Créer une application PHP robuste: stratégie de programmation défensive
Cet article explore l'importance de la programmation défensive dans le développement de PHP et fournit des stratégies clés pour améliorer la robustesse et l'efficacité des applications. La programmation défensive n'est pas d'éviter le développement axé sur les tests, mais de prévoir et d'éviter les points de défaillance potentiels avant les problèmes.
Points de base:
- Programmation défensive est conçue pour prédire les points de défaillance potentiels et prendre des mesures pour les contourner avant qu'ils ne se produisent.
- "Échec rapide, signalez une erreur bruyamment" est une méthode de programmation défensive efficace. Les erreurs doivent apparaître tôt et les alerter, en particulier lors du traitement de l'entrée des utilisateurs ou des entrées à partir de systèmes externes tels que les API.
- Vérification des entrées, empêchant des affectations inattendues en comparaison, TRY / Catch Excepter le traitement et les transactions de base de données sont des aspects clés de la programmation défensive.
Définition de la programmation défensive:
La programmation défensive, tout simplement, est de programmer dans le but de prédire les points de défaillance potentiels. L'objectif est de contourner ces problèmes avant qu'ils ne se produisent.
Beaucoup de gens s'opposent à la programmation défensive, mais cela est souvent dû à certaines des méthodes de programmation défensive qu'ils voient. La programmation défensive ne doit pas être considérée comme un moyen d'éviter le développement axé sur les tests ou simplement pour réparer les échecs.
"FAISE FAST" ne doit pas être considéré comme un contraire de la programmation défensive. Les deux appartiennent à la même catégorie. Quelles sont ces méthodes, sinon pour prédire la défaillance possible du programme et pour prévenir ou gérer correctement ces échecs?
rapidement rapidement, signalez une erreur à haute voix
En termes simples " problèmes.
Cette méthode est plus utile lors du traitement de l'entrée des utilisateurs ou de la saisie des scripts, des modules ou en dehors du système (par exemple via l'API). Un scénario d'application consiste à vérifier les valeurs ou les types de données non valides transmis à une fonction.
function thisTestFunction($testInt) {
if (!is_int($testInt)) {
// 执行某些操作
}
}
L'une des erreurs que certains programmeurs utilisent la méthode de "défaillance rapide" consiste simplement à lancer des exceptions et des erreurs à l'utilisateur sans se préparer correctement à les gérer. Vous ne voulez pas que l'utilisateur moyen soit inquiet ou confondu par votre message d'erreur. Plus important encore, vous ne voulez pas que les utilisateurs malveillants apprennent quoi que ce soit des informations qu'ils leur sont affichées. Montrez à l'utilisateur un message utile, enregistrez votre erreur et effectuez toutes les autres tâches qui doivent être le résultat de cette exception. Vous ne voulez pas simplement Fast échec, vous avez également besoin de fort (sachez qu'il y a un problème) et de la sécurité (ne vous laissez pas avoir une mauvaise exception ou un manque total d'exception Gestion de provoquer plus de problèmes de sécurité).
Vérification d'entrée
Il existe de nombreuses façons de vérifier en toute sécurité l'entrée utilisateur.
La conversion de type est un moyen intéressant de "vérifier" l'entrée utilisateur. Parfois, cela ressemble à ceci:
function thisTestFunction($testInt) {
if (!is_int($testInt)) {
// 执行某些操作
}
}
Au lieu d'utiliser d'autres méthodes pour éviter les attaques de scripts inter-sites, il capture, tape, convertit et attribue des valeurs. Cela ne fonctionne que si vous avez le type attendu et que toute valeur de ce type est sûre (sinon, vous devez également vérifier la valeur entière appropriée ). Je pense que le problème avec cette approche (dans la plupart des cas) est que vous n'êtes pas vraiment vérifier l'entrée , mais juste force cela devient ce qu'il devrait être. Cela peut avoir des conséquences involontaires. Au lieu de cela, une meilleure approche pourrait être d'utiliser filter_input() pour vérifier la valeur appropriée.
$member->property = (int)$_GET['property'];
Il y a de nombreux avantages à utiliser les fonctions natives filter_input dans PHP moderne, vous pouvez en savoir plus dans l'article ci-dessus ou sur php.net.
