標籤:效能 過濾 pre 結構 ring 檔案中 ini 安全 串連
1、編寫目的
????為了更好的提高技術部的工作效率,保證開發的有效性和合理性,並可最大程度的提高程式碼的可讀性和可重複利用性,指定此規範。Team Dev根據自己的實際情況,可以對本規範進行補充或裁減。
1、程式員可以瞭解任何代碼,弄清程式的狀況;
2、新人可以很快的適應環境;
3、防止新接觸PHP的人出於節省時間的需要,自創一套風格並養成終生的習慣;
4、防止新接觸PHP的人一次次的犯同樣的錯誤;
5、在一致的環境下,人們可以減少犯錯的機會;
6、程式員們有了一致的敵人;
2、整體要求
????技術部php開發規範將參照PEAR的規範,基本採用PEAR指定的規範,在其基礎上增加、修改或刪除部分適合具體開發環境的規範。本規範只針對PHP開發過程中編碼的規範,對於PHP開發項目中檔案、目錄、資料庫等方面的規範,將不重點涉及。
????本規範包含了PHP開發時程式編碼中命名規範、代碼縮排規則、控制結構、函數調用、函數定義、注釋、包含代碼、PHP標記、檔案頭的註解區塊、CVS標記、URL範例、常量命名等方面的規則。
3、安全規範
????當我們嘗試編碼時,很多時候不知道如何去讓自己的代碼變得安全一點,因為我們缺乏安全常識,安全常識的規範可以幫你杜絕一些日常的菜鳥駭客的攻擊,卻不能阻止骨灰級專家們的淩厲攻勢,所以更高深的安全我們還得從其他途徑學習。
3.1、包含檔案
????PHP檔案的包含在通過PHP的函數引入檔案時,由於傳入的檔案名稱沒有經過合理的校正,從而操作了預想之外的檔案,就可能導致意外的檔案泄露甚至惡意的代碼注入。
3.1.1、命名規則
????提取出來具有通用函數的包含檔案,檔案尾碼以.inc
來命名,表明這是一個包含檔案。
????如果有多個.inc
檔案需要包含多頁面,請把所有.inc
檔案封裝在一個檔案裡面,具體到頁面只需要包換一個.inc
檔案就可以了。
????如:xxx_session.inc
、xxx_comm.inc
、xxx_setting.inf
、myssql_db.inc
。
????把以上檔案以以下方式,封裝在xxx.basic.inc
檔案裡面:
require_once(‘xxx_session.inc‘);require_once(‘xxx_comm.inc‘);require_once(‘xxx_setting.inc‘);require_once(‘mysql_db.inc‘);
注意:
是否需要封裝到一個檔案,視情況而定,如果每個inc
的功能是分散到不同的頁面使用的話,就不建議封裝。
3.1.2、存放規則
????一般包含檔案不需要直接暴露給使用者,所以應該放在 Web Server
訪問不到的目錄,避免因為配置問題而泄露設定資訊
3.2、安全規則
????請參考產品安全檢查表。
輸入和輸出:
檢查是否做了HTML代碼的過濾
可能出現的問題:如果有人輸入惡意的HTML代碼,會導致竊取cookie, 產生惡意登入表單,和破壞網站。
檢查變數做資料庫操作之前是否做了escape
可能出現的問題:如果一個要寫入查詢語句的字串變數包含了某些特殊的字元,比如引號(‘,")或者分號(;) 可能造成執行了預期之外的操作。
建議採用的方法:使用mysql_escape_string()
或實作類別似功能的函數。
檢查輸入數值的合法性
可能出現的問題:異常的數值會造成問題。如果對輸入的數值不做檢查會造成不合法的或者錯誤的資料存入UDB、存入其它的資料庫或者導致意料之外的程式操作發生。
舉例:如果程式以使用者輸入的參數值做為檔案名稱,進行檔案操作,惡意輸入系統檔案名稱會造成系統損毀。
核實對cookie的使用以及對使用者資料的處理
可能出現的問題:不正確的cookie使用可能造成使用者資料泄漏。
存取控制
對內部使用的產品或者供合作方使用的產品,要考慮增加存取控制。
logs
確保使用者的保密資訊沒有記在log中(例如:使用者的密碼);
確保對關鍵的使用者操作儲存了完整的使用者訪問記錄。
https
對敏感性資料的傳輸要採用https。
3.3、一些針對PHP的規則
????設定 register_globals = off
;
????設定 error_reporting = E_ALL
,並且要修正所有的error
和warning
;
????將實際的操作放在被引用的檔案中。把引用檔案放到不可以被直接瀏覽的目錄下。
register_globals
已自 PHP 5.3.0 起廢棄並將自 PHP 5.4.0 起移除。
3.4、其它處理規則
????其它處理規則
3.4.1、輸入參數處理
????頁面接到參數需要SQL操作,這時候需要做轉義,尤其需要注意“‘”。
????如:
$a = ‘ Let’s go ‘ ;$sql = "Insert into tmp(col) values(‘$a‘)";
