有一些关于web开发(PHP和MySQL)的问题

Question

我做了一些web编程(使用PHP和MySQL)，但规模没有太大。我一直在考虑如何创建一个社交网站，我遇到了一些问题。

• 如何在MySQL中安全可靠地存储密码？你会使用什么样的加密？
• 如果允许用户上传图片，那么最好将图片存储在数据库中，还是直接上传到服务器？
• 您会推荐我阅读和学习什么开源web应用程序(比如WordPress) (最好是一些简单但写得很好的东西)？

任何在课堂上教授或写在书中的东西，似乎都不能很好地转化成真正的生产代码。它们看起来只是非常基本的例子。

谢谢!

Answer 1

关于密码存储:为了安全起见，使用单向盐析散列。这是一篇关于为什么。

Answer 2

1. 存储咸味哈希。我个人会离开md5，转而使用类似sha的东西。sha1 + salt会坚持一段时间=]
2. 如果在db中将图像存储为blobs，那么将来备份它们(沿w/ db，获取它们等)可能会更容易。但实际上，它们在文件系统上也会非常快，但我更喜欢它们在数据库中，因为我有很多代码，它们与数据库的接口是w/ db，我很乐意在这个领域工作。那随你的便。
3. 我不确定wordpress会不会帮助你建立一个社交网络site...but --阅读别人的代码仍然是件好事。我想看看一些关于亚马逊的建筑书籍，只是为了让你的头脑大范围思考。此外，看看一些设计模式的书籍。

我还会研究一些类似或CakePHP的东西。蛋糕可能会让你运行得更快，但我更喜欢Zend，因为它非常强大，不会强迫你编写特定的样式。CakePHP有点像PHP。

您还希望在服务器端和客户端都能在安全方面表现良好，查看诸如会话劫持、sql注入、xss、蛮力尝试、远程包含、上传的文件漏洞等内容。

社交网站为破解者提供了许多攻击媒介。

资源：

• 1
• 3?ie=UTF8&s=books&qid=1265662237&sr=1-3ie=UTF8&s=books&qid=1265662204&sr=8-1
• 1?ie=UTF8 8&s=book&qid=1265662256&sr=1-1
• 以及本地PHP邮件列表/ meetup。

Answer 3

对于图像存储，我总是将它们存储在硬盘上，但是使用非常硬的映像验证脚本来确保图像不包含恶意代码。我还习惯于应用URL重写，这样用户就无法找到图像的真正路径。

你难道没有一种将图像存储到数据库中的奇怪感觉吗？mysql数据库可以非常快地增长，您将始终需要一个PHP脚本来显示图像，这意味着它会使您的服务器变得更慢。

至于密码存储，请使用盐渍作为其他答复。

最后，对于文档，我非常喜欢看到Wordpress是如何构造的。我花了几个小时看它的源代码和阅读它的文件。这只是一个非常好的例子，如何组织任何网站。