Empêcher les affectations inattendues en comparaison
Il s'agit d'un principe de programmation défensif simple et souvent remarqué. Faire des changements simples dans la façon dont vous comparez peut avoir un impact énorme. Considérez la situation suivante:
$member->property = filter_input(INPUT_GET, 'property', FILTER_VALIDATE_INT);
if (false === $member->property) {
throw new Exception('Property was not an int');
}
Il s'agit d'une comparaison relativement normale, non? Mais que se passe-t-il si vous utilisez accidentellement "=" au lieu de "==" (ou, dans la plupart des cas, mieux "==")? Swipe simple des doigts sur le clavier? Oublieux, peut-être? Soudain, votre comparaison est toujours, dans tous les cas, vraie. À moins que votre IDE ne vous avertit cela, combien de temps vous faudra-t-il pour le découvrir? Dans certains cas, cela peut être une erreur silencieuse pendant un certain temps. Cependant, il existe un moyen extrêmement simple d'éviter cela:
if ($member->property == 12345) {
// 执行很酷的操作
} else {
// 不执行任何有趣的操作
}
Maintenant, si vous utilisez accidentellement un signe égal, l'erreur ne sera pas silencieuse. De toute évidence, cela peut ne pas se produire souvent, il peut être atténué par vos tests et n'est pas pratique dans tous les cas, surtout lorsque vous effectuez des comparaisons variables à variables. Mais si vous avez tendance à se produire, ce n'est toujours pas une mauvaise idée.
gérer l'essai / capture et les exceptions
L'énoncé Try / Catch est un autre sujet brûlant parmi les développeurs PHP. Voyons d'abord ce dont nous discutons.
if (12345 == $member->property) {
// 执行很酷的操作
} else {
// 不执行任何有趣的操作
}
Un outil bien connu pour la programmation défensive est l'instruction Try / Catch et la classe d'exception. Lorsqu'ils sont utilisés correctement, ils sont parfaits pour attraper et enregistrer les erreurs. Un bon programmeur utilisera l'instruction Try / Catch pour prédire les erreurs ou d'autres situations qui peuvent provoquer l'interruption des processus normaux. Lorsque ces exceptions se produisent, elles doivent être traitées de manière appropriée. Si nécessaire, les utilisateurs de l'application doivent recevoir des messages d'erreur raisonnables aussi utiles que possible sans divulguer d'informations sensibles. L'administrateur de la demande doit recevoir des alertes et / ou des journaux détaillés. Les exceptions non transformées ou ignorées ignorent la suggestion de "signaler une erreur bruyamment" et peuvent permettre au programme d'être dans un état d'erreur silencieux pendant une période de temps, ce qui n'est bon pour toute personne impliquée.
Business
Les transactions sont une caractéristique des bases de données qui permettent aux requêtes d'être regroupées afin que si une requête échoue, toutes les requêtes échouent. C'est la mise en œuvre de l'acide, et vous pouvez en savoir plus ici. L'idée est que la combinaison de plusieurs requêtes en un seul processus peut parfois être une solution plus sûre et plus stable, surtout lorsque les requêtes sont interdépendantes. Les développeurs PHP ignorent souvent les transactions entièrement, ou supposent qu'elles ne sont pas nécessaires, mais certaines programmes défensifs peuvent aller très loin lorsqu'ils interagissent avec une base de données. Les transactions sont discutées plus en profondeur dans cet article, mais en bref, les transactions vous permettent d'exécuter des mises à jour MySQL, puis de vérifier les résultats avant les résultats réels commet . Si vous utilisez PDO (vous devriez), vous pouvez démarrer la transaction à l'aide de la méthode PDO, engager le résultat et faire reculer. En plus du résumé ci-dessus des transactions, ils peuvent être étudiés davantage via ce guide approfondi.
Conclusion
Ce ne sont que quelques astuces courantes. De toute évidence, chacun d'eux a son objectif, et chacun a sa situation importante où elle ne s'applique pas. Mais si vous incorporez ces concepts dans votre régime de développement quotidien, cela peut augmenter l'efficacité de votre travail. Bien qu'il s'agisse généralement d'un sujet plus adapté aux développeurs qui apprennent actuellement PHP, pour tout le monde, c'est une bonne revue de la pratique.
S'il n'y a qu'une seule chose qui se souvient, en particulier pour les nouveaux développeurs, c'est que vous devriez faire une programmation défensive - un plan qui peut être faux. Les gérer correctement. Ne laissez pas les erreurs silencieuses continuer à se développer. A échoué rapidement. Testez votre code. En construisant des applications robustes qui testent et résolvent des problèmes, et prédisent et traitent les problèmes futurs, vous pouvez rendre vos applications plus fiables et, espérons-le, aider à créer une meilleure expérience utilisateur dans les coulisses.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Qu'est-ce que l'APD dans PHP?Apr 28, 2025 pm 04:51 PML'article traite des objets de données PHP (PDO), une extension pour l'accès à la base de données dans PHP. Il met en évidence le rôle de PDO dans l'amélioration de la sécurité grâce à des instructions préparées et à ses avantages sur MySQLI, y compris l'abstraction de la base de données et une meilleure gestion des erreurs.
