PHP 프레임워크: 피해야 할 숨겨진 오류-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

PHP 프레임워크: 피해야 할 숨겨진 오류

Susan Sarandon

Jan 04, 2025 pm 12:16 PM

PHP Frameworks: hidden errors to avoid

Symfony(작성 당시 7.2) 또는 Laravel과 같은 프레임워크는 사용자 정의가 가능하며 경험과 기술에 관계없이 모범 사례를 장려합니다.

그러나 여전히 디자인, 보안 또는 성능 문제가 발생할 수 있습니다.

Symfony: $container를 직접 호출하지 마세요

❌ 이것은 고전적이지만 여전히 개발자들이 많이 사용하는 것입니다.

 class LuckyController extends AbstractController
  {
      public function index()
       {
        $myDependency = $this->container->get(MyDependencyInterface::class);
        // 
       }

부모 AbstractController가 $container를 protected로 정의했기 때문에 가능합니다.

protected ContainerInterface $container;

출처: Symfony - GitHub

효과는 있지만 여러 가지 이유로 좋지 않은 습관입니다.

가독성에 해를 끼칩니다
테스트하기가 더 어렵습니다
전역 상태($container)에 의존합니다
향후 Symfony가 발전함에 따라 비호환성 문제가 발생할 수 있습니다

✅ 대신 생성자에서 종속성 주입을 사용하세요.

 class LuckyController extends AbstractController
  {
      public function __construct(private MyDependencyInterface $myDependency) {}

Eloquent ORM: 원시 쿼리를 맹목적으로 사용하지 마세요

Eloquent를 사용하면 SQL 쿼리를 매우 편리하게 작성할 수 있습니다.

개발자는 SQL 쿼리를 직접 작성하는 대신 PHP 래퍼를 사용하여 데이터베이스 엔터티와 상호 작용할 수 있습니다.

또한 배후에서 SQL 바인딩을 사용하므로 신뢰할 수 없는 입력에도 무료로 주입 방지 기능을 사용할 수 있습니다.

User::where('email', $request->input('email'))->get();

❌ 그러나 whereRaw와 같은 도우미를 사용하면 취약점이 발생할 수 있습니다.

User::whereRaw('email = "'. $request->input('email'). '"')->get();

✅ 적어도 항상 SQL 바인딩을 사용하세요.

User::whereRaw('email = :email', ['email' => $request->input('email')])->get();

주의: 위의 예는 이해가 되지 않지만 상황을 단순하게 유지합니다. 실제 사용 사례에서는 최적화 목적으로 또는 매우 구체적인 where 조건을 구현하기 위해 whereRaw가 필요할 수 있습니다.

Laravel: CSRF는 어떻습니까?

CSRF 공격을 통해 해커는 최종 사용자가 현재 인증된 앱에서 원치 않는 작업을 실행하도록 강제합니다.

Laravel에는 이러한 상황을 방지하는 메커니즘이 내장되어 있습니다.

대략 말하면 요청과 함께 보낼 토큰(숨겨진 필드)을 추가하므로 "인증된 사용자가 실제로 애플리케이션에 요청하는 사람"인지 확인할 수 있습니다.

그렇습니다.

❌ 그러나 일부 앱에서는 이 구현을 건너뜁니다.

✅ 내장된 미들웨어를 사용해야 하는지 여부는 여기서 관련이 없지만 앱이 CSRF 공격으로부터 보호되는지 확인하세요.

Laravel의 구현에 대한 자세한 내용은 이 페이지를 참조하세요.

AJAX 요청도 보호해 주세요.

Eloquent ORM: 쿼리는 "자동으로" 최적화되지 않습니다.

Eloquent는 즉시 로딩/지연 로딩을 허용하고 쿼리 캐싱, 인덱싱, 일괄 처리 등 다양한 최적화를 지원합니다.

그러나 특히 대규모 데이터세트의 경우 모든 성능 문제를 예방할 수는 없습니다.

