或者禁止 , 也可以从令牌中删除 , 但却不能增加到令牌中。 

同一个主体在不同的系统上进行认证时将获得不同的令牌信息 , 组成员属性 , 或者被 

赋予的权限。 

我们可以通过比喻的方式来说明这些概念之间的关系。访问令牌好比是旅行者 ( 也 

就是主体 ) 的护照 , 用来在不同的国界上标识他们自己。安全描述符表示移民法 , 由 

入境国的移民局官员使用 , 根据申请人的来源国描述旅行者的权力和要求。在护照中 

的所有信息 , 例如来源国或者从不同领事馆中获得的签证 , 可以被比作不同的令牌组 

成员关系和权力。移民局 , 相当于执行访问检查的代码 , 将信任护照的颁发者 ( 在这 



《PHPer》 

里相当于操作系统 ) 并且确信护照不是伪造的 ( 这在真实世界中很难实现 )。根据移 

民法 ( 安全描述符 ), 旅行者将被允许或者拒绝进入入境国 ( 访问对象 )。 

在现实生活中 , 任何一个国家都会有自己的移民政策 , 这就好比软件至少都是安 

全的 ; 每个对象都被一个安全描述符保护起来。为了在 Windows 系统中实现同样级别 

的信任 , 访问令牌是通过可信计算基 (Trusted Computing Base) 组件来管理的 , 可 

信计算基也称为 TCB。在 TCB 中运行的每个组件对于操作系统以及安全系统中的每个 

用户来说都是可信的。 

本文的剩余内容将使用前面介绍的信息来分析或者解决各种与安全性相关的问题。 

2 安全信息来源 

为了能够在不同的安全领域工作 , 工程师们需要知道在什么位置查找安全信息以 

及所找到的安全信息应该是什么。 

2.1 访问令牌 

访问令牌保存在什么地方 , 以及如何找到它们 ?Windows 操作系统为系统中的每 

个进程都创建了一个主访问令牌 (Primary Access Token)。这个令牌表示创建这个 

进程的主体 , 并在默认情况下将被用于所有的对象访问。主访问令牌的地址包含在每 

个进程的 nt!PROCESS 结构中。在用户态调试器和内核态调试器中 , 可以通过扩展命 

令 !token 来显示进程的访问令牌。 

在用户态调试器中 , 如果当前的线程不是处于模拟状态 , 那么扩展命令 !token 将 

自动显示主访问令牌。在内核态调试器中 , 主访问令牌地址是进程基本信息的一部 

分 , 可以通过扩展命令 !process 来显示进程的基本信息 , 如清单 7-6 所示。这个清 

单假设示例进程正在系统中运行。 

清单 7-6 获得进程访问令牌 

kd> * 选项 1 将显示进程的基本信息 ( 例如令牌等 ) 

kd> !process 0 1 07sample.exe 

PROCESS 81136930 SessionId: 0 Cid: 045c Peb: 7ffd8000 ParentCid: 030c 

DirBase: 0ae64000 ObjectTable: e13e5d38 HandleCount: 18. 

Image: 07sample.exe 

VadRoot 811eaa90 Vads 24 Clone 0 Private 50. Modified 0. Locked 0. 

DeviceMap e164c948 

Token e1424030 

ElapsedTime 00:46:16.327 

... 

kd> *Token field contains the address of the primary access token 

在客户端 / 服务器 ( C l i e n t - S e r v e r ) 程序中 ,Wi n d o w s 操 

作系统非常依赖身份模拟 (Impersonation) 机制。身份模拟是一种非常灵活的机制 , 

在这种机制中 , 线程可以使用一个不同于主访问令牌的其他访问令牌来访问对象。在 

nt!ETHREAD 结构表示线程对象中 , 包含一个指向模拟访问令牌的引用。当线程处于模 

拟状态时 , 通过扩展命令 !thread 可以显示模拟令牌和模拟级别等信息。清单 7 在 

ImpersonateSelf 函数之后立即使用了 07sample.exe 的主线程。 

清单 7 显示线程模拟令牌 

在内核态调试器中 

kd> * 显示由内核线程对象表示的线程 



《PHPer》 

kd> !thread ffad3020 

THREAD ffad3020 Cid 045c.03f0 Teb: 7ffdf000 Win32Thread: 00000000 

RUNNING on 

processor 0 

Impersonation token:e1424568 (Level Identification) 

... 

kd> * 在 Token 域中包含了模拟令牌的地址在用户态调试器中 

0:000> !token –n 

TS Session ID: 0 

User: S-1-5-21-1060284298-2111687655-1957994488-1003 (User: 

XP-SP1\TestAdmin) 

... 