這種情況出現錯誤的不確定性。
3.4.2、操作大HTML文本
????很多時候需要存放一大段HTML文本供頁面使用,象使用者定製頁頭頁尾等。
????需要剔除指令碼標記,避免執行惡意php代碼。
????轉換“<”“>”號,保證代碼完整HTML
文本。
4、編碼規範
????對代碼檔案及代碼進行正常化。
4.1、命名規範
????制定統一的命名規範對於項目開發來說非常重要,不但可以養成程式員一個良好的開發習慣,還能增加程式的可讀性、可移植性和可重用性,還能很好的提高項目開發的效率。
1.普通變數
普通變數命名遵循以下規則:
????a.所有字母都使用小寫;
????b.對於一個變數使用多個單詞的,使用_
作為每個詞的間隔。
例如:$base_dir
、$red_rose_price
等。
2.靜態變數
靜態變數命名遵循以下規則:
????a.靜態變數使用小寫s_
開頭;
????b.靜態變數所有字母都使用小寫;
????c.多個單片語成的變數名使用_
作為每個詞的間隔。
例子:$s_base_dir
、$s_red_rose_prise
等。
3.局部變數
局部變數命名遵循以下規則:
????a.所有字母使用小寫;
????b.變數使用_
開頭;
????c.多個單片語成的局部變數名使用_
作為每個詞間的間隔。
例子:$_base_dir
、$_red_rose_price
等。
4.全域變數
全域變數應該帶首碼G_
且所有字母大寫,知道一個變數的範圍是非常重要的。例如:
global $G_LOG_LEVEL;global $G_LOG_PATH;
5.全域常量
全域變數命名遵循以下規則:
????a.所有字母使用大寫;
????b.全域變數多個單詞間使用_
作為間隔。
例子:
define(‘BASE_DIR‘,‘/base/dir/‘);define(‘RED_ROSE_PRICE‘,20.0);
6.session變數
session變數命名遵循以下規則:
????a.所有字母使用大寫;
????b.session變數名使用S_
開頭;
????c.多個單詞間使用_
間隔。
例子:$S_BASE_DIR
、$S_RED_ROSE_PRICE
等。
4.1.2、類命名
PHP中類命名遵循以下規則:
????a.以大寫字母開頭;
????b.多個單片語成的變數名,單詞之間不用間隔,各個單字首大寫。
例子:class MyClass
或 class DbOracle
等。
4.1.3、方法或函數
方法或函數命名遵循以下規則:
????a.首字母小寫;
????b.多個單詞間不使用間隔,除第一個單詞外,其他單字首大寫。
例子:function myFunction()
或 function myDbOracle()
等。
4.1.4、縮寫詞
當變數名或者其他命名中遇到縮寫詞時,參照具體的命名規則,而不採用縮寫詞原來的全部大寫的方式。
例子:function myPear
(不是myPEAR) functio getHtmlSource
(不是getHTMLSource)。
4.1.5、資料庫表名
資料庫表名命名遵循以下規範:
????a.表名均使用小寫字母;
????b.對於普通資料表,使用_t
結尾;
????c.對於視圖,使用_v
結尾;
????d.對於多個單片語成的表名,使用_
間隔;
例子:user_info_t
和 book_store_v
等。
4.1.6、資料庫欄位
資料庫欄位命名遵循以下規範:
????a.全部使用小寫;
????b.多個單詞間使用_
間隔。
例子:user_name
、rose_price
等。
4.2、書寫規則
書寫規則是指在編寫 PHP 程式時,代碼書寫的規則,包括縮排、結構控制等方面規範。
4.2.1、代碼縮排
在書寫代碼的時候,必須注意代碼的縮排規則,我們規定代碼縮排規則如下:
????a.使用4個空格作為縮排,而不使用tab縮排(對於ultraedit
,可以進行預先設定)。
例子:
for ( $i=0;$i<$count;$i++ ) { echo ‘test‘;}
4.2.2、大括弧{}書寫規則
在程式中進行結構控制碼編寫,如if
、for
、while
、switch
等結構,大括弧傳統的有兩種書寫習慣,分別如下:
????a.{
直接跟在控制語句之後,不換行,如:
for ( $i=0;$i<$count;$i++ ) { echo ‘test‘;}
????b.{
在控制語句下一行,如:
for ( $i=0;$<$count;$i++ ){ echo ‘test‘;}
????其中,a是PEAR
建議的方式,但是從實際書寫中來講,這並不影響程式的規範和影響用phpdoc
實現文檔,所以可以根據個人習慣來採用上面的兩種方式,但是要求在同一個程式中,只使用其中一種,以免造成閱讀的不方便。
4.2.3、小括弧()和函數、關鍵詞等
