多数大学生出来选择的工作和专业无关
首页 > 专业知识

PHP代码的优与劣体现在哪里

时间:2018-11-09 19:27:36 [来源]:郑州PHP培训学校

   PHP代码的优与劣体现在哪里

  我在SitePoint做面试官的时候一定会问的问题是:你认为PHP代码的优劣体现在哪里?因为这个问题可以让我大体知道应聘者是哪种类型的程序员,而不是单纯地考察他对PHP函数的掌握程度(这一点Zend的PHP认证做得不错,雅虎的PHP程序员面试题也属于此类)。
  重要的是,这个问题可以让我知道应聘者是否经历过这样的事情——从一个懒散程序员手中接过一段凌乱的代码进行重用,或者要帮助团队中的其他成员来处理这类事情。
  诚然,对于这个问题我自己并没有一个满意的答案,不过我知道哪些答案是我想听到的:
  优良的PHP代码应该是结构化的。大段的代码应该被分割整理成一个个函数或方法,而那些不气眼的小段代码则应该加上注释,以便日后清楚它们的用 途。而且应该尽可能地把前台代码如HTML、CSS、Javascript等从程序中分离出来。PHP的面向对象编程特性可以很好地帮助程序员将代码整理 有序。
  优良的PHP代码应该是规范化的。无论是为变量名和函数名设定命名规则,还是对一些会重复使用的过程如数据库操作和错误处理进行标准化,抑或是简单到规定好代码是怎样缩进的,这些规范化都可以让代码的可读性大大提高。
  优良的PHP代码应该是自适应的。PHP有许多特性如magic quotes和short tags,这些特性的打开和关闭会影响到程序的运行。所以,一个好的程序员应该在他的代码中加如适当的语句来使程序能够根据环境进行调整。
  优良的PHP代码应该是安全的。虽然PHP是一种高效、灵活的语言,没有固定的框架,但却把安全问题留给了程序员们。对潜在安全漏洞的深刻理 解,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、代码注入漏洞、字符编码循环漏洞等,对于今天的专业程序员来说是至关重要的。
  当应聘者在回答这些问题的时候,我就能清楚地知道是否该录用他。当然,有时程序员并不能很好地阐明这个问题,这时我们会让他们做一些PHP测试。测试中的许多问题表面上看起来非常简单,但这也给了应聘者们一个展现自我的机会,因为只要观察得仔细,就能找出问题。
  下面这一小段“劣质”的PHP代码是一道简化了的测试题。这种问题就像在问:你该怎样优化这段代码?
  <?
  echo("<p>Search results for query: " .
  $_GET['query'] . ".</p>");
  ?>
  这段代码的主要问题在于它把用户提交的数据直接显示到了网页上,从而产生XSS漏洞。其实有很多方法可以填补这个漏洞。那么,什么代码是我们想要的呢?
  <?
  echo("<p>Search results for query: " .
  htmlspecialchars($_GET['query']) . ".</p>");
  ?>
  这是最低要求。XSS漏洞用htmlspecialchars函数填补了,从而屏蔽了非法字符。
  <?php
  if (isset($_GET['query']))
  {
  echo '<p>Search results for query: ',
  htmlspecialchars($_GET['query'], ENT_QUOTES), '.</p>';
  }
  ?>
  能写出这样代码的人应该是我想要录用的人了。
  <?被替换成了<?php,这样更符合XML规范。
  在输出$_GET['query']的值之前先判断它是否为空。
  echo命令中多余的括号被去掉了。
  字符串用单引号限定,从而节省了PHP从字符串中搜索可替换的变量的时间。
  用逗号代替句号,节省了echo的时间。
  将ENT_QUOTES标识传递给htmlspecialchars函数,从而保证单引号也会被转义。虽然这并是最主要的,但也算是一个良好习惯。
  PHP代码15实用技巧
  我们在编写程序时,总是想要使自己的程序占用资源最小,运行速度更快,代码量更少。PHP独特的语法混合了C、Java、Perl以及 PHP 自创新的语法,它可以比CGI或者Perl更快速的执行动态网页。PHP是将程序嵌入到HTML文档中去执行,执行效率比完全生成HTML标记的CGI要高得多。
  1.不要使用相对路径:
