PHP基本语法 —条件、循环、函数 杨亮 程序的基本结构 输⼊入 输出 程序 运算（+ - x / & | ! …） 逻辑（条件、循环、递归） 辅助（变量、数组、函数） ⼩小测验 ⽤用你熟悉的程序找出 1~1000中的所有质数 我们直接看代码好了 1 函数库，或者代码⽚片段 1 '; 4 ?> 1 函数 • 代码的可读性 • 代码的可重⽤用性 • 实现功能的模块化 • 实现递归调⽤用 • 使变量名不⾄至于太⻓长（作⽤用域） PHP中的函数 $res = my_function($val1, $val2); functon my_function($param1

实体进行双重编码。这并不是底层 htmlspecialchars 函数的默认行为，而且会在渲染内容或传递内 联 JSON 内容到 JavaScript 框架时导致预期之外的结果。 在 Laravel 5.6 中，Blade 以及辅助函数 e 默认会对特殊字符进行双重编码，从而与 PHP 底层 htmlspecialchars 函数的默认行为保持一致。如果 你想要维持不进行双重编码的旧状，可以使用 作为默认驱动。不过，也支持 argon。 辅助函数 e 在之前版本的 Laravel 中，Blade （以及辅助函数 e）不会对 HTML 实体进行双重编码。这并不是底层 htmlspecialchars 函数的默认行为，而且会 在渲染内容或传递内联 JSON 内容到 JavaScript 框架时导致预期之外的结果。 在 Laravel 5.6 中，Blade 以及辅助函数 e 默认会对特殊字符进行双重编码，从而与 默认会对特殊字符进行双重编码，从而与 PHP 底层 htmlspecialchars 函数的默认行为保持一致。如果 你想要维持不进行双重编码的旧状，可以传递 false 作为第二个参数到 e 函数： 日志 新配置文件 所有的日志配置现在都存放在独立的 config/logging.php 配置文件。你可以拷贝一份默认的配置文件到你的应用然后基于应用需要进行设置。

composer require laravel/ui php artisan ui vue --auth 升级指南 重要更新概览 影响较大  授权资源 & viewAny  字符串 & 数组辅助函数 影响中等  认证 RegisterController  不再支持 Carbon 1.x  数据库 Capsule::table 方法  Eloquent 数组化 & toArray Illuminate\Contracts\Support\Arrayable 接口的属性转化 为数组。 主键类型声明 影响级别：中等 Laravel 6.0 对整型键类型进行了性能优化，如果你使用了字符串作 为模型的主键，需要使用模型类的 $keyType 属性声明主键类型： /** * The "type" of the primary key ID. * 本文档由学院君提供 学院君致力于提供优质 fyEmail Trait，可以忽略此更新， 因为该 Trait 内部已经帮我们实现好了。 辅助函数 字符串 & 数组辅助函数包 影响级别：高 所有的 str_ 和 array_ 辅助函数都被迁移到新 的 laravel/helpers Composer 扩展包，如果你使用了这些辅助函数， 需要更新所有调用为使 用 Illuminate\Support\Str 和 Illuminate\Support\Arr

AuthenticatesAndRegistersUsers 的 AuthController，则需 要对新用户的验证和创建做一些代码改动： 首先，你不再需要传递 Guard 和 Register 实例到构造函数，你可以从控制器的构造器中完 全移除这些以依赖。 本文档由 Laravel 学院（LaravelAcademy.org）提供 5 然后，Laravel 5.0 中使用的 App\Services\Registrar 中，这两个方法中的代码不需要 做任何改动。不要忘记确认 Validator 和 User 在 AuthController 中是否已经被导入。 PasswordController 不再需要在构造函数中声明任何依赖，可以移除 5.0 中要求的两个依 赖。 验证 如果你重写了 Controller 类中的 formatValidationErrors 方法，需要将类型提示由 Illumi query builder 的 pluck 方法被废弃并重命名为 value.  Collection 的 fetch 方法被废弃，使用 pluck 方法.  array_fetch 帮助函数被废弃， 使用 array_pluck 贡献代码 缺陷报告 为了鼓励促进更加有效积极的合作，Laravel 强烈鼓励使用 GitHub 的 pull requests，而不是 仅仅报告缺

'production'), 缓存和环境 如果你在开发过程中使用 config:cache 命令，必须保证只是在配置文件中调用了 env 函 数，而不是在应用程序的其它地方。 如果你在应用程序中调用了 env 函数，强烈建议添加适当的配置值到配置文件，然后在该 位置调用 env，从而允许你将 env 调用改为 config 调用。 CSRF 验证 在单元测试中不再支持自动进行 CSRF 验证，当然这一改变对你的应用程序代码没什么 转化成完整 URL。 Eloquent 日期转化 当调用模型或模型集合的 toArray 方法时，任何添加到 $casts 的属性， 如 date 或 datetime，现在都会被转化为字符串。这使得在 $dates 数组中制定的日期转化 变得简单方便。 全局作用域 我们重写了全局作用域的实现以便于使用，全局作用域不再需要 remove 方法，因此可以在 所有你使用到该方法的地方将其移除。 虚拟机做为开发环境，这些权限已经设置好了。 应用 Key 接下来要做的事情就是将应用的 key（APP_KEY）设置为一个随机字符串，如果你是通过 Composer 或者 Laravel 安装器安装的话，该 key 的值已经通过 key:generate 命令生成 好了。通常，该字符串应该是 32 位长，通过 .env 文件中的 APP_KEY 进行配置，如果 你还没有将 .env.example 文件重命名为