小括弧、關鍵詞和函數遵循以下規則:
????a.不要把小括弧和關鍵詞緊貼在一起,要用一個空格間隔;如if ( $a<$b )
;
????b.小括弧和函數名間沒有空格;如$test = date("ymdhis")
;
????c.除非必要,不要在Return
返回語句中使用小括弧。 如Return $a
;
4.2.4、=符號書寫
在程式中=
符號的書寫遵循以下規則:
????a.在=
符號的兩側,均需留出一個空格;如 $a = $b
、$a = ‘test‘
等;
????b.在=
符號與!
、=
、<
、>
等符號相鄰時,不需留一個空格;如 if ( $a == $b )
、if ( $a != $b )
等;
????c.在一個申明塊,或者實現同樣功能的一個塊中,要求=
號盡量上下對其,左邊可以為了保持對齊使用多個空格,而右邊要求空一個空格;如下例:
$testa = $aaa;$testaa = $bbb;$testaaa = $ccc;
4.2.5、if else swith for while等書寫
對於控制結構的書寫遵循以下規則:
????a.在if
條件判斷中,如果用到常量判斷條件,將常量放在等號或不等號的左邊,例如:if ( 6 == $errorNum )
,因為如果你在等式中漏了一個等號,語法檢查器會為你報錯,可以很快找到錯誤位置,這樣的寫法要注意;
????b.switch
結構中必須要有default
塊;
????c.在 for
和 wiile
的迴圈使用中,要警惕 continue
、 break
的使用,避免產生類似 goto
的問題;
4.2.6、類的建構函式
如果要在類裡面編寫建構函式,必須遵循以下規則:
????a.不能在建構函式中有太多實際操作,頂多用來初始化一些值和變數;
????b.不能在建構函式中因為使用操作而返回false
或者錯誤,因為在聲明和執行個體化一個對象的時候,是不能返回錯誤的;
4.2.7、語句斷行
在代碼書寫中,遵循以下原則:
????a.盡量保證程式語句一行就是一句,而不要讓一行語句太長產生折行;
????b.盡量不要使一行的代碼太長,一般控制在120個字元以內;
????c.如果一行代碼太長,請使用類似 .=
的方式斷行書寫;
????d.對於執行資料庫的sql
語句操作,盡量不要在函數內寫sql
語句,而先用變數定義sql
語句,然後在執行操作的函數中調用定義的變數;
例子:
$sql = ‘SELECT username,password,address,age,postcode FROM test_t ‘;$sql .= ‘ WHERE username=\‘aaa\‘‘;$res = mysql_query($sql);
4.2.8、數字
一個在原始碼中使用了的赤裸裸的數字是不可思議的數字,因為包括作者,在三個月內,沒人知道它的含義。例如:
if ( 22 == $foo ) { start_thermo_nuclear_war();} elseif ( 19 == $foo){ refund_lotso_money();} else { cry_cause_in_lost();}
你應該用define()
來給你想表示某樣東西的數值一個真正的名字,而不是採用赤裸裸的數字,例如:
define(‘PRESIDENT_WENT_CRAZY‘, ‘22‘);define(‘WE_GOOFED‘, ‘19‘);define(‘THEY_DIDNT_PAY‘, ‘16‘);if ( PRESIDENT_WENT_CRAZY == $foo ) { start_thermo_nuclear_war();} elseif ( WE_GOOFED == $foo){ refund_lotso_money();} elseif ( THEY_DIDNT_PAY == $foo ){ infinite_loop();} else { cry_cause_in_lost();}
4.2.9、判斷
遵循以下規則:
????a.不能使用 1/0
代替 true/false
,在 PHP 中,這是不相等的;
????b.不要使用非零的運算式、變數或者方法直接進行 true/false
判斷,而必須使用嚴格的完整 true/false
判斷;
如:不使用 if ( $a )
或者 if ( checka() )
而使用 if ( FALSE != $a )
或者 if ( FALSE != check() )
。
4.2.10、避免嵌入賦值
在程式中避免下面例子中的嵌入式賦值:
不使用這樣的方式:
while ( $a != ( $c = getchar() ) ) { process the character}
4.2.11、錯誤返回檢測規則
檢查所有的系統調用的錯誤資訊,除非你要忽略錯誤。
