这几天面试遇到的问题

  一般面试来说会问各种各样的问题，有两年经验的我来说我以为面试肯定和自己第一次面试是一样的，但是结果却差强人意，下面就来谈一下个人面试的时候遇到的问题吧

  session和cookie的联系和区别

  Session是由应用服务器维持的一个服务器端的存储空间，用户在连接服务器时，会由服务器生成一个唯一的SessionID,用该SessionID 为标识符来存取服务器端的Session存储空间。而SessionID这一数据则是保存到客户端，用Cookie保存的，用户提交页面时，会将这一 SessionID提交到服务器端，来存取Session数据。这一过程，是不用开发人员干预的。所以一旦客户端禁用Cookie，那么Session也会失效。
  Session是由应用服务器维持的一个服务器端的存储空间，用户在连接服务器时，会由服务器生成一个唯一的SessionID,用该SessionID 为标识符来存取服务器端的Session存储空间。而SessionID这一数据则是保存到客户端，用Cookie保存的，用户提交页面时，会将这一 SessionID提交到服务器端，来存取Session数据。这一过程，是不用开发人员干预的。所以一旦客户端禁用Cookie，那么Session也会失效。session cookies位于服务器端，persistent cookie位于客户端，可是session又是以cookie为基础的，明白的两者之间的联系和区别，我们就不难选择合适的技术来开发web service了。参考链接http://blog.sina.com.cn/s/blog_76cd6de80100tlvp.html
 

数据库中datetime和int的字段类型有什么区别

时间在我们开发中应用非常普遍，大部分开发中我们将用Mysql的datetime格式来存储，但是对于经常用时间来排序或者查询的应用中，我们要将时间做成索引，这个就跟查询效率很有关系，但是很多程序员会用int来存时间戳，然后再进行处理

1、首先是我们分析datetime长度是8个字节，INT的长度是4个字节，存储空间上比datatime少。

2、int存储索引的空间也比datetime少，排序效率高，查询速度比较快。

3、方便计算，unix时间戳有点就是方便计算。

总结了一下timestamp和datetime的区别：

1、timestamp有范围限制1970 ~ 2037

2、timestamp支持default current_timestamp 来设置默认自动当前时间

3、timestamp支持on update current_timestamp 来设置更新时自动当前时间

4、timestamp时区相关，存储时以UTC时间保持，查询时转换为当前时区，

即如果在东8区的08:00:00分保存的数据，在东9区看到的是09:00:00

5、timestamp 4个字节存储（实际上就是int），datetime 8个字节

6、如果timestamp的值超出范围，mysql不会报错

7、如果是自动更新模式，手动修改数据导致timestamp字段更新

8、同时有两个timestamp字段默认值为current_timestamp会报错

9、如果mysql在maxdb模式下，timestamp等同于datetime，也就是说timestamp

受服务器模式影响

网上还有还一个TIMESTAMP 和INT比较的例子，timestamp效率比int不会差，而且timestamp有自动更新功能

相同点
TIMESTAMP列的显示格式与datetime列相同。
换句话说，显示宽度固定在19字符，并且格式为YYYY-MM-DD HH:MM:SS。

不同点
datetime
以”YYYY-MM-DDHH:MM:SS”格式检索和显示datetime值。支持的范围为”1000-01-01 00:00:00″到”9999-12-31 23:59:59″
TIMESTAMP值不能早于1970或晚于2037
TIMESTAMP
1、4个字节储存（Time stamp value is stored in 4 bytes）
2、值以UTC格式保存（ it stores the number of milliseconds）
3、时区转化 ，存储时对当前的时区进行转换，检索时再转换回当前的时区。
datetime
1、8个字节储存（8 bytes storage）
2、实际格式储存（Just stores what you have stored and retrieves thesamething which you have stored.）
3、与时区无关（It has nothing to deal with the TIMEZONEandConversion.）

 mysql中防止数据的sql注入

（1）mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集 

 

使用方法如下：

 

$sql = "select count(*) as ctr from users where username
='".mysql_real_escape_string($username)."' and 
password='". mysql_real_escape_string($pw)."' limit 1";

（2） 打开magic_quotes_gpc来防止SQL注入

 

php.ini中有一个设置：magic_quotes_gpc = Off

　　这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，

　　比如把 ' 转为 \'等，对于防止sql注射有重大作用。

 

     如果magic_quotes_gpc=Off，则使用addslashes()函数

（3）自定义函数

 

 

function inject_check($sql_str) { 
    return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);
} 

function verify_id($id=null) { 
    if(!$id) {
        exit('没有提交参数！'); 
    } elseif(inject_check($id)) { 
        exit('提交的参数非法！');
    } elseif(!is_numeric($id)) { 
        exit('提交的参数非法！'); 
    } 
    $id = intval($id); 
     
    return $id; 
} 


function str_check( $str ) { 
    if(!get_magic_quotes_gpc()) { 
        $str = addslashes($str); // 进行过滤 
    } 
    $str = str_replace("_", "\_", $str); 
    $str = str_replace("%", "\%", $str); 
     
   return $str; 
} 


function post_check($post) { 
    if(!get_magic_quotes_gpc()) { 
        $post = addslashes($post);
    } 
    $post = str_replace("_", "\_", $post); 
    $post = str_replace("%", "\%", $post); 
    $post = nl2br($post); 
    $post = htmlspecialchars($post); 
     
    return $post; 
}