当线程没有处于模拟状态时 , 清单 8 的转储信息将给出模拟状态。系统中的所有 

线程在起始时都是处于这种状态 , 而并不考虑这些线程的父线程是否处于模拟状态。 

清单 8 显示线程没有处于模拟状态 

在内核态调试器中 

kd> !thread ffad3020 

THREAD ffad3020 Cid 045c.03f0 Teb: 7ffdf000 Win32Thread: 00000000 

RUNNING on 

processor 0 

Not impersonating 

... 

kd> * 没有 Token 域。表示线程没有处于模拟状态 

在用户态调试器中 

214 第二部分调试实践 

0:000> !token 

Thread is not impersonating.Using process token 

... 

最后 , 在许多创建令牌或者返回令牌句柄的函数中都可以获得令牌。在获得了令 

牌的句柄值后 , 无论是从函数中返回的还是通过其他方法获得的 , 都可以查看这些访 

问令牌 , 如清单 5 所示。 

当线程模拟访问令牌时 , 每个系统函数都将使用这个标识来执行必要的访问检查。 

如果在线程中没有进行模拟 , 那么每次访问检查中将使用进程访问令牌 , 不过有一个 

值得注意的例外情况。在 advapi32!OpenThreadToken 中 , 开发人员可以通过参数 

OpenAsSelf 来选择是使用主访问令牌还是使用模拟访问令牌。然而 , 我们认为任何访 

问令牌对于它所在的进程来说都是可访问的。 

用户态程序可以通过调用 advapi32!OpenThreadToken 或者 

advapi32!OpenProcessToken 来获得在安全引用监视器 (Security Reference Monitor) 

中使用的访问令牌。用户态扩展模块 exts.dll 在实现扩展命令 !token 时也使用了相 

同的函数。如果在用户态调试器下扩展命令 !token 没有显示某个线程的模拟状态 , 那 

么要对这个输出结果持怀疑态度。当这个扩展命令无法获得身份模拟信息时 , 将是会 

使用主令牌 , 我们在随后的章节中将进行介绍。 

2.2 安全描述符 

安全描述符保存在什么地方 ? 我们知道所有的对象都是由存储在特定位置上的安 



《PHPer》 

全描述符来保护的。所有的内核对象都包含了一个相同的头结构 , 这个结构位于对象 

内存地址的起始位置上。头结构 _OBJECT_HEADER 包含了一个指针指向保护这个对象的 

安全描述符 , 此外还包含了引用计数和对象的类型。在清单 9 中 , 我们再次使用了 

07sample.exe。我们首先获得进程对象的对象头 , 在对象头中包含了一个指针指向保 

护这个对象的安全描述符。 

清单 9 从内核对象中获得对象头 

kd> !process 0 0 07sample.exe 

PROCESS ffbbc818 SessionId: 0 Cid: 01c4 Peb: 7ffde000 ParentCid: 00ac 

DirBase: 0232e000 ObjectTable: e1112e10 HandleCount: 8. 


kd> !object ffbbc818 

Object: ffbbc818 Type: (812ee900) Process 

ObjectHeader: ffbbc800 

HandleCount: 2 PointerCount: 7 

kd> dt _OBJECT_HEADER ffbbc800 

+0x000 PointerCount : 7 

+0x004 HandleCount : 2 

+0x004 NextToFree : 0x00000002 

+0x008 Type : 0x812ee900 _OBJECT_TYPE 

+0x00c NameInfoOffset : 0 ‘’ 

+0x00d HandleInfoOffset : 0 ‘’ 

+0x00e QuotaInfoOffset : 0 ‘’ 

+0x00f Flags : 0x20 ‘ ‘ 

+0x010 ObjectCreateInfo : 0x812ca8e8 _OBJECT_CREATE_INFORMATION 

+0x010 QuotaBlockCharged : 0x812ca8e8 

+0x014 SecurityDescriptor : 0xe198bb92 

+0x018 Body : _QUAD 

在对象头中包含了一个指向对象安全描述符的伪指针。这个伪指针使用了后三位 

来存储与安全描述符地址无关的状态信息。这是可能的 , 因为在安全描述符中使用了 

内存对齐。在屏蔽了一些不重要的位后 , 可以通过扩展命令 !sd 来显示包含有效安全 

描述符的地址 , 如清单 10 所示。 

清单 10 获得内核对象的安全描述符 

kd> !sd 0xe198bb92 &0xFFFFFFF8 

->Revision : 0x1 

->Sbz1 : 0x0 

->Control : 0x8004 

SE_DACL_PRESENT 

SE_SELF_RELATIVE 

->Owner : S-1-5-21-1060284298-2111687655-1957994488-1003 

->Group : S-1-5-21-1060284298-2111687655-1957994488-513 

->Dacl : 