為每條系統錯誤訊息定義好系統錯誤文本,並記錄錯誤LOG
。
4.3、程式注釋
每個程式均必須提供必要的注釋,書寫注釋要求規範,參照PEAR
提供的注釋要求,為今後利用phpdoc
產生 PHP 文檔做準備。
程式注釋的原則如下:
????a.注釋中除了檔案頭的註解區塊外,其他地方都不使用//
注釋,而使用/* */
的注釋;
????b.注釋內容必須寫在被注釋對象的前面,不寫在一行或者後面;
4.3.1、程式頭註解區塊
每個程式頭部必須有統一的註解區塊,規則如下:
????a.必須包含本程式的描述;
????b.必須包含作者;
????c.必須包含書寫日期;
????d.必須包含版本資訊;
????e.必須包含項目名稱;
????f.必須包含檔案的名稱;
????g.重要的使用說明,如類的調用方法、注意事項等;
參考例子如下:
//// +---------------------------------------------------------+// | PHP version 4.0// +---------------------------------------------------------+// | Copyright (c) 1997-2001 The PHP Group// +---------------------------------------------------------+// | This source file is subject to of the PHP license,// | that is bundled with this packafile LICENSE, and is// | available at through the world-web at// | http://www.php.net/license/2_02.txt.// | If you did not receive a copy of the and are unable to// | obtain it through the world-wide-web,end a note to// | [email protected] so we can mail you a immediately.// +---------------------------------------------------------+// | Authors: Stig Bakken// | Tomas V.V.Cox//// +———————————————————+//// $Id: Common.php,v 1.8.2.3 2001/11/13 01:26:48 ssb Exp $
4.3.2、類的注釋
類的注釋採用裡面的參考例子方式:
/** * @ Purpose: * 訪問資料庫的類,以ODBC作為通用提供者 * @Package Name: Database * @Author: Forrest Gump [email protected] * @Modifications: * No20020523-100: * odbc_fetch_into()參數位置第二和第三個位置調換 * John Johnson [email protected] * @See: (參照) */class Database { ...}
4.3.3、函數和方法的注釋
函數和方法的注釋寫在函數和方法的前面,採用類似下面例子的規則:
/** * @Purpose: * 執行一次查詢 * @Method Name: query() * * @Param: string $queryStr SQL查詢字串 * @Param: string $username 使用者名稱 * * @Author: Michael Lee * * @Return: mixed 查詢傳回值(結果集對象) */function query ( $queryStr, $username ) { ...}
4.3.4、變數或者語句注釋
程式中變數或者語句的注釋遵循以下原則:
????a.寫在變數或者語句的前面一行,而不寫在同行或者後面;
????b.注釋採用/* */
的方式;
????c.每個函數前面要包含一個註解區塊。內容包括函數功能簡述,輸入/輸出參數,預期的傳回值,出錯代碼定義;
????d.注釋完整規範;
????e.把已經注釋掉的代碼刪除,或者註明這些已經注釋掉的代碼仍然保留在源碼中的特殊原因。
例子:
/** * @Purpose: * 資料庫連接使用者名稱 * @Attribute/Variable Name: db_user_name * @Type: string */var db_user_name;
4.4、其它規範4.4.1、PHP代碼標記
所有的PHP程式碼塊標記均使用<?php
,不使用短標記<?
