php促銷規則設計的簡單介紹

本文目錄一覽：

• 1、求解怎麼做？PHP代碼計算商品打折後的價格。求代碼
• 2、PHP如何實現電子商城優惠卷?
• 3、如何在php中生成唯一的促銷/優惠碼
• 4、php有什麼安全規則，有哪些？
• 5、php 支付 使用 促銷劵 自動刷新價格

求解怎麼做？PHP代碼計算商品打折後的價格。求代碼

完全依照圖片效果，代碼如下：

1、html 文件

html

head

title計算商品折扣價格/title

/head

body

form id=”form1″ name=”form1″ method=”post” action=”calc.php”

  table width=”314″ border=”1″

    tr

      td width=”92″商品名稱：/td

      td width=”206″label for=”textfield”/label

      input type=”text” name=”spmc” id=”spmc” //td

    /tr

    tr

      td商品單價：/td

      tdinput type=”text” name=”spdj” id=”spdj” / 元 /td

    /tr

    tr

      td促銷折扣：/td

      tdinput type=”text” name=”cxzk” id=”cxzk” / % /td

    /tr

    tr align=”center”

      td colspan=”2″input type=”submit” name=”button” id=”button” value=”計算折扣價格” //td

    /tr

  /table

/form

/body

/html

2、calc.php 文件

?php

  $spmc = $_POST[‘spmc’];

  $spdj = $_POST[‘spdj’];

  $cxzk = $_POST[‘cxzk’];

  $zkjg = $spdj * $cxzk/100;

  echo ‘商品名稱：’. $spmc .’br’;

  echo ‘商品單價：’. $spdj .’元br’;

  echo ‘促銷折扣：’. $cxzk .’%br’;

  echo ‘折後價格：’. $zkjg .’元br’;

?

效果圖：

示例文件下載：

PHP如何實現電子商城優惠卷?

PHP生成唯一的促銷/優惠/折扣碼(附源碼)

每一個電子商務網站，現在有一種或多種類型的優惠/折扣/優惠券系統，給大家分享一下如何在PHP生成唯一的促銷/折扣碼。主要是實現一個優惠碼系統，可用於跟蹤用戶來自某些特定的來源，例如有些主機促銷的時候鏈接到別的頁面會有優惠碼生成，還有更多的促銷代碼等。因此，今天將討論這樣一個優惠碼的實現過程

考慮的需求

代碼應該很容易記住，因此保持短的長度是一個好主意，使用戶可以很容易地記住它

沒有特殊字符！它應該是字母數字組合，因為它會永遠是為用戶更容易記住

長度推廣/折扣代碼的正確。沒有一個標準的長度，因為它取決於你想生成的長度，例如，如果你想生成1000代碼的代碼，那麼你需要在至少4個字符代碼。促銷/優惠碼長度通常為4到8個字符，但它取決於您的要求。

代碼如下:

?php

/**

* @param int

$no_of_codes//定義一個int類型的參數 用來確定生成多少個優惠碼

* @param array

$exclude_codes_array//定義一個exclude_codes_array類型的數組

* @param int $code_length

//定義一個code_length的參數來確定優惠碼的長度

* @return array//返回數組

*/

function

generate_promotion_code($no_of_codes,$exclude_codes_array=”,$code_length = 4)

{

$characters = “0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ”;

$promotion_codes = array();//這個數組用來接收生成的優惠碼

for($j = 0 ; $j

$no_of_codes; $j++)

{

$code = “”;

for ($i = 0; $i $code_length;

$i++)

{

$code .= $characters[mt_rand(0, strlen($characters)-1)];

}

//如果生成的4位隨機數不再我們定義的$promotion_codes函數裏面

if(!in_array($code,$promotion_codes))

{

if(is_array($exclude_codes_array))//

{

if(!in_array($code,$exclude_codes_array))//排除已經使用的優惠碼

{

$promotion_codes[$j] = $code;將生成的新優惠碼賦值給promotion_codes數組

}

else

{

$j–;

}

}

else

{

$promotion_codes[$j] =

$code;//將優惠碼賦值給數組

}

}

else

{

$j–;

}

}

return

$promotion_codes;

}

echo ‘h1Promotion / Discount

Codes/h1′;

echo ‘pre’;

print_r(generate_promotion_code(50,”,4));

echo ‘/pre’;

?