->Dacl : ->AclRevision : 0x2 

->Dacl : ->Sbz1 : 0x0 

->Dacl : ->AclSize : 0x40 

->Dacl : ->AceCount : 0x2 

->Dacl : ->Sbz2 : 0x0 





《PHPer》 


->Dacl : ->Ace[0]: ->Mask : 0x001f0fff 

->Dacl : ->Ace[0]: ->SID: S-1-5-21-1060284298-2111687655-1957994488- 1003 




->Dacl : ->Ace[1]: ->Mask : 0x001f0fff 

->Dacl : ->Ace[1]: ->SID: S-1-5-18 

->Sacl : is NULL 

由于安全描述符的地址刚好是在对象地址之后 , 为了简化获得对象安全描述符的 

操作 , 可以将获取安全描述符地址的所有步骤都放在一行中 , 如下所示 : 

!sd poi(-4) & FFFFFFF8 

在内核内存中 , 并非所有的对象都有一个安全描述符可以通过在清单 10 中给出的 

方法来访问。持久化的内核对象 , 例如文件或者注册表项值 , 将把安全描述符保存在 

次级存储中 , 并且通过它们私有的机制来管理安全访问。如果查看一个注册表项对象 , 

我们可以看到它的安全描述符为 NULL, 这表示不允许查看安全描述符。为了说明这种 

情况 , 我们可以在示例中选择选项 ‘4’, 在这个选项中将打开一些注册表项。 

清单 11 分析注册表项的对象头 

kd> k4 

ChildEBP RetAddr 

0006ff00 01001f33 07sample!Sample4Get+0x45 

0006ff18 01001e48 07sample!AppInfo::Loop+0xb3 

0006ff7c 01002aa6 07sample!wmain+0xa8 

0006ffc0 7c816fd7 07sample!__wmainCRTStartup+0x102 

kd> dv *key 

softwareKey = 0x000007f4 

bookKey = 0x77c2ed0e 

kd> !handle 7f4 

processor number 0, process ffbbc818 

PROCESS ffbbc818 SessionId: 0 Cid: 01c4 Peb: 7ffde000 ParentCid: 00ac 

DirBase: 0232e000 ObjectTable: e1112e10 HandleCount: 9. 


Handle table at e122f000 with 9 Entries in use 

07f4: Object: e18cce60 GrantedAccess: 00020019 Entry: e122ffe8 

Object: e18cce60 Type: (812e4e70) Key 

ObjectHeader: e18cce48 

HandleCount: 1 PointerCount: 1 

Directory Object: 00000000 Name: \REGISTRY\MACHINE\SOFTWARE 

kd> dt _OBJECT_HEADER e18cce48 

+0x000 PointerCount : 1 

+0x004 HandleCount : 1 

+0x004 NextToFree : 0x00000001 

+0x008 Type : 0x812e4e70 _OBJECT_TYPE 

+0x00c NameInfoOffset : 0 ‘’ 

+0x00d HandleInfoOffset : 0 ‘’ 

+0x00e QuotaInfoOffset : 0 ‘’ 

+0x00f Flags : 0 ‘’ 

+0x010 ObjectCreateInfo : 0x812ca8e8 _OBJECT_CREATE_INFORMATION 



《PHPer》 

+0x010 QuotaBlockCharged : 0x812ca8e8 

+0x014 SecurityDescriptor : (null) 

+0x018 Body : _QUAD 

当无法轻易地查看安全描述符时 , 我们可以在对象代理执行访问检查时验证它的 

值。在其他一些用户态组件中也暴露了一些不由内核 ( 例如服务控制管理器 [Service 

Control Manager]) 管理的对象 , 这些用户态组件同样使用了它们自己的机制来管理 

安全描述符。 


LAMP 大讲堂 : 

《PHPer》 

LAMP 大讲堂 

Web 服务器 ( 一 ) 

Richard Petersen 

Linux 发布提供多种 Web 服务器。主要的 Web 服务器是 Apache, 该服务器几乎成 

为 Linux 发布的标准 Web 服务器。这个 Web 服务器系统功能非常强大 , 性能比较稳定 , 

配置还算简单。除它之外还可能附带其他 Web 服务器 , 例如 Tux, 这个 Web 服务器体 

积较小 , 在处理不变 Web 数据的时候非常快速和高效。Linux 发布为 Web 服务器提供 

默认的配置 , 从而使得它们一旦安装便可使用。 

Apache 可使用 OpenSSL 方便地支持全部的安全套接层 (Secure Socket Layer) 

