Update faq/outcontrol

Author: mowangjuanzi

faq/com.xml

@@ -1,6 +1,6 @@
 <?xml version="1.0" encoding="utf-8"?>
 <!-- $Revision$ -->
-<!-- EN-Revision: 2bb07c8c43f028c665a33bfc08a22639e9e35dc6 Maintainer: mowangjuanzi Status: ready -->
+<!-- EN-Revision: e0352653179c355a6b9c353629147b06a2069f24 Maintainer: mowangjuanzi Status: ready -->
  <chapter xml:id="faq.com" xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink">
   <title>PHP 和 COM</title>
   <titleabbrev>PHP 和 COM</titleabbrev>
@@ -139,15 +139,20 @@ $word = new COM("C:\docs\word.doc");
         <function>com_print_typeinfo</function>来让 PHP 产生事件收报方类的框架。</para>
       </answer>
     </qandaentry>
-    <qandaentry xml:id="faq.com.q13">
-      <question>
-        <para>我在尝试调用一个打开了多于一个接口的 COM 对象中的方法时碰到问题，应该怎么办？</para>
-      </question>
-      <answer>
-        <para>我也不知道怎么办，我想这没办法。如果什么人有对此问题的明确信息请
-        <link xlink:href="mailto:&email.harald;">告诉我</link>。:)</para>
-      </answer>
-    </qandaentry>
+   
+   <qandaentry xml:id="faq.com.q13">
+    <question>
+     <para>
+      我在尝试调用一个打开了多于一个接口的 COM 对象中的方法时碰到问题，应该怎么办？
+     </para>
+    </question>
+    <answer>
+     <para>
+      答案很简单，就是不令人满意。我们不知道具体原因，但我们认为你无能为力。
+     </para>
+    </answer>
+   </qandaentry>
+   
     <qandaentry xml:id="faq.com.q14">
       <question>
         <para>这么说 PHP 可以和 COM 一起工作，那么 COM+ 呢？</para>

faq/installation.xml

@@ -1,11 +1,10 @@
 <?xml version="1.0" encoding="utf-8"?>
 <!-- $Revision$ -->
-<!-- EN-Revision: 8e732e84a1425cf0ab3a5b0da8fe113c7a6da85e Maintainer: mowangjuanzi Status: ready -->
-<chapter xml:id="faq.installation"
-         xmlns="http://docbook.org/ns/docbook"
-         xmlns:xlink="http://www.w3.org/1999/xlink">
+<!-- EN-Revision: 2dbf3d9064d4cb07f0a2f7d06641c877a2e5ed24 Maintainer: mowangjuanzi Status: ready -->
+ <chapter xml:id="faq.installation" xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink">
   <title>安装常见问题</title>
   <titleabbrev>安装</titleabbrev>
+
   <para>本章包括了安装 PHP 的常见问题。PHP 可以用于几乎任何操作系统（可能除了 OS X 之前的 MacOS 之外），以及几乎任何 web 服务器。</para>
   <para>要安装 PHP，请按照
   <link linkend="install">安装与配置</link>一章中的指示进行。</para>
@@ -265,18 +264,43 @@ AddType application/x-httpd-php .php
         <filename>C:\WINNT</filename>，等等）默认就在系统路径中。但是把文件拷贝到 Windows 系统目录中这一方式早已不被提倡，还可能造成问题。</para>
       </answer>
     </qandaentry>
-    <qandaentry xml:id="faq.installation.phprc">
-      <question>
-        <para>怎样使 &php.ini; 文件在 Windows 下被 PHP 所用？</para>
-      </question>
-      <answer>
-        <para>
-         有几种方法可以做到这一点。如果您使用的是 Apache，
-         请参阅 Apache 文档，否则
-         您必须设置<varname>PHPRC</varname>环境变量。
-        </para>
-      </answer>
-    </qandaentry>
+
+   <qandaentry xml:id="faq.installation.phprc">
+    <question>
+     <para>
+      怎样使 &php.ini; 文件在 Windows 下被 PHP 所用？
+     </para>
+    </question>
+    <answer>
+     <para>
+      有几种方法可以做到这一点。如果您使用的是 Apache，请参阅 Apache
+      文档，否则必须设置 <varname>PHPRC</varname> 环境变量。
+     </para>
+    </answer>
+   </qandaentry>
+
+   <qandaentry xml:id="faq.installation.windows-temporary-path">
+    <question>
+     <simpara>
+      Windows：如何验证 PHP 是否可以写入 IIS 下的临时目录？
+     </simpara>
+    </question>
+    <answer>
+     <procedure>
+      <step>
+       <simpara>
+        在文件资源管理器中右键单击临时目录 (<varname>%TEMP%</varname>) 以获取权限。可以从配置或 <function>phpinfo</function> 获取临时目录。
+       </simpara>
+      </step>
+      <step>
+       <simpara>
+        对于 IIS，检查用户 <literal>IIS_User</literal> 是否具有 <literal>MODIFY</literal> 权限。
+       </simpara>
+      </step>
+     </procedure>
+    </answer>
+   </qandaentry>
+
     <qandaentry xml:id="faq.installation.apache.multiviews">
       <question>
         <para>有可能使 PHP 运作于 Apache 的 content negotiation（MultiViews 选项）吗？</para>