該代碼由三個參數組成，

第一個參數是你要生成優惠碼的個數（在這裡是生成50個）。第二個參數exclude

array，確保在當前列表中的生成唯一優惠碼，所以如果你已經數據庫中有一些未使用的代碼，你可以把它傳遞給exclude。最後一個參數是優惠碼的的長度。這個函數將返回規定長度的優惠碼

這裡是4位的優惠碼。

這裡我已經使用數字和大寫字母組合，賦值給$characters的字符串，你可以使用小寫字母或任何其他的字母組合試用。此功能的作用是生成唯一的優惠碼。這個是PHP版本的。

如何在php中生成唯一的促銷/優惠碼

獲得折扣和優惠最便捷的方式是註冊 Nike+ 會員， Nike+ 會員有時會收到促銷電子郵件，其中包含產品或運費折扣的促銷碼。成為Nike+ 會員之後，還能訪問訂單狀態和歷史記錄，享受送貨、快捷結算等特權。

在 Nike中國官網的折扣專區和Nike工廠店也可以找到折扣商品。

希望可以幫助到你！

php有什麼安全規則，有哪些？

php安全篇值過濾用戶輸入的人蔘數

規則 1：絕不要信任外部數據或輸入

關於Web應用程序安全性，必須認識到的第一件事是不應該信任外部數據。外部數據(outside data) 包括不是由程序員在PHP代碼中直接輸入的任何數據。在採取措施確保安全之前，來自任何其他來源(比如 GET 變量、表單 POST、數據庫、配置文件、會話變量或 cookie)的任何數據都是不可信任的。

例如，下面的數據元素可以被認為是安全的，因為它們是在PHP中設置的。

複製代碼 代碼如下:

?php

$myUsername = ‘tmyer’;

$arrayUsers = array(‘tmyer’, ‘tom’, ‘tommy’);define(」GREETING」, ‘hello there’ . $myUsername);?

但是，下面的數據元素都是有瑕疵的。

清單 2. 不安全、有瑕疵的代碼

複製代碼 代碼如下:

?php

$myUsername = $_POST[‘username’]; //tainted!

$arrayUsers = array($myUsername, ‘tom’, ‘tommy’); //tainted!

define(」GREETING」, ‘hello there’ . $myUsername); //tainted!

?

為 什麼第一個變量 $myUsername 是有瑕疵的？因為它直接來自表單 POST。用戶可以在這個輸入域中輸入任何字符串，包括用來清除文件或運行以前上傳的文件的惡意命令。您可能會問，「難道不能使用只接受字母 A-Z 的客戶端（Javascrīpt）表單檢驗腳本來避免這種危險嗎？」是的，這總是一個有好處的步驟，但是正如在後面會看到的，任何人都可以將任何錶單下載 到自己的機器上，修改它，然後重新提交他們需要的任何內容。

解決方案很簡單：必須對 $_POST[‘username’] 運行清理代碼。如果不這麼做，那麼在使用 $myUsername 的任何其他時候（比如在數組或常量中），就可能污染這些對象。

對用戶輸入進行清理的一個簡單方法是，使用正則表達式來處理它。在這個示例中，只希望接受字母。將字符串限制為特定數量的字符，或者要求所有字母都是小寫的，這可能也是個好主意。

清單 3. 使用戶輸入變得安全

複製代碼 代碼如下:

?php

$myUsername = cleanInput($_POST[‘username’]); //clean!

$arrayUsers = array($myUsername, ‘tom’, ‘tommy’); //clean!

define(」GREETING」, ‘hello there’ . $myUsername); //clean!

function cleanInput($input){

$clean = strtolower($input);

$clean = preg_replace(」/[^a-z]/」, 「」, $clean);$clean = substr($clean,0,12);

return $clean;

}

?