特性。也有一些私有的加密产品可用 , 只不过它们要收取许可证费用。无需直接获取 

许可授权 , 只需购买包含 Stronghold 和 Raven(covalent.net) 许可证的商业版 Apache 

即可。以前 ,RSA 技术被限制只能在美国本土使用 , 那个时候它受专利的保护。目前 

RSA 专利已经过期 ,RSA 可用于免费发布的产品 , 如 OpenSSL。 

1 Tux 

Tux,Red Hat 内容加速器 (Red HatContent Accelerator), 是一个静态内容的 Web 

服务器 , 它被设计成可在 Linux 内核中高速运行。实际上 , 它运行在内核空间 , 这使 

得它的响应时间远少于标准用户空间 Web 服务器 , 如 Apache。作为内核空间服务器 , 

Tux 可以非常高效地处理图片等静态内容。与此同时 , 它可以与用户空间的 Web 服务 

器 , 如 Apache, 协同工作 , 提供动态内容 , 例如 CGI 程序。Tux 甚至可利用缓存来 

保存之前生成的动态内容 , 然后像使用静态内容一样使用它。Tux 可与用户空间 Web 

服务器协同工作的能力使得它可以成为主要的 Web 服务器。任何 Tux 不能处理的内 

容交给用户空间 Web 服务器处理。 

注意 Tux 在 GNU 公共许可证下可自由发布 , 许多 Linux 发布包含 Tux。 

Tux 配置文件位于 /proc/sys/net/tux。其中可输入 serverport,max_doc_size,logfile 

等参数 ( 查阅 redhat.com/docs/manuals/tux 上 Tux 参考手册以获取更详细的参数列表 )。 

默认的参数已经存在 ;serverport、clientport, 以及 documentroot 是必须设置的参数。 

serverport 是 Tux 使用的端口 , 如果是主要 Web 服务器 , 则使用 80 端口。clientport 

是与 Tux 协作的用户空间 Web 服务器 ( 如 Apache) 使用的端口。documentroot 用于 

指定 Web 文档的根目录 ( 在 Red Hat 和 Fedora 上是 /var/www/html 目录 )。 

理想情况是 ,Tux 作为主要 Web 服务器运行 ,Apache 作为从属 Web 服务器运行。 

为了配置 Apache 和 Tux 一起运行 ,Apache 配置文件 httpd.conf 中的端口项需要从 80 

改成 8080。 

Port 8080 

有些参数 , 如 DOCROOT, 可作为 Tux 命令的参数来指定。可以在 /etc/sysconfig/tux 

文件中进一步编辑这些参数。 

注意也可以将 Tux 作为 FTP 服务器运行。在 /proc/sys/net/tux 目录下 , 修改配置 

文件的内容 , 把 serverport 修改成 21,application_protocol 修改成 1,nonagle 修改成 0, 

然后重新启动 Tux。 



《PHPer》 

在文档根目录下使用 generatetuxlist 命令可生成 FTP 目录列表。 

2 其他 Web 服务器 

Linux 上其他可用的 Web 服务器包括 Stronghold 企业服务器以及 Apache-SSL 服 

务器。下面给出了 

一个列表 : 

• Apache-SSL(apache-ssl.org) 是一个基于 Apache 和 OpenSSL(openssl.org) 

