DZ论坛核心代码分析计划【提供SVN和压缩包】【2008-11-11更新】

SamPeng's blog。将开源精神进行到底

lxylxy888666 fising

   最近太忙了。奔丧用了几天，公司的事也用了几天。但还是挤出时间来做注释分析工作。下面附录文件是暂时已知的文件结构文件，供参考，未完成

http://dzsampeng.googlecode.com/svn/trunk/

2楼：1、DZ论坛核心代码分析计划--install包篇
   简单描述：这个包进过分析和改变，可以了解DZ的安装系统是如何操作的。自己编写或者进过修改可以成为自己的安装文件
3楼：2、DZ论坛核心代码分析计划--核心文件global.func.php篇
  简单描述：非常重要的全局函数文件。参考文件中的函数封装。了解DZ对字符串等全局的处理方式和过程。
4楼：3、DZ论坛核心代码分析计划--核心文件common.inc.php篇
  简单描述：DZ论坛的指挥性文件，几乎所有文件都引入这个文件。最值得学习的是其对安全性的重视和处理
5楼：4、DZ论坛核心代码分析计划--include包（一）
  简单描述：DZ论坛的include包，cache.func.php缓存文件、XML.class.phpXML解析器、counter.inc.php论坛计数器、security.inc.php:安全信息等级
6楼：5、DZ论坛核心代码分析计划--include包（二）
  简单描述：trade.func.php  chinese.class.php db_mysql_error.inc.php f t p.func.php
7楼：6、DZ论坛核心代码分析计划--include包（三）
8楼：7、DZ论坛核心代码分析计划--include包（四）
9楼：8、DZ论坛核心代码分析计划--include包（五）
10楼：9、DZ论坛核心代码分析计划--admin包（一）
11楼：10、DZ论坛核心代码分析计划--admin包（二）
12楼：11、DZ论坛核心代码分析计划--admin包（三）
13楼：12、DZ论坛核心代码分析计划--根目录(一)
14楼：13、DZ论坛核心代码分析计划--根目录(二)
15楼：14、DZ论坛核心代码分析计划--根目录(三)
16楼：15、DZ论坛核心代码分析计划--modcp包
17楼：16、DZ论坛核心代码分析计划--forumdata包
18楼：17、DZ论坛核心代码分析计划--API包
19楼：预留
20楼：预留
  

DZ论坛文件结构.rar (2.88 KB)

2008年10月3日17:46:52
分析文件：install/index.php
1、
在代码的顶部引入error_reporting()方法，设定php的错误提示等级。事实上php的配置文件可以配置，但是在每个文件重新设定这个错误提示等级，使错误提示更为灵活。
2、
在某些条件下通过使用set_time_limit()设定运行时间，并且通过ob_start()打开输出缓冲器。最好用@来屏蔽错误。
3、
使用define()设定多个常量而不是变量供程序代码使用。
分析文件:discuz_version.php
文件作用：定义版权的常量值
1、
因为这个文件是被引入调用其设定好的常量。所以从理论上任何文件都能调用。所以在一开始通过判断是否IN_DISCUZ为真，如果不是，则停止整个程序的运行。
2008年10月4日9:42:22
分析文件db_mysql.class.php
文件作用：数据库的链接类
1、
通过一个判断来决定是采用mysql_connect(非持续性)还是mysql_pconnect(持续性)
2、
通过判断来决定是采用mysql_unbuffered_query（执行操作，但不返回任何数据）还是mysql_query（执行操作，可返回数据）
3、
1和2两个经验点，大量使用了？：运算符；如：（exp1?(exp2):(exp3)）.若exp1为真则exp2,反之exp3。
4、

//mysql_num_fields-取得结果集中字段的数目
function num_fields($query) {

return mysql_num_fields($query);

}
5、
//释放结果内存

function free_result($query) {

return mysql_free_result($query);

}
2008年10月4日10:21:48
总结：因为被包含文件可以通过路径进行访问，为了保护文件的安全性，DZ在所有需要引用其他文件的前面定义了一个常量IN_DISCUZ。在被引入文件的头部对这个常量进行判断，如果没有这个常量，也就是直接通过路径进行访问的。则不执行源代码中的任何部分。这是个很好的保护源代码措施。而且很简单。

install.rar (61.66 KB)

已分析完毕的压缩包

Golbal.func.php
       日记时间：2008年10月7日10:37:34
1、 这个文件是常被引用的文件，所以开头还是采用了惯用的常量判断法。防止被恶意浏览器直接打开
2、 加密函数authcode中的加密有多次的md5叠加加密。保证密码的安全性。在常有的思维中，一般是只加密了一次。而在DZ的加密函数中。加密算法很复杂。分别从md5加密，字符随机截断加密，位运算加密和与密匙结合加密。
3、 DZ的字符处理工作非常好。虽然在下载的时候我们会选择utf-8还是gbk。但是不管是处理字符还是处理数据库链接的时候都是第一考虑字符编码的地方。在db_mysql.class.php文件的数据库链接上就判断了格式是什么。代码如下
$func = empty($pconnect) ? 'mysql_connect' : 'mysql_pconnect';