Qu'est-ce que Memcache et Memcached en PHP? Est-il possible de partager une seule instance d'un Memcache entre plusieurs projets de PHP?Apr 28, 2025 pm 04:47 PMMemCache et Memcached sont des systèmes de mise en cache PHP qui accélèrent les applications Web en réduisant la charge de base de données. Une seule instance peut être partagée entre des projets avec une gestion clé.
Quelles sont les étapes pour créer une nouvelle base de données à l'aide de MySQL et PHP?Apr 28, 2025 pm 04:44 PML'article traite des étapes pour créer et gérer les bases de données MySQL à l'aide de PHP, en se concentrant sur la connexion, la création, les erreurs courantes et les mesures de sécurité.
JavaScript interagit-il avec PHP?Apr 28, 2025 pm 04:43 PML'article explique comment JavaScript et PHP interagissent indirectement via les demandes HTTP en raison de leurs différents environnements. Il couvre les méthodes pour l'envoi de données de JavaScript à PHP et met en évidence des considérations de sécurité comme la validation des données et le prot
Qu'est-ce que la poire en php?Apr 28, 2025 pm 04:38 PMPear est un cadre PHP pour les composants réutilisables, l'amélioration du développement avec la gestion des packages, les normes de codage et le soutien communautaire.
Quelles sont les utilisations de PHP?Apr 28, 2025 pm 04:37 PMPHP est un langage de script polyvalent utilisé principalement pour le développement Web, la création de pages dynamiques, et peut également être utilisé pour les scripts en ligne de commande, les applications de bureau et le développement d'API.
Quel était l'ancien nom de PHP?Apr 28, 2025 pm 04:36 PML'article traite de l'évolution de PHP des "outils personnels de la page d'accueil" en 1995 à "PHP: Hypertext Preprocessor" en 1998, reflétant son utilisation élargie au-delà des sites Web personnels.
Comment pouvez-vous empêcher les attaques de fixation de session?Apr 28, 2025 am 12:25 AMDes méthodes efficaces pour empêcher les attaques fixes de session incluent: 1. Régénérer l'ID de session après que l'utilisateur se connecte; 2. Utilisez un algorithme de génération d'ID de session sécurisé; 3. Mettre en œuvre le mécanisme de délai d'expiration de la session; 4. Cryptez les données de session à l'aide de HTTPS. Ces mesures peuvent garantir que l'application est indestructible lorsqu'il est confronté à des attaques fixes de session.
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
Version crackée d'EditPlus en chinois
Petite taille, coloration syntaxique, ne prend pas en charge la fonction d'invite de code
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
MinGW - GNU minimaliste pour Windows
Ce projet est en cours de migration vers osdn.net/projects/mingw, vous pouvez continuer à nous suivre là-bas. MinGW : un port Windows natif de GNU Compiler Collection (GCC), des bibliothèques d'importation et des fichiers d'en-tête librement distribuables pour la création d'applications Windows natives ; inclut des extensions du runtime MSVC pour prendre en charge la fonctionnalité C99. Tous les logiciels MinGW peuvent fonctionner sur les plates-formes Windows 64 bits.
mPDF
mPDF est une bibliothèque PHP qui peut générer des fichiers PDF à partir de HTML encodé en UTF-8. L'auteur original, Ian Back, a écrit mPDF pour générer des fichiers PDF « à la volée » depuis son site Web et gérer différentes langues. Il est plus lent et produit des fichiers plus volumineux lors de l'utilisation de polices Unicode que les scripts originaux comme HTML2FPDF, mais prend en charge les styles CSS, etc. et présente de nombreuses améliorations. Prend en charge presque toutes les langues, y compris RTL (arabe et hébreu) et CJK (chinois, japonais et coréen). Prend en charge les éléments imbriqués au niveau du bloc (tels que P, DIV),
DVWA
Damn Vulnerable Web App (DVWA) est une application Web PHP/MySQL très vulnérable. Ses principaux objectifs sont d'aider les professionnels de la sécurité à tester leurs compétences et leurs outils dans un environnement juridique, d'aider les développeurs Web à mieux comprendre le processus de sécurisation des applications Web et d'aider les enseignants/étudiants à enseigner/apprendre dans un environnement de classe. Application Web sécurité. L'objectif de DVWA est de mettre en pratique certaines des vulnérabilités Web les plus courantes via une interface simple et directe, avec différents degrés de difficulté. Veuillez noter que ce logiciel