的加密 Web 服务器。 

• lighttpd(lighttpd.net) 是一个小型的 , 速度非常快的 Web 服务器。 

• Sun Java 系统 Web 服务器 (sun.com) 具有 Java 开发支持和安全特性。 

• Zope 应用服务器 (zope.org) 是一个开源的 Web 服务器 , 具有集成的安全 , 

基于 Web 的管理和 

• 开发 , 数据库接口等特性。由 Zope 公司开发 , 该公司开发了 Python 编程语 

言。 

• Stronghold 企业服务器 (redhat.com/software/stronghold) 是 Apache Web 

服务器的商业版本 , 

• 具有改进的安全和管理工具。 

• Netscape 企业服务器 (enterprise.netscape.com), 作为 Netscape 安全解决 

方案的一部分 , 具有 

• 高性能的开放标准。 

• 也可以使用最初的 NCSA Web 服务器 , 虽然目前已不再开发和支持 

(hoohoo.ncsa.uiuc.edu)。 

3 Apache Web 服务器 

Apache Web 服务器是一个特性齐全 , 免费的 HTTP(Web) 服务器 , 由 Apache 服务 

器项目负责开发和维护。这个项目的目的是提供可靠的 , 高效的 , 以及方便扩展的 Web 

服务器 , 它的源码在自己的 Apache 软件许可证 (Apache Softuare License) 下是免 

费和开放的。这个服务器软件包括服务器守护进程、配置文件、管理工具 , 以及文档。 

Apache 服务器项目由程序员志愿者组成的核心组负责维护 , 由世界各地大量的贡献者 

提供支持。Apache 服务器项目是 Apache 软件基金会 (Apache SoftwareFoundation 

过去叫做 Apache 组 ) 目前支持的几个项目之一。这个非营利组织为各种各样的 Apache 

开源软件项目 , 包括 Apache HTTPD 服务器、Java Apache、Jakarta, 以及 XML-Apache, 

提供财务、法律 , 以及组织的支持。Apache 软件基金会的网站是 apache.org。表 23-1 

列出了 Apache 相关的各种站点。 

Apache 最初是基于伊利诺斯大学厄本那香槟分校 (University of Illinols, 

UrbanaChampaign) 的国家超级计算应用中心 (National Center for Supercomputing 

Applications) 所开发的 NCSA Web 服务器。目前 Apache 凭自己的能力已经发展成独 

立的服务器 , 并成为最受欢迎的 Web 服务器之一。虽然最初是为 Linux 和 UNIX 系统 

开发的 ,Apache 已成为跨平台的应用程序 , 可运行于 Windows 和 OS/2 等操作系统。 

它的站点 httpd.apache.org 提供有关这个 Web 服务器的在线支持和文档。服务器安 

装的时候还会提供基于 HTML 的手册。Apache 配置工具可帮助用户方便地配置 Apache 

服务器。它可运行于任何 X Window 系统窗口管理器上 , 包括 GNOME 和 KDE。另外 , 也 

可以使用 Comanche 配置工具。Webmin conf 也提供对 Apache 的配置支持。 



《PHPer》 

3.1 Java:Apache Jakarta 项目 

Apache Jakarta 项目支持开源 Java 软件的开发 ; 它的网站地址是 jakarta.apache.org。 

目前 ,Jakarta 支持大量的项目 , 包括库、工具、框架、引擎 , 以及服务器应用程序。 

Tomcat 是 Java Servlet 和 JavaServer Pages 规范的开源实现。Tomcat 设计用于 Apache 

服务器。JMeter 是一个 Java 开发工具 , 用于测试服务器资源 , 例如 servlet 和 CGI 脚 

本的性能。Velocity 是模板引擎 , 它提供对 Java 对象的简单访问。Watchdog 是一个用 

于检测 servlet 容器兼容性的工具。Structs,Cactus, 以及 Tapestry 都是已建立的 Java 

框架 , 用于开发 Java Web 应用程序。 

表 1 Apache 相关的网站 

3.2 安装 Linux Apache 

在初始安装 Linux 系统的时候 ,Linux 发布通常会允许你选择是否安装 Apache Web 

服务器。所有必须的目录和配置文件将自动生成。这样 , 每当运行 Linux 的时候 , 系 

统就已经是一个功能完整的网站。每次启动系统 ,Web 服务器也会自动启动 , 并持续 

运行。在大多数 Linux 发布中 , 用于存放网站数据文件的目录是 /var/www/html。可 

以将网页放置到这个目录 , 或者放置到其中的任何子目录。你的系统已经被配置成 Web 

服务器运行。所需要做的是执行必需的网络服务器配置 , 接着指定开发给远端用户的 

文件和目录。无需做其他的事情。一旦网站连接到网络 , 远端用户就可以访问它。 

Web 服务器通常会在 /var/www 目录中建立网站。它还会建立几个目录用于管理这 

个站点。/var/www/cgi-bin 目录用于存放 CGI 脚本 ,/var/www/html/manual 用于存 

放 HTML 格式的 Apache 手册。可以使用浏览器来查看它。网站被放置在 /var/www/html 

目录下。把网站主页放在这里。配置文件放置在另一个目录 /etc/httpd/conf。表 2 

列出 Apache 服务器使用的不同目录和配置文件。 

表 2 Apache Web 服务器的文件和目录 (RPM 安装 ) 