faq/passwords.xml

@@ -1,161 +1,117 @@
 <?xml version="1.0" encoding="utf-8"?>
 <!-- $Revision$ -->
-<!-- EN-Revision: b8e1b1357def73f310c9f7405035b3acc0cb1eaf Maintainer: yuanyuqiang Status: ready -->
+<!-- EN-Revision: f012b2761819e0ab25ff8cf4bac6655cfbc6fcff Maintainer: yuanyuqiang Status: ready -->
 <!-- CREDITS: mowangjuanzi -->
  <chapter xml:id="faq.passwords" xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink">
-  <title>密码散列安全</title>
+  <title>安全可靠的密码散列</title>
   <titleabbrev>密码散列</titleabbrev>
 
-  <para>
+  <simpara>
    本部分解释使用散列函数对密码进行安全处理背后的原因，以及如何有效的进行密码散列处理。
-  </para>
+  </simpara>
 
   <qandaset>
    <qandaentry xml:id="faq.passwords.hashing">
     <question>
-     <para>
-         为什么需要把应用程序中用户的密码进行散列化？
-     </para>
+     <simpara>
+      为什么需要把用户的密码进行散列化？
+     </simpara>
     </question>
     <answer>
-     <para>
-         当设计一个需要接受用户密码的应用时，
-         对密码进行散列是最基本的，也是必需的安全考虑。
-         如果不对密码进行散列处理，那么一旦应用的数据库受到攻击，
-         那么用户的密码将被窃取。
-         同时，窃取者也可以使用用户账号和密码去尝试其他的应用，
-         如果用户没有为每个应用单独设置密码，那么将面临风险。
-     </para>
-     <para>
-         通过对密码进行散列处理，然后再保存到数据库中，
-         这样就使得攻击者无法直接获取原始密码，
-        同时还可以保证你的应用可以对原始密码进行相同的散列处理，
-        然后比对散列结果。
-     </para>
-     <para>
-         需要着重提醒的是，密码散列只能保护密码
-         不会被从数据库中直接窃取，
-         但是无法保证注入到应用中的
-         恶意代码拦截到原始密码。
-     </para>
+     <simpara>
+      设计任何接受用户密码的应用或服务时，密码散列是必须考虑到的最基本的安全问题之一。如果没有散列处理，泄露了存储的数据，任何存储的密码都将会窃取。如果用户使用不唯一的密码，那么不仅会危害应用或服务，还会危害其他服务上的用户账户。
+     </simpara>
+     <simpara>
+      对用户密码应用散列算法，然后再存储，这样任何攻击者几乎不可能确定原始密码，同时仍然能够在未来将生成的散列值与原始密码进行比较。
+     </simpara>
+     <simpara>
+      但值得注意的是，密码散列只能保护其在数据存储中不被泄露，但并不一定能保护它们不被注入到应用程序或服务的恶意代码截获。
+     </simpara>
     </answer>
    </qandaentry>
    <qandaentry xml:id="faq.passwords.fasthash">
     <question>
-     <para>
+     <simpara>
       为何诸如 <function>md5</function> 和
       <function>sha1</function> 这样的常见散列函数不适合用在密码保护场景？
-     </para>
+     </simpara>
     </question>
     <answer>
-     <para>
-         MD5，SHA1 以及 SHA256 这样的散列算法是面向快速、高效
-         进行散列处理而设计的。随着技术进步和计算机硬件的提升，
-         破解者可以使用“暴力”方式来寻找散列码
-         所对应的原始数据。
-     </para>
-     <para>
-         因为现代化计算机可以快速的“反转”上述散列算法的散列值，
-         所以很多安全专家都强烈建议
-         不要在密码散列中使用这些散列算法。
-     </para>
+     <simpara>
+      MD5，SHA1 以及 SHA256 这样的散列算法是面向快速、高效进行散列处理而设计的。随着技术进步和计算机硬件的提升，破解者可以使用<quote>暴力</quote>方式来寻找散列码所对应的原始数据。
+     </simpara>
+     <simpara>
+      因为现代化计算机可以快速的<quote>反转</quote>上述散列算法的散列值，所以很多安全专家都强烈建议不要在密码散列中使用这些散列算法。
+     </simpara>
     </answer>
    </qandaentry>
    <qandaentry xml:id="faq.passwords.bestpractice">
     <question>
-     <para>
-      如果不建议使用常用散列函数保护密码，那么我应该如何对密码进行散列处理？
-     </para>
+     <simpara>
+      如果不建议使用常用散列函数保护密码，那么如何对密码进行散列处理？
+     </simpara>
     </question>
     <answer>
-     <para>
+     <simpara>
       当进行密码散列处理的时候，有两个必须考虑的因素：计算量以及“盐”。散列算法的计算量越大，暴力破解所需的时间就越长。
-     </para>
-     <para>
-      PHP 提供了<link linkend="book.password">一个原生密码散列API</link>，它提供一种安全的方式来完成密码<link
+     </simpara>
+     <simpara>
+      PHP 提供了<link linkend="book.password">原生密码散列 API</link>，它提供一种安全的方式来完成密码<link
       linkend="function.password-hash">散列</link>和<link linkend="function.password-verify">验证</link>。
-     </para>
-     <!-- TODO Drop mention of crypt? -->
-     <para>
-      还可以使用 <function>crypt</function> 函数，
-      它支持多种散列算法。
-      针对每种受支持的散列算法，PHP 都提供了对应的原生实现，
-      所以在使用此函数的时候，
-      你需要保证所选的散列算法是你的系统所能够支持的。