規則 2：禁用那些使安全性難以實施的 PHP 設置已經知道了不能信任用戶輸入，還應該知道不應該信任機器上配置 PHP 的方式。例如，要確保禁用 register_globals。如果啟用了 register_globals，就可能做一些粗心的事情，比如使用 $variable 替換同名的 GET 或 POST 字符串。通過禁用這個設置，PHP 強迫您在正確的名稱空間中引用正確的變量。要使用來自表單 POST 的變量，應該引用 $_POST[‘variable’]。這樣就不會將這個特定變量誤會成 cookie、會話或 GET 變量。

規則 3：如果不能理解它，就不能保護它

一些開發人員使用奇怪的語法，或者將語句組織得很緊湊，形成簡短但是含義模糊的代碼。這種方式可能效率高，但是如果您不理解代碼正在做什麼，那麼就無法決定如何保護它。

例如，您喜歡下面兩段代碼中的哪一段？

清單 4. 使代碼容易得到保護

複製代碼 代碼如下:

?php

//obfuscated code

$input = (isset($_POST[‘username’]) ? $_POST[‘username’]:」);//unobfuscated code

$input = 」;

if (isset($_POST[‘username’])){

$input = $_POST[‘username’];

}else{

$input = 」;

}

?

在第二個比較清晰的代碼段中，很容易看出 $input 是有瑕疵的，需要進行清理，然後才能安全地處理。

規則 4：「縱深防禦」 是新的法寶

本教程將用示例來說明如何保護在線表單，同時在處理表單的 PHP 代碼中採用必要的措施。同樣，即使使用 PHP regex 來確保 GET 變量完全是數字的，仍然可以採取措施確保 SQL 查詢使用轉義的用戶輸入。

縱深防禦不只是一種好思想，它可以確保您不會陷入嚴重的麻煩。

既然已經討論了基本規則，現在就來研究第一種威脅：SQL 注入攻擊。

防止 SQL 注入攻擊

在 SQL 注入攻擊 中，用戶通過操縱表單或 GET 查詢字符串，將信息添加到數據庫查詢中。例如，假設有一個簡單的登錄數據庫。這個數據庫中的每個記錄都有一個用戶名字段和一個密碼字段。構建一個登錄表單，讓用戶能夠登錄。

清單 5. 簡單的登錄表單

複製代碼 代碼如下:

html

head

titleLogin/title

/head

body

form action=」verify.php」 method=」post」

plabel for=’user’Username/label

input type=’text’ name=’user’ id=’user’/

/p

plabel for=’pw’Password/label

input type=’password’ name=’pw’ id=’pw’/

/p

pinput type=’submit’ value=’login’//p

/form

/body

/html

這個表單接受用戶輸入的用戶名和密碼，並將用戶輸入提交給名為 verify.php 的文件。在這個文件中，PHP 處理來自登錄表單的數據，如下所示：

清單 6. 不安全的 PHP 表單處理代碼

複製代碼 代碼如下:

?php

$okay = 0;

$username = $_POST[‘user’];

$pw = $_POST[‘pw’];

$sql = 「select count(*) as ctr from users where username=’」.$username.」’ and password=’」. $pw.」’ limit 1″;$result = mysql_query($sql);

while ($data = mysql_fetch_object($result)){if ($data-ctr == 1){

//they’re okay to enter the application!

$okay = 1;

}

}

if ($okay){

$_SESSION[‘loginokay’] = true;

header(」index.php」);

}else{

header(」login.php」);

}

?

這 段代碼看起來沒問題，對嗎？世界各地成百（甚至成千）的 PHP/MySQL 站點都在使用這樣的代碼。它錯在哪裡？好，記住 「不能信任用戶輸入」。這裡沒有對來自用戶的任何信息進行轉義，因此使應用程序容易受到攻擊。具體來說，可能會出現任何類型的 SQL 注入攻擊。

例如，如果用戶輸入 foo 作為用戶名，輸入 ‘ or ‘1′=’1 作為密碼，那麼實際上會將以下字符串傳遞給 PHP，然後將查詢傳遞給 MySQL：

複製代碼 代碼如下:

?php

$sql = 「select count(*) as ctr from users where username=’foo’ and password=」 or ‘1′=’1′ limit 1″;?