《PHPer》 

3.3 Apache 多处理模块 :MPM 

Apache 目前采用具有多处理模块 (MPM, multiprocessing modules) 的新的体系 

结构 , 这种结构设计用于为不同的操作系统定制 Apache, 以及处理某些多进程操作。 

就主要的 MPM 而言 ,Linux 系统使用 prefork 或者 worker MPM, 而 Windows 使用 

mpm_winnt MPM。prefork 是标准的 MPM 模块 , 被设计成与较老的 UNIX 和 Linux 系统 

兼容 , 特别是与那些不支持线程的系统兼容。可以在 Apache 配置文件 /etc/httpd/ 

conf/httpd.conf 中为这两种模式配置工作负荷。 

许多曾经驻留在 Apache 核心的指示符现在被放置到各个模块和 MPM 中。采用这种 

模块化的设计 , 有些指示符已经被删除 , 例如 ServerType。这些模块的配置文件位于 

/etc/httpd/conf.d 目录中。 

3.4 启动和停止 Web 服务器 

在大多数系统中 ,Apache 作为独立运行的服务器安装 , 然后持续地运行。在初始 

化脚本中 , 系统会自动启动这个 Web 服务器守护进程 , 每当系统启动时调用它。 

在 Red Hat、Fedora、SUSE, 以及类似的 Linux 发布中 , 可以使用 chkconfig 命 

令设置这个 httpd 服务器在哪个运行级别启动 , 并在适当的运行级别目录创建链接。 

下面的命令会设置 Web 服务器 (httpd) 在运行级别 3 和 5 启动。 

chkconfig --level 35 httpd on 

在 Debian、Ubuntu, 以及类似的 Linux 发布中 , 可以使用 rrconf 或 sysv-rc-conf 

工具来完成类似的设置。在使用 GNOME 的 Linux 发布中 , 可以使用 services-admin 

工具。 

注意这个 Web 服务器的服务脚本 httpd( 在 Debian 中被称作 apache2) 位于 

/etc/rc.d/init.d 目录中。可以使用 service 命令手动地启动和停止 httpd 服务器 : 

service httpd start。 

Apache 还提供名为 apachectl(Apache 控制 ) 的控制工具用于管理 Web 服务器。 

使用 apachectl, 可以从命令行启动、关闭 , 以及重启动服务器。apachectl 命令接 

收几个参数 :start( 用于启动服务器 )、stop( 用于关闭服务器 )、restart( 用于关 

闭并重新启动服务器 )、graceful( 用于关闭并优雅地重新启动服务器 )。另外 , 可以 

使用 apachectl 命令带上 config 参数检查配置文件的语法。也可以将 apachectl 作 

为服务器在 /etc/rc.d 目录中的系统服务文件使用。 

可以直接使用守护进程的完整路径名来调用它。这个守护进程有若个选项。-d 选 

项为 httpd 程序指定与默认目录不同的目录。-f 选项用于指定与 httpd.conf 不同的 

配置文件。-v 选项显示版本信息。 

/usr/sbin/httpd -v 

若要检查 Web 服务器 , 可启动 Web 浏览器 , 输入系统的因特网域名地址。对于 

域名为 trutle.mytrek.com 的系统 , 用户需输入 http://turtle.mytrek.com。这样将 

会显示放置在 Web 根目录的主页。最简单的实现方法是使用 Lynx, 这是一个命令行的 

Web 浏览器。启动 Lynx, 并敲入 g 会打开一个行供用户输入的系统 URL。Lynx 会显示 

该网站的主页。务必确保首先要把 index.html 文件放到 /var/www/html 目录下。 

一旦服务运行起来 , 可以使用 ab 基准测试工具测试它的性能 , 这个工具也是由 

Apache 提供 :ab 工具能够显示服务器一次能够处理多少个请求。它有多个选项 :-v 

控制详细显示的级别 ;-n 指定处理请求数量 ( 默认是 1); -t 指定时间限制。 

注意目前不支持在 xinetd 下运行 Apache。在 Apache 2 中 , 为实现这种支持 , 



《PHPer》 

通常选择被设计用于在 xinetd 的 MPM 模式。 

4 Apache 配置文件 

配置指示符存在于 httpd.conf 配置文件中。被整理过的 httpd.conf 文件自动安 

装在 /etc/httpd/conf 目录下。强烈建议你查阅自己系统中的这个文件。它包含 Apache 

各种指示符的详细描述和默认的配置项。 

主配置文件中的任何指示符可以在单个目录的基础上被该目录中的 .htaccess 文 

件覆盖。虽然最初仅是设计用于访问指示符 ,.htaccess 文件也可以保存任何的资源 

指示符 , 从而使得用户可以定制特定目录中网页的显示方式。在 httpd.conf 文件中 

可配置对 .htaccess 文件的访问。 

另外 ,Apache 的许多模块都有自己的配置文件。它们被放置在 /etc/httpd/conf.d 

目录中。 


Richard Petersen 是著名的 Linux 专家 , 也是一位 Linux/Unix 教育专家 , 所出版的 

很多专著都非常畅销 ,《Linux 完全参考手册 ( 原书第 6 版 )》是他的代表作 , 目前最 

新版本是第 6 版。 


职场人生 : 