-     </para>
-     <para>
-      当对密码进行散列处理的时候，建议采用 Blowfish 算法，
-      这是密码散列 API 的默认算法。
-      相比 MD5 或者 SHA1，这个算法提供了更高的计算量，
-      同时还有具有良好的伸缩性。
-     </para>
-     <para>
-      如果使用 <function>crypt</function> 函数来进行密码验证，
-      那么你需要选择一种耗时恒定的字符串比较算法来避免时序攻击。
-      （译注：就是说，字符串比较所消耗的时间恒定，
-      不随输入数据的多少变化而变化）
-      PHP 中的 <link linkend="language.operators.comparison">== 和 === 操作符</link>
-      和 <function>strcmp</function> 函数都不是耗时恒定的字符串比较，
-      但是 <function>password_verify</function> 可以帮你完成这项工作。
-      我们鼓励你尽可能的使用
-       <link linkend="book.password">原生密码散列 API</link>。
-     </para>
+     </simpara>
+     <simpara>
+      散列密码时，建议采用 Blowfish 算法，这是密码散列 API 的默认算法。相比
+      MD5 或者 SHA1，具有更高的计算成本，同时还有具有良好的可扩展性。
+     </simpara>
+     <simpara>
+      <function>crypt</function> 函数也可用于密码散列处理，但仅推荐用于与其他系统的彼此协作。相反，强烈建议尽可能使用<link
+      linkend="book.password">原生密码散列处理 API</link>。
+     </simpara>
     </answer>
    </qandaentry>
    <qandaentry xml:id="faq.passwords.salt">
     <question>
-     <para>
+     <simpara>
       “盐”是什么？
-     </para>
+     </simpara>
     </question>
     <answer>
-     <para>
-      加解密领域中的“盐”是指在进行散列处理的过程中
-      加入的一些数据，用来避免从已计算的散列值表
-      （被称作“彩虹表”）中
-      对比输出数据从而获取明文密码的风险。
-     </para>
-     <para>
-      简单而言，“盐”就是为了提高散列值被破解的难度
-      而加入的少量数据。
-      现在有很多在线服务都能够提供
-      计算后的散列值以及其对应的原始输入的清单，
-      并且数据量极其庞大。
-      通过加“盐”就可以避免直接从清单中查找到对应明文的风险。
-     </para>
-     <para>
-      如果不提供“盐”，<function>password_hash</function> 函数会随机生成“盐”。
-      非常简单，行之有效。
-     </para>
+     <simpara>
+      加解密领域中的“盐”是指在进行散列处理的过程中加入的一些数据，用来避免从已计算的散列值表（被称作“彩虹表”）中对比输出数据从而获取明文密码的风险。
+     </simpara>
+     <simpara>
+      简单而言，“盐”就是为了提高散列值被破解的难度而加入的少量数据。现在有很多在线服务都能够提供计算后的散列值以及其对应的原始输入的清单，并且数据量极其庞大。通过加“盐”就可以避免直接从清单中查找到对应明文的风险。
+     </simpara>
+     <simpara>
+      如果不提供“盐”，<function>password_hash</function> 函数会随机生成“盐”。非常简单，行之有效。
+     </simpara>
     </answer>
    </qandaentry>
    <qandaentry xml:id="faq.password.storing-salts">
     <question>
-     <para>
-      我应该如何保存“盐”？
-     </para>
+     <simpara>
+      如何保存“盐”？
+     </simpara>
     </question>
     <answer>
-     <para>
-      当使用 <function>password_hash</function> 或者 <function>crypt</function> 函数时，
-      “盐”会被作为生成的散列值的一部分返回。
-      你可以直接把完整的返回值存储到数据库中，
-      因为这个返回值中已经包含了足够的信息，
-      可以直接用在 <function>password_verify</function> 或 <function>crypt</function>
-      函数来进行密码验证。
-     </para>
-     <para>
+     <simpara>
+      当使用 <function>password_hash</function> 或者 <function>crypt</function>
+      函数时，“盐”会被作为生成的散列值的一部分返回。可以直接把完整的返回值存储到数据库中，因为这个返回值中已经包含了足够的信息，可以直接用在
+      <function>password_verify</function> 函数来进行密码验证。
+     </simpara>
+     <warning>
+      <simpara>
+       应始终使用 <function>password_verify</function>，而不是重新散列并将结果与​​存储的散列进行比较，以避免时序攻击。
+      </simpara>
+     </warning>
+     <simpara>
       下图展示了 <function>crypt</function> 或 <function>password_hash</function>
-      函数返回值的结构。
-      如你所见，算法的信息以及“盐”都已经包含在返回值中，
-      在后续的密码验证中将会用到这些信息。
-     </para>
+      函数返回值的结构。可以看出，他们包含未来密码验证所需的算法和盐的所有信息
+     </simpara>
      <para>
       <mediaobject>
        <alt>
-        password_hash 和 crypt 函数返回值的组成部分，依次为：所选择的算法，
-        算法选项，所使用的“盐”，
-        以及散列后的密码。
+        password_hash 和 crypt 函数返回值的组成部分，依次为：所选择的算法，算法选项，所使用的“盐”，以及散列后的密码。
        </alt>
        <imageobject>
         <imagedata fileref="zh/faq/figures/crypt-text-rendered.svg" width="690" depth="192" format="SVG" />