  该方法有很多缺点: 它首先查找指定的php包含路径, 然后查找当前目录。因此会检查过多路径。如果该脚本被另一目录的脚本包含, 它的基本目录变成了另一脚本所在的目录.另一问题, 当定时任务运行该脚本, 它的上级目录可能就不是工作目录了。因此最佳选择是使用绝对路径:,我们定义了一个绝对路径, 值被写死了. 我们还可以改进它. 路径 /var/www/project 也可能会改变, 那么我们每次都要改变它吗?不是的, 我们可以使用__FILE__常量,现在, 无论你移到哪个目录, 如移到一个外网的服务器上, 代码无须更改便可正确运行.
  2. 不要直接使用 require, include :
  可以在脚本头部引入多个文件, 像类库, 工具文件和助手函数,这种用法相当原始. 应该更灵活点. 应编写个助手函数包含文件,还可做得更多: 为同样文件查找多个目录。能很容易的改变放置类文件的目录, 无须在代码各处一一修改。可使用类似的函数加载文件,
  3. 为应用保留调试代码:
  在开发环境中, 我们打印数据库查询语句, 转存有问题的变量值, 而一旦问题解决, 我们注释或删除它们. 然而更好的做法是保留调试代码。
  4. 使用可跨平台的函数执行命令:
  system, exec, passthru, shell_exec 这4个函数可用于执行系统命令. 每个的行为都有细微差别. 问题在于, 当在共享主机中, 某些函数可能被选择性的禁用. 大多数新手趋于每次首先检查哪个函数可用, 然而再使用它。更好的方案是封成函数一个可跨平台的函数.
  5. 灵活编写函数:
  使用上面的函数添加单个项目. 而当添加项列表的时候,你要创建另一个函数吗? 不用, 只要稍加留意不同类型的参数, 就会更灵活.
  6. 有意忽略php关闭标签:
  我很想知道为什么这么多关于php建议的博客文章都没提到这点.
  7. 在某地方收集所有输入, 一次输出给浏览器:
  >>可以在发送给浏览器前更改输出. 如 str_replaces 函数或可能是 preg_replaces 或添加些监控/调试的html内容.
  >>输出给浏览器的同时又做php的处理很糟糕. 你应该看到过有些站点的侧边栏或中间出现错误信息. 知道为什么会发生吗? 因为处理和输出混合了.
  8. 发送正确的mime类型头信息:
  注意header行. 该行告知浏览器发送的是xml类型的内容. 所以浏览器能正确的处理. 很多的javascript库也依赖头信息.
  类似的有 javascript , css, jpg image, png image
  9. 为mysql连接设置正确的字符编码:
  曾经遇到过在mysql表中设置了unicode/utf-8编码, phpadmin也能正确显示, 但当你获取内容并在页面输出的时候,会出现乱码. 这里的问题出在mysql连接的字符编码.
  10. 使用 htmlentities 设置正确的编码选项:
  php5.4前, 字符的默认编码是ISO-8859-1, 不能直接输出如? ?等.php5.4以后, 默认编码为UTF-8, 这將解决很多问题. 但如果你的应用是多语言的, 仍然要留意编码问题,.
  11. 不要在应用中使用gzip压缩输出
  考虑过使用 ob_gzhandler 吗? 不要那样做. 毫无意义. php只应用来编写应用. 不应操心服务器和浏览器的数据传输优化问题.
  使用apache的mod_gzip/mod_deflate 模块压缩内容.
  12.使用json_encode输出动态
  13. 写文件前, 检查目录写权限:
  写或保存文件前, 确保目录是可写的, 假如不可写, 输出错误信息. 这会节约你很多调试时间. linux系统中, 需要处理权限, 目录权限不当会导致很多很多的问题, 文件也有可能无法读取等等.
  确保你的应用足够智能, 输出某些重要信息.
  14. 更改应用创建的文件权限:
  在linux环境中, 权限问题可能会浪费你很多时间. 从今往后, 无论何时, 当你创建一些文件后, 确保使用chmod设置正确权限. 否则的话, 可能文件先是由”php”用户创建, 但你用其它的用户登录工作, 系统將会拒绝访问或打开文件, 你不得不奋力获取root权限, 更改文件的权限等等.
  15. 不要依赖submit按钮值

上一篇:PHP中DateTime的常用方法

下一篇:PHP的安全配置要点有哪些