Eric @ EricBess WebHome

本来写PAYPAL IPN response 时用来防止反复尝试的函数，保护性很差，后来改成原地址审核($hostname = gethostbyaddr($_SERVER['REMOTE_ADDR']);if(!preg_match('/paypal\.com$/', $hostname)) {.....),所以个就弃用了。在删之前记录不来，应该有更好的算法，不知道谁有研究。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

if (!avoid_refresh ('15')) die ("Hacking Attempt!!");
.....
.....
.....
function avoid_refresh ($time){
	session_start();
  if (isset($_SESSION["post_sep"])) {
      if (time() - $_SESSION["post_sep"] < $time)  {
      	$_SESSION["post_sep"] = time();
        return false;
      } else {
          $_SESSION["post_sep"] = time();
          return true;
      }
  } else {
      $_SESSION["post_sep"] = time();
      return true;
  }
}

数据加密在我们生活中的地位已经越来越重要了，尤其是考虑到在网络上发生的大量交易和传输的大量数据。如果对于采用安全措施有兴趣的话，也一定会有兴趣了解PHP提供的一系列安全功能。在本篇文章中，我们将介绍这些功能，提供一些基本的用法，以便你能够为自己的应用软件中增加安全功能。

预备知识

在详细介绍PHP的安全功能之前，我们需要花点时间来向没有接触过这方面内容的读者介绍一些有关密码学的基本知识，如果对密码学的基本概念已经非常熟悉，就可以跳过去这一部分。

密码学可以通俗地被描述为对加/解密的研究和实验，加密是将易懂的资料转换为不易懂资料的过程，解密则是将不易懂的资料转换为原来易懂资料的过程。不易懂的资料被称作密码，易懂的资料被称作明码。

数据的加/解密都需要一定的算法，这些算法可以非常地简单，如著名的凯撒码，但当前的加密算法要相对复杂得多，其中一些利用现有的方法甚至是无法破译的 。

PHP的加密功能只要有一点使用非Windows平台经验的人可能对crypt()也相当熟悉，这一函数完成被称作单向加密的功能，它可以加密一些明码，但不能够将密码转换为原来的明码。尽管从表面上来看这似乎是一个没有什么用处的功能，但它的确被广泛用来保证系统密码的完整性。因为，单向加密的口令一旦落入第三方人的手里，由于不能被还原为明文，因此也没有什么大用处。在验证用户输入的口令时，用户的输入采用的也是单向算法，如果输入与存储的经加密后的口令相匹配，则输入的口信一定是正确的。

crypt()函数

PHP同样提供了使用其crypt()函数完成单向加密功能的可能性。我将在这里简要地介绍该函数：

string crypt (string input_string [, string salt])

其中的input_string参数是需要加密的字符串，第二个可选的salt是一个位字串，它能够影响加密的暗码，进一步地排除被称作预计算攻击的可能性。缺省情况下，PHP使用一个2个字符的DES干扰串，如果你的系统使用的是MD5（我将在以后介绍MD5算法），它会使用一个12个字符的干扰串。顺便说一下，可以通过执行下面的命令发现系统将要使用的干扰串的长度：

print “My system salt size is: ”. CRYPT_SALT_LENGTH;

系统也可能支持其他的加密算法。crypt()支持四 种算法，下面是它支持的算法和相应的salt参数的长度：

算法 Salt长度
CRYPT_STD_DES 2-character (Default)
CRYPT_EXT_DES 9-character
CRYPT_MD5 12-character beginning with $
CRYPT_BLOWFISH 16-character beginning with $

一旦你的插件编程工作已结束，另一个值得考虑的方面就是怎样将你的插件国际化（当然，这是建立在你想把你的作品发布给公众的前提上）。“国际化”就是一个建设你的软件使之能被本地化的过程；而“本地化”就是将你软件显示文本翻译成各种语言的过程。WordPress 已被来自全世界各个地方的爱好者使用，所以它以将国际化和本地化功能融入其结构，包括插件程序的本地化功能。想了解更多的 GNU gettext 本地化的背景知识，请参照翻译 WordPress。