preface.xml

@@ -1,21 +1,20 @@
 <?xml version="1.0" encoding="utf-8"?>
 <!-- $Revision$ -->
-<!-- EN-Revision: d23581d55f20027b5a15673224a908cb425513b9 Maintainer: Avenger Status: ready -->
+<!-- EN-Revision: dee52c067be3be96a735f0c33cbcf0009a996b2e Maintainer: Avenger Status: ready -->
 <!-- CREDITS: Gregory, mowangjuanzi, Luffy -->
 <preface xml:id="preface" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns="http://docbook.org/ns/docbook">
  <info>
   <titleabbrev>序言</titleabbrev>
   <title>关于本手册</title>
   <abstract>
    <simpara>
-    <acronym>PHP</acronym>，即“<literal>PHP: Hypertext
-    Preprocessor</literal>”，是一种被广泛应用的开源通用脚本语言，尤其适用于 Web 开发并可嵌入 HTML
+    <acronym>PHP</acronym>，即 <emphasis>PHP: Hypertext
+    Preprocessor</emphasis>，是一种被广泛应用的开源通用脚本语言，尤其适用于 Web 开发并可嵌入 HTML
     中去。它的语法利用了 C、Java 和 Perl，易于学习。该语言的主要目标是允许 web 开发人员快速编写动态生成的 web
     页面，但 PHP 的用途远不只于此。
    </simpara>
   </abstract>
-</info>
-
+ </info>
  <para>
   本手册内容主要由<link linkend="funcref">函数参考</link>构成，但也包含了<link
   linkend="langref">语言参考</link>，PHP