這個查詢總是返回計數值 1，因此 PHP 會允許進行訪問。通過在密碼字符串的末尾注入某些惡意 SQL，黑客就能裝扮成合法的用戶。

解 決這個問題的辦法是，將 PHP 的內置 mysql_real_escape_string() 函數用作任何用戶輸入的包裝器。這個函數對字符串中的字符進行轉義，使字符串不可能傳遞撇號等特殊字符並讓 MySQL 根據特殊字符進行操作。清單 7 展示了帶轉義處理的代碼。

清單 7. 安全的 PHP 表單處理代碼

複製代碼 代碼如下:

?php

$okay = 0;

$username = $_POST[‘user’];

$pw = $_POST[‘pw’];

$sql = 「select count(*) as ctr from users where username=’」.mysql_real_escape_string($username).」’ and password=’」. mysql_real_escape_string($pw).」’ limit 1″;$result = mysql_query($sql);

while ($data = mysql_fetch_object($result)){if ($data-ctr == 1){

//they’re okay to enter the application!

$okay = 1;

}

}

if ($okay){

$_SESSION[‘loginokay’] = true;

header(」index.php」);

}else{

header(」login.php」);

}

?

使用 mysql_real_escape_string() 作為用戶輸入的包裝器，就可以避免用戶輸入中的任何惡意 SQL 注入。如果用戶嘗試通過 SQL 注入傳遞畸形的密碼，那麼會將以下查詢傳遞給數據庫：

select count(*) as ctr from users where username=’foo’ and password=’\’ or \’1\’=\’1′ limit 1″數據庫中沒有任何東西與這樣的密碼匹配。僅僅採用一個簡單的步驟，就堵住了 Web 應用程序中的一個大漏洞。這裡得出的經驗是，總是應該對 SQL 查詢的用戶輸入進行轉義。

但是，還有幾個安全漏洞需要堵住。下一項是操縱 GET 變量。

防止用戶操縱 GET 變量

在前一節中，防止了用戶使用畸形的密碼進行登錄。如果您很聰明，應該應用您學到的方法，確保對 SQL 語句的所有用戶輸入進行轉義。

但 是，用戶現在已經安全地登錄了。用戶擁有有效的密碼，並不意味着他將按照規則行事 —— 他有很多機會能夠造成損害。例如，應用程序可能允許用戶查看特殊的內容。所有鏈接指向 template.php?pid=33 或 template.php?pid=321 這樣的位置。URL 中問號後面的部分稱為查詢字符串。因為查詢字符串直接放在 URL 中，所以也稱為 GET 查詢字符串。

在 PHP 中，如果禁用了 register_globals，那麼可以用 $_GET[‘pid’] 訪問這個字符串。在 template.php 頁面中，可能會執行與清單 8 相似的操作。

清單 8. 示例 template.php

複製代碼 代碼如下:

?php

$pid = $_GET[‘pid’];

//we create an object of a fictional class Page$obj = new Page;

$content = $obj-fetchPage($pid);

//and now we have a bunch of PHP that displays the page?

這 里有什麼錯嗎？首先，這裡隱含地相信來自瀏覽器的 GET 變量 pid 是安全的。這會怎麼樣呢？大多數用戶沒那麼聰明，無法構造出語義攻擊。但是，如果他們注意到瀏覽器的 URL 位置域中的 pid=33，就可能開始搗亂。如果他們輸入另一個數字，那麼可能沒問題；但是如果輸入別的東西，比如輸入 SQL 命令或某個文件的名稱（比如 /etc/passwd），或者搞別的惡作劇，比如輸入長達 3,000 個字符的數值，那麼會發生什麼呢？

在這種情況下，要記住基本規則，不要信任用戶輸入。應用程序開發人員知道 template.php 接受的個人標識符（PID）應該是數字，所以可以使用 PHP 的 is_numeric()函數確保不接受非數字的 PID，如下所示：

清單 9. 使用 is_numeric() 來限制 GET 變量複製代碼 代碼如下:

?php

$pid = $_GET[‘pid’];

if (is_numeric($pid)){

//we create an object of a fictional class Page$obj = new Page;

$content = $obj-fetchPage($pid);

//and now we have a bunch of PHP that displays the page}else{

//didn’t pass the is_numeric() test, do something else!

}

?