...................................................................................... 626 15.2 辅助函数 .................................................................................................. Laravel Scout 实现全文模型搜索；在 Laravel Elixir 中支持 Webpack；“可邮寄”的对象；明确分离 web 和 api 路由；基于闭包的控制台命令；存储上传文件的辅助函数；支持 POPO 和单动作控制 器；以及优化前端脚手架；等等等等。 通知（Notifications） 注：Laracasts 上有关于此特性的免费视频教程。 Laravel Notifications Laravel 之前版本中，$key 是第一个参数，但是由于大多数使用案例只对$value 感兴趣，所以 我们将其放到第一个。你可以在应用中进行一次全局搜索以验证是否你在应用中通过旧的方式使 用了这个函数。 Artisan make:console 命令 make:console 命令现在被重命名为 make:command。 认证 认证脚手架 Laravel 框架提供的默认

p h p 4 h t t p s : / / g e t c o m p o s e r . o r g / 輱 輮 輲 輮 从 轙 轉 轉 輱 輮 輱 升级 輳 • 命名空间5 • 匿名函数6 • 数组短语法 [ . . . 元素. . . ] 用于取代 a r r a y ( . . . 元素. . . ) • 视图文件中的短格式 轥 轣 轨 软 标签 < ? = ，自 轐 轈 轐 r e a t e C o m m e n t 。 上述代码中的操作方法接受一个参数 $ m e s s a g e ， 它的默认值是 “ H e l l o ” （就 像你设置 轐 轈 轐 中其它函数或方法的默认值一样）。 当应用接收到请求并 确定由 s a y 操作来响应请求时，应用将从请求的参数中寻找对应值传入进 来。 换句话说，如果请求包含一个 m e s s a g e 参数， 它的值是 加入到轢 软 软 轴 轳 轴 轲 轡 轰 数组中。 属性中的每个组件需要指定以下一项輺 • 应用 组件 轉 轄 輮 • 模块 轉 轄 輮 • 类名輮 • 配置数组輮 • 创建并返回一个组件的无名称函数輮 例如： [ ' b o o t s t r a p ' = > [ / / 应用组件I D 或模块I D ' d e m o ' , / / 类名 ' a p p \ c o m p

n SQL注入的产生 q 动态字符串构建 n 不正确的处理转义字符 n 不正确的处理类型 n 不正确的处理联合查询 n 不正确的处理错误 n 不正确的处理多次提交 q 不安全的数据库配置 n 默认预先安装的用户 n 以root、SYSTEM 或者Administrator权限系统用户来运行 n 默认允许很多系统函数（如xp_cmdshell, OPENROWSET 脚本，达到对网站进行攻击的目的。 q PHP常见的包含文件的函数有include()、require()和 inclladeonce()、reqmreonce()等 n 所有的cgi程序都可能受到这样的攻击 34 原理 n Web应用程序引入来自外部（远程）的恶意文件或者 将未经确认的输入字符串联成文件或流函数并执行其 内容造成的漏洞。 n 假设PHP程序包含： q $report 操作系统命令注入攻击 39 概述 n OS command injection，操作系统命令注入 q 利用WEB应用对用户输入验证设计上的疏失，或者说验证的 不严格，在HTML代码中，使用一些函数调用操作系统命令， 对系统进行操作，造成入侵行为 q 执行文件操作、系统命令操作、执行系统程序等 n cmd.exe?format+c:/ n Exec n System() 40

html（可配置） 'url_html_suffix' => '.html' 框架封装了 \Cml\Http\Response::url(); 及模板标签 {{url }} 方法来生成url，通过使用U函数生成的url会随着url模式的切换 而自动改变，保证项目运行不受环境影响 伪表态配置参考 部署章节 路由 框架自带的路由组件，支持按url映射到文件的方式来执行相应的控制 器，也支持定义路由路由配置。v2 'id2' => 'name2'...] 组块结果集 v2.7.3+可用 如果你需要处理成千上百条数据库记录，可以使用chunk方法，该方 法一次获取结果集的一小块，然后传递每一小块数据到闭包函数进行 处理。 $this->db()->table('user') ->whereGt('id', 10) ->chunk(100, function($users) { // 处理结果集... } }); //以100条数据为单位分批处理。假设共有1w条数据。则上面的匿名函 数会被调用100次 你可以通过从闭包函数中返回false来终止组块的运行： $this->db()->table('user') ->whereGt('id', 10) ->chunk(100, function($users)