//建立一个链接给类的属性link之中。并且在建立链接的时候就设定编码方式是如何的。

if(!$this->link = @$func($dbhost, $dbuser, $dbpw, 1)) {

$halt && $this->halt('Can not connect to MySQL server');

} else {

if($this->version() > '4.1') {

global $charset, $dbcharset;

$dbcharset = $dbcharset2 ? $dbcharset2 : $dbcharset;

$dbcharset = !$dbcharset && in_array(strtolower($charset), array('gbk', 'big5', 'utf-8')) ? str_replace('-', '', $charset) : $dbcharset;

$serverset = $dbcharset ? 'character_set_connection='.$dbcharset.', character_set_results='.$dbcharset.', character_set_client=binary' : '';

$serverset .= $this->version() > '5.0.1' ? ((empty($serverset) ? '' : ',').'sql_mode=\'\'') : '';

$serverset && mysql_query("SET $serverset", $this->link);

}
   再在global.func.php文件中的字符串处理也是考虑了字符串的编码格式问题的。
有个全局变量$charset就是用来设定编码格式的。Cutstr里根据这个变量的值来对字符串进行处理。
另，在cutstr()函数里，在进行截断之前会将字符串中的特殊字符进行处理。


$string = str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string);


在处理截断之后，再将其还原。


$strcut = str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $strcut);
                     这就能解释为什么DZ论坛截断后的文字依然符合原有的文字格式。
4、 对html代码格式自定义替换。但这里要注意一下DZ考虑得很周到。

        if(is_array($string)) {

        foreach($string as $key => $val) {

        $string[$key] = dhtmlspecialchars($val);//如果是数租，遍历数组再调用自身的这个函数对单个字符处理。

}
  判断如果传入的字符串是数组呢？恩。按我的想法是，只封装字符的替换部分。但他这里封装得很好。因为我在调用这个函数的时候就不用担心我传递的是什么格式的字符串了。
5、 将页面跳转封装在了dheader函数里
6、//典型的减少代码重复输入函数。处理好email字符串。只需要emailconv（email地址）就能返回一个已经编码好的email地址了
function emailconv($email, $tolink = 1) {

$email = str_replace(array('@', '.'), array('@', '.'), $email);

return $tolink ? '<a href="mailto: '.$email.'">'.$email.'</a>': $email;
}
7、//对文件名进行截断处理，输入文件名，返回处理后的文件名
function fileext($filename) {

return trim(substr(strrchr($filename, '.'), 1, 10));
}
8、  DZ处理浏览器直接输入路径访问问题是用的判断常量法。但是机器人呢？机器人可没常量。但是php有和自定义常量：$_SERVER['HTTP_USER_AGENT']。这两个是用来判断机器人的名称的。里面还包含了名字。于是机器人的判断法如下：
  //通过分析调用这个函数的common.inc.php文件。这个函数是用来判断对机器人的处理方式的。
  function getrobot() {

  if(!defined('IS_ROBOT')) {

//定义搜索引擎名

$kw_spiders = 'Bot|Crawl|Spider|slurp|sohu-search|lycos|robozilla';

//定义浏览器种类名

$kw_browsers = 'MSIE|Netscape|Opera|Konqueror|Mozilla';

//判断是否是这些浏览器，如果是，则定义IS_ROBOT这个常量为假。反之则判断蜘蛛是不是上述已经定义好的搜索引擎，如果是则定义IS_ROBOT这个常量为真。如果都不满足条件，定义IS_ROBOT这个常量为假。

if(preg_match("/($kw_browsers)/i", $_SERVER['HTTP_USER_AGENT'])) {

define('IS_ROBOT', FALSE);

} elseif(preg_match("/($kw_spiders)/i", $_SERVER['HTTP_USER_AGENT'])) {

define('IS_ROBOT', TRUE);

} else {

define('IS_ROBOT', FALSE);

}

  }

  //返回IS_ROBOT这个常量的值

  return IS_ROBOT;
   }
在common.inc.php文件里调用是这样处理的：
  //通过这个常量，不允许机器人随意访问这个页面。
  define('IS_ROBOT', getrobot());
  if(defined('NOROBOT') && IS_ROBOT) {

     exit(header("HTTP/1.1 403 Forbidden"));
  }
看回来还是常量法。只是这个常量的值是通过函数getrobot()获取的。

checklowerlimit()：这个函数是用来检查积分限制的

dongxin1390008分析：daddslashes函数是检查php.ini文件的'MAGIC_QUOTES_GPC选项是否打开，若这个关闭，很容易的可以进行sql注射，若关闭了，则使用addslashes对单引号，# 号进行转义 2008-10-6 17:33:30更新附件包将此注释加入
shishirui 分析：global.func.php 中第七条：fileext()这个函数是用来获得文件扩展名用的。

global.func.rar (17.68 KB)

common.inc.rar (8.07 KB)

已经写好注释文件

include.rar (26 KB)

include.rar (10.48 KB)

原帖由 heixiake 于 2008-10-7 13:09 发表
:funk:

原帖由 spzgy 于 2008-10-7 15:36 发表
我想SVN的话，我们会更加爽一点，哈哈哈