《PHPer》 

职场人生 

1 

大学生求职七大昏招 —— 说谎 ( 四 ) 

张大志 

故事四 : 该诚实的时候必须诚实 

应聘编辑的应届生黄宇来新潮公司是第三次 , 之前部门的负责人对黄宇的能力和 

潜力给予很高的评价 , 按惯例如果薪水能谈拢 , 那就可以确定入职了。 

高方玄 :“ 由于你面试中已充分展示了自己自己的能力 , 我们相信你能比较好的 

胜任公司的工作 , 所以 , 公司给你定的薪水高于其它应届毕业生。试用 2000 元 , 转 

正后 2500 元。你认为可以吗 ?” 

黄宇 :“ 好的 , 谢谢 , 我想回去再考虑一下。” 

高方玄送走黄宇的 5 分钟之后电话响起。 

黄宇 :“ 高经理 , 我是黄宇。” 

高方玄 :“ 哦。” 

黄宇 :“ 感谢公司对我的认可和给出的薪水。” 

高方玄有种不好的预感 , 通常这么开头的电话最后都是候选人因薪水或其它什么 

原因拒绝公司的机会。 

高方玄 :“ 嗯 , 然后呢 ?” 

黄宇 :“ 在接受工作机会之前 , 有件事我想说明一下。我虽然今年毕业 , 但没有 

拿到学位证书。” 

“ 原因呢 ?” 高方玄心里一块石头总算落了地。这个问题对于快速发展中的公司来 

说虽然重要 , 但其实领导还是更看重工作实力、以及对工作的热情 , 其它的都可以 

根据实际情况再商榷。 

黄宇 :“ 有一门课没有通过 , 通知补考时 , 我在北京实习 , 知道消息的时候已经 

是要考试的头一天晚上了 , 来不及回去了 , 所以 ……” 

高方玄 :“ 哦。” 

黄宇 :“ 因为之前我对自己能否成功应聘没把握 , 不希望因为这个影响到公司对 

我的评价。同时 , 我希望在进入公司之前 , 公司能了解我的真实情况。至于您刚才 

提出的薪水 , 我完全可以接受。” 

高方玄 :“ 好的。我会与部门沟通一下 , 尽快通知你结果。” 

…… 

部门经理听到这个消息后 , 只考虑了两分钟 , 立即同意黄玄入职。他给出的理由 

很简单 :“ 这位同学能力胜任 , 而且诚实 , 谈到这个问题的时间拿捏准确 , 说明性 

格比较成熟 , 我很看好他。” 

两天后 , 黄宇顺利入职 , 现在工作得非常开心 , 已经成为部门骨干。 

技巧 —— 如何诚实的描述自己的 “ 问题 ” 

应该说 , 是黄宇的真诚和智慧为自己赢得了这次工作机会。 

首先 , 黄宇没有选择说谎或者更拙劣的办法去掩盖自己的这个问题。虽然即将从 


职场人生 : 

《PHPer》 

事的工作黄宇非常喜欢 , 也有相对高的待遇 , 应该说机会很难得。但黄宇没有选择 

去办个假证 , 实在是明智之举。我们曾经见过一些候选人因为不能提供相应的资料 

而在面试中落马 , 也曾经见过提供了虚假资料被公司发现后开除的员工。 

其次 , 黄宇还把握了正确的时机 , 在得到公司对自己的认可后说出了自己没拿到 

毕业证的事实。这个时候 , 通过人力资源部的两次面试和业务部门的面试 , 公司招 

聘方对黄宇的工作能力有了一定的认识和了解 , 也向他申出了 “ 橄榄枝 ”, 毕业证 

做为一个细节影响不会太大 , 而且 , 不对公司隐瞒自己的真实情况让他更被信任。 

每个面试者 , 在描述自己或多或少存在的问题时 , 都应该秉承一个原则 ——“ 诚实 

而不鲁莽 , 坦率而有策略。” 说谎固然是要不得的 , 但毫无技巧的直接把自己存在 

的问题讲出来 , 也不见的是件好事情。试想一下 , 如果一开始黄宇就告诉新潮公司 

, 他是一个没有拿到学位证书的应届毕业生 , 部门经理对他的评价还会是这样吗 ? 