极力推荐你将你的插件进行国际化，这样来自五湖四海的用户名都可以本地化它。而且这整个过程也是十分直接明了：

• 先给你的插件选一个翻译用的“文本域”名称。这一般同你的插件文件名称相同，当然不包括.php后缀名，而且必须是具有唯一性，至少保证不要同使用者已安装的其他插件同名。
• 不管任何时候你的插件要使用文字来显示给网页读者（也即“信息文”），都尽量将它们嵌入在如下两个 WordPress gettext 函数程序段的任一之中。记住，不同于 WordPress 核心代码，在你插件里的国际化函数里你应该使用第二个参数来传递你自选的文本域。而在 WordPress 核心代码，这个参数默认为空。

__() 用来将 message 作为一个参数传递给另外一个函数。 _e() 用来直接把 message 写到页面上。

__($message, $domain) ： 用本地化的语言为 $domain 翻译 $message 。输出的字符串可以继续被其他函数调用。

_e($message, $domain) ：用本地化的语言为 $domain 翻译 $message ，然后显示到用户的屏幕。如果你的文字将直接显示给读者，就可以使用该函数。

• 为你的插件创建一个 POT 文件 （这个一个列有所有文字条的翻译条目文件），随你的插件一起发布。插件用户将需要生成一个翻译本地化好的 MO 文件，然后把它放在你插件的同一文件夹里。并且这个 mo 文件的取名也有讲究，应该是象 domain-ll_CC.mo，这里 ll_CC 就是本地国家和语言代码（如 zh_CN）。参照 翻译 WordPress 上更多关于 POT 文件、MO 文件及本地化的信息。
• 在你插件里加入一个 load_plugin_textdomain 子程序用以调用你的插件翻译。这个子程序一定需要在你 gettext 函数的前面，但最好是越晚越好（因为一些多语言插件在调用时会改变一些地域设置）。一个可行的方法就是在你所有插件的子程序前面增加一个初始子程序。例如，假设你的文本域叫 "fabfunc"，则：

一、上网设置

1  .“功能表”-“设定”-“网络设定”-“连接”-“选项”-“创建”；

2.“设定名称”-“中国移动GPRS”

      “接入名称”-“cmwap”

      “验证类型”-“普通”

      “用户ID”-不填

      “密码”-不填

      “协议”-“HTTP”

      “主页”-“http://wap.monterner.com”

      “代理服务器地址”-“10.0.0.172”

      “端口”-“80”

       其他不用填写或者改动，储存后退出即可。

3.“功能表”-“浏览器”-“设定”-“浏览器设置”-勾选“中国移动GPRS”

二 彩信设置

1  功能表 - 设定 - 网络设定 - 链接 在这里新建一个连接

     设定名称:移动彩信(可任意取名)

     接入名称:cmwap

     验证类型:普通

       用户ID:不填

         密码:不填

         协议:HTTP　　

        主页地址:http://mmsc.monternet.com

     网关地址:10.0.0.172

            端口:80

        安全连接:关

     延迟时间:300秒

       其他不用填写或者改动，储存后退出即可。

2  功能表---信息 - 设定 - 彩信 - 彩信设定 - 选择刚刚建好的“移动彩信”

Plugin Name: WP-Donators(WP赞助商插件)
Author: Eric Wang
Stable Version: 1.0.9
Author URL: http://www.ericbess.com/ericblog/
Plugin URL: http://wordpress.org/extend/plugins/wp-donators/
Download:http://downloads.wordpress.org/plugin/wp-donators.zip

== Description ==

Wp-Donators provides a smart donation function to auto-leave the sponsor information in a container after payment. Sponsors can donate and submit name/URL or TextLink ad. The information of the latest donors are displayed in the Sponsors Cloud box. The more a person donations, the bigger their link will be.It's will support most popular payment interface in future. ParPal Just the first one.

wordpress捐赠人插件WP-DONATORS，可以支持PAYPAL多币种捐赠并实现自动汇率换算。与其他捐赠按钮不同，它还有个后台与PAYPAL API实时沟通，返回付款数据，然后把捐赠人指定的广告词与连接放在“捐赠人云”中展示出来。

== Depends On ==

• If your haven't the paypal account so far.Please register paypal account:[PayPal Registration] first.
• PHP5, Openssl,fsock.