。
4.4.2、程式檔案名稱、目錄名
程式檔案名稱和目錄名命名均採用有意義的英文方式命名,不使用拼音或無意義的字母,同時均必須使用小寫字母,多個詞間使用_
間隔。
4.4.3、PHP項目通常的檔案目錄結構
建議在開發規範的獨立的PHP項目時,使用規範的檔案目錄結構,這有助於提高項目的邏輯結構合理性,對應擴充和合作,以及團隊開發均有好處。
一個完整獨立的PHP項目通常的檔案和目錄結構如下:
/
項目根目錄
/manage
後台管理檔案存放目錄
/css
css檔案存放目錄
/doc
存放項目文檔
/images
所有圖片檔案存放路徑(在裡面根據目錄結構設立子目錄)
/scripts
用戶端js指令碼存放目錄
/tpl
網站所有html的模版檔案存放目錄
/error.php
錯誤處理檔案(可以定義到apache的錯誤處理中)
以上目錄結構是通常的目錄結構,根據具體應用的具體情況,可以考慮不用完全遵循,但是盡量做到正常化。
4.4.4、PHP和HTML代碼的分離問題
????對效能要求不是很高的項目和應用,我們建議不採用 PHP 和 HTML 程式碼直接混排的方式書寫代碼,而採用 PHP 和 HTML 程式碼分離的方式,即採用模版的方式處理,這樣一方面對程式邏輯結構更加清晰有利,也有助於開發過程中人員的分工安排,同時還對日後項目的頁面升級該版提供更多便利。
對於一些特殊情況,比如對效能要求很高的應用,可以不採用模版方式。
4.4.5、PHP項目開發中的程式邏輯結構
????對於 PHP 項目開發,盡量採用 OOP
的思想開發,尤其在 PHP5 以後,對於物件導向的開發功能大大提高。
????在 PHP 項目中,我們建議將獨立的功能模組盡量寫成函數調用,對應一整塊商務邏輯,我們建議封裝成類,既可以提高代碼可讀性,也可以提高代碼重用性。比如,我們通常將對資料庫的介面封裝成資料庫類,有利於平台的移植。
????重複的代碼要做成公用的庫。(除了我們在 plug-in
產品上遇到的情況,該產品系列有多個相類似的產品,為了儘可能地減少安裝包尺寸,不適合將這些產品共用的所有函數做成公用的庫)
5、特定環境下PHP編碼特殊規範5.1、變數定義
????XXX環境下的 PHP 代碼編寫要求所有的變數均需要先申明後使用,否則會有錯誤資訊,對於數組,在使用一個不確定的 key
時,比如先進行 isset()
的判斷,然後再使用;比如下面的代碼:
$array = array();$var = isset( $array[3] ) ? $array[3] : ‘‘;
5.2、引用的使用
????引用在程式中使用比較多,為了公用同一個記憶體,而不需要另外進行複製,XXX環境下的引用使用時,需要注意下面的情況;
????在對函數的輸入參數中使用引用時,不能在調用的時候在輸入參數前加 &
來引用,而直接使用該變數即可,同時必須在函數定義的時候說明輸入參數來自引用,比如下面的代碼:
$a = 1;function ab( &$var ) { $var ++; return $var;}$b = ab($a); // 注意,此處不能使用 $b = ab(&$a)的方式;echo $b."\n";echo $a."\n";
此時 $a
和 $b
都是 2;
XXX環境下對引用的特殊要求源自 php.ini
檔案裡面的 allow_call_time_pass_reference
項設定,對外公開的版本是 On
,這樣就可以支援&直接加到調用函數時變數前面進行引用,但是這一方法遭到抗議,並可能在將來版本的 PHP/Zend
裡不再支援。受到鼓勵的指定哪些參數按引用傳遞的方法是在函式宣告裡。你被鼓勵嘗試關閉這一選項(使用off
,XXX的所有運行環境下都是off
)並確認你的指令碼仍能正常工作,以保證在將來版本的語言裡它們仍能工作。
5.3、變數的輸入輸出
????在XXX環境下,對 web 通過 GET
或者 POST
方法傳遞來的參數均要求進行嚴格的過濾和合法性驗證,不推薦使用直接的$_GET
、 $_POST
或者 $_REQUEST
擷取,而通過 XXX 的 XXX_yiv 模組提供的方法擷取和過濾處理。
thinkphp開發規範