真名 : 张大志 

网名 :LEO(jobchanceleo) 

CSDN 十大明星博主 ,2009CSDN MVB,ITCAST 特约讲师、IT168 特邀职业发展顾问 , 

主持 “IBM 软件技术精英职业规划讲堂 ”, 主持 “CD2.0 大会职业规划论坛 - 后金融风 

暴时代的软件人员素质要求 ”, 为 Zed-3、CSDN 等知名国内外企业提供咨询和培训 , 

内容包括 :HR 战略管理、员工招聘与培训 , 职业生涯管理等。 


LAMP 新书 

《PHPer》 

LAMP 新书 

《Linux 服务器安全策略详解》 

出版社 : 电子工业出版社 

作者 : 曹江华 

出版日期 :2009 年 6 月 

图书介绍 : 

“Linux 就是服务器 , 或者换句话说 , 是服 

务器成就了 Linux。” 相信读者对于这样的判断 

肯定会有不同意见。这里不是以偏概全 , 只为 

强调 Linux 与服务器与生俱来的天然联系。实际 

上 , 对于 Linux 厂商而言 , 约 90% 以上的收入都 

来自服务器应用市场。Linux 主要用于架设网络 

服务器。如今关于服务器和网站被黑客攻击的 

报告几乎每天都可以见到 , 而且随着网络应用 

的丰富多样 , 攻击的形式和方法也千变万化。 

如何增强 Linux 服务器的安全性是 Linux 系统管 

理员最关心的问题之一。 

本书共 28 章和 1 个附录。概括而言 , 实质 

是五部分内容 : 第一部分分级介绍对 Linux 服务器的攻击情况 , 以及 Linux 网络基础 ; 

第二部分是本书的核心 , 针对不同的 Linux 服务器分别介绍各自的安全策略 ; 第三部 

分介绍 Linux 服务器的安全工具 ; 第四部分是 Linux 下开源数据库安全以及 Linux 下 

新闻组服务器构建、网络钓鱼的防范、Linux 无线网络构建及其安全策略、使用 Linux 

安全审计以及使用 Selinux 保护 Linux 服务器的方法 ; 第五部分是 1 个附录 , 介绍 Linux 

服务器应急响应流程与步骤。 

本书适合作为大专院校计算机专业师生的教材或教学参考书 , 也适合于 Linux 网 

络管理员和系统管理员 , 以及对安全方面感兴趣的读者。 


LAMP 新书 

《PHPer》 

出版社 : 人民邮电出版社 

原书名 :The Standard C Library 

原出版社 :Prentice Hall PTR 

作者 :( 美 )P.J.Plauger 

译者 : 卢红星徐明亮霍建同 

出版日期 :2009 年 7 月 

《C 标准库》 


本书将告诉你如何使用符合 C 

语言的 ANSI/ISO 

标准的库函数。因为已经有很多书出色地讲解了 

C 

语言本身 , 所以本书只专注于 “ 库 ” 这个话题。本 

书还会告诉你 C 标准库是如何实现的。本书提供了大约 9 000 

行测试过的可实际工作的代码。我相信 , 看了 C 

标准库的实现细节后你能更好地理解如何使用它。 

库函数的实现代码尽可能地使用标准 C , 这样做有 3 

个设计目的 : 首先 , 它使代码具有可读性和示范性 ; 其次 , 它使代码在各种计算机 

体系结构间具有高度可移植性 ; 最后 , 它能使编写的代码兼顾正确性、性能和规模 

各方面。 

教你如何编写 C 程序并不是本书的目的。本书假定你能读懂简单的 C 

程序 , 对于那些稍有难度的代码 , 我会向你解释其中的难点和技巧。 


LAMP 新书 

《PHPer》 

出版社 : 人民邮电出版社 

原书名 :The Standard C Library 

原出版社 :Prentice Hall PTR 

作者 :( 美 )P.J.Plauger 

译者 : 卢红星徐明亮霍建同 

出版日期 :2009 年 7 月 

《Python 开发技术详解》 


本书将告诉你如何使用符合 C 

语言的 ANSI/ISO 

标准的库函数。因为已经有很多书出色地讲解了 

C 

语言本身 , 所以本书只专注于 “ 库 ” 这个话题。本 

书还会告诉你 C 

标准库是如何实现的。本书提供了大约 9 000 

行测试过的可实际工作的代码。我相信 , 看了 C 

标准库的实现细节后你能更好地理解如何使用它。 

库函数的实现代码尽可能地使用标准 C , 这样做有 3 

个设计目的 : 首先 , 它使代码具有可读性和示范性 ; 其次 , 它使代码在各种计算机 

体系结构间具有高度可移植性 ; 最后 , 它能使编写的代码兼顾正确性、性能和规模 

各方面。 

教你如何编写 C 程序并不是本书的目的。本书假定你能读懂简单的 C 

程序 , 对于那些稍有难度的代码 , 我会向你解释其中的难点和技巧。 


封底 

代码片段

å°é¢

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

å°é¢