這個方法似乎是有效的，但是以下這些輸入都能夠輕鬆地通過 is_numeric() 的檢查：

100 （有效）

100.1 （不應該有小數位）

+0123.45e6 （科學計數法 —— 不好）

0xff33669f （十六進制 —— 危險！危險！）那麼，有安全意識的 PHP 開發人員應該怎麼做呢？多年的經驗表明，最好的做法是使用正則表達式來確保整個 GET 變量由數字組成，如下所示：

清單 10. 使用正則表達式限制 GET 變量

複製代碼 代碼如下:

?php

$pid = $_GET[‘pid’];

if (strlen($pid)){

if (!ereg(」^[0-9]+$」,$pid)){

//do something appropriate, like maybe logging them out or sending them back to home page}

}else{

//empty $pid, so send them back to the home page}

//we create an object of a fictional class Page, which is now//moderately protected from evil user input$obj = new Page;

$content = $obj-fetchPage($pid);

//and now we have a bunch of PHP that displays the page?

需 要做的只是使用 strlen() 檢查變量的長度是否非零；如果是，就使用一個全數字正則表達式來確保數據元素是有效的。如果 PID 包含字母、斜線、點號或任何與十六進制相似的內容，那麼這個例程捕獲它並將頁面從用戶活動中屏蔽。如果看一下 Page 類幕後的情況，就會看到有安全意識的 PHP 開發人員已經對用戶輸入 $pid 進行了轉義，從而保護了 fetchPage() 方法，如下所示：

清單 11. 對 fetchPage() 方法進行轉義

複製代碼 代碼如下:

?php

class Page{

function fetchPage($pid){

$sql = 「select pid,title,desc,kw,content,status from page where pid=’」.mysql_real_escape_string($pid).」’」;}

}

?

您可能會問，「既然已經確保 PID 是數字，那麼為什麼還要進行轉義？」 因為不知道在多少不同的上下文和情況中會使用 fetchPage() 方法。必須在調用這個方法的所有地方進行保護，而方法中的轉義體現了縱深防禦的意義。

如 果用戶嘗試輸入非常長的數值，比如長達 1000 個字符，試圖發起緩衝區溢出攻擊，那麼會發生什麼呢？下一節更詳細地討論這個問題，但是目前可以添加另一個檢查，確保輸入的 PID 具有正確的長度。您知道數據庫的 pid 字段的最大長度是 5 位，所以可以添加下面的檢查。

清單 12. 使用正則表達式和長度檢查來限制 GET 變量複製代碼 代碼如下:

?php

$pid = $_GET[‘pid’];

if (strlen($pid)){

if (!ereg(」^[0-9]+$」,$pid) strlen($pid) 5){//do something appropriate, like maybe logging them out or sending them back to home page}

} else {

//empty $pid, so send them back to the home page}

//we create an object of a fictional class Page, which is now//even more protected from evil user input$obj = new Page;

$content = $obj-fetchPage($pid);

//and now we have a bunch of PHP that displays the page?

現在，任何人都無法在數據庫應用程序中塞進一個 5,000 位的數值 —— 至少在涉及 GET 字符串的地方不會有這種情況。想像一下黑客在試圖突破您的應用程序而遭到挫折時咬牙切齒的樣子吧！而且因為關閉了錯誤報告，黑客更難進行偵察。

緩衝區溢出攻擊

緩衝區溢出攻擊 試圖使 PHP 應用程序中（或者更精確地說，在 Apache 或底層操作系統中）的內存分配緩衝區發生溢出。請記住，您可能是使用 PHP 這樣的高級語言來編寫 Web 應用程序，但是最終還是要調用 C（在 Apache 的情況下）。與大多數低級語言一樣，C 對於內存分配有嚴格的規則。

緩衝區溢出攻擊向緩衝區發送大量數據，使部分數據溢出到相鄰的內存緩衝區，從而破壞緩衝區或者重寫邏輯。這樣就能夠造成拒絕服務、破壞數據或者在遠程服務器上執行惡意代碼。

防止緩衝區溢出攻擊的惟一方法是檢查所有用戶輸入的長度。例如，如果有一個表單元素要求輸入用戶的名字，那麼在這個域上添加值為 40 的 maxlength 屬性，並在後端使用 substr() 進行檢查。清單 13 給出表單和 PHP 代碼的簡短示例。

php 支付 使用 促銷劵 自動刷新價格

比如

總價通過數量相乘得出了一個值  （$a）這個值是可變動的

現在使用促銷卷

使用ajax提交促銷卷給總價的方法裏面，來變更總價（$a）

直接使用js，獲取當前總價促銷卷得出結果，賦值給總價，從而更新價格，這個方式提交的時候也要通過js獲取當前刷新總價的值