❌ 이러한 루프를 보는 것은 드문 일이 아닙니다.

 class LuckyController extends AbstractController
  {
      public function index()
       {
        $myDependency = $this->container->get(MyDependencyInterface::class);
        // 
       }

그러나 메모리 문제가 발생할 수 있습니다.

✅ 가능하다면 Laravel 컬렉션과 청크와 같은 도우미를 활용하는 것이 더 나은 접근 방식입니다.

protected ContainerInterface $container;

자세한 내용은 설명서를 확인하세요.

주의: 작동하지만 이러한 도우미는 단지 구현을 쉽게 하기 위한 것이므로 느린 쿼리와 기타 병목 현상을 모니터링해야 한다는 점을 잊지 마세요.

심포니: SRP 서비스

문서에 나와 있는 대로:

유용한 개체를 서비스라고 하며 각 서비스는 서비스 컨테이너라는 매우 특별한 개체 안에 있습니다. 컨테이너를 사용하면 객체가 구성되는 방식을 중앙 집중화할 수 있습니다. 이는 귀하의 삶을 더 쉽게 만들고 강력한 아키텍처를 촉진하며 매우 빠릅니다!

즉, 애플리케이션에 대한 특정 책임을 처리하기 위해 사용자 정의 서비스를 작성하게 됩니다.

❌ 문서가 맞습니다. 강력한 아키텍처를 장려하는 것을 목표로 하지만 단일 책임 원칙(SRP)을 위반하는 서비스를 읽는 것은 드문 일이 아닙니다.

 class LuckyController extends AbstractController
  {
      public function __construct(private MyDependencyInterface $myDependency) {}

✅ 그 원칙을 존중해야 합니다. 테스트 및 유지 관리가 더 쉬워집니다.

Symfony: 공개 서비스와 비공개 서비스

❌ Symfony를 사용하면 $container->get('service_id')를 사용하여 모든 공공 서비스에 전화할 수 있습니다.

앞서 $container를 그렇게 호출하는 것은 나쁜 습관으로 간주된다는 점을 살펴보았습니다.

모든 서비스를 공개하고 싶은 유혹을 뿌리칠 수 없으므로 프로젝트 내 거의 모든 곳에서 해당 서비스를 ID로 검색할 수 있습니다.

그러지 마세요.

✅ 대신 대부분의 맞춤 서비스를 비공개로 유지하고 종속성 주입을 사용하세요.

마무리

제가 프레임워크에서 "잠재 오류" 또는 "숨겨진 오류"라고 부르는 현상을 피하시길 바랍니다.

구현 방법을 모른다면 프레임워크를 신뢰하세요. 하지만 일부 메커니즘은 기본적으로 활성화되지 않을 수 있다는 점에 유의하세요.

위 내용은 PHP 프레임워크: 피해야 할 숨겨진 오류의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

PHP 세션이 이미 시작되었는지 어떻게 확인할 수 있습니까?Apr 30, 2025 am 12:20 AM

PHP에서는 session_status () 또는 session_id ()를 사용하여 세션이 시작되었는지 확인할 수 있습니다. 1) session_status () 함수를 사용하십시오. php_session_active가 반환되면 세션이 시작되었습니다. 2) session_id () 함수를 사용하십시오. 비어 있지 않은 문자열이 반환되면 세션이 시작되었습니다. 두 방법 모두 세션 상태를 효과적으로 확인할 수 있으며 사용할 방법을 선택하면 PHP 버전 및 개인 선호도에 따라 다릅니다.

웹 응용 프로그램에서 세션을 사용하는 것이 필수적인 시나리오를 설명하십시오.Apr 30, 2025 am 12:16 AM

SessionSareVitalInWebApplications, 특히 상수도가 포함되어 있습니다.

PHP에서 동시 세션 액세스를 어떻게 관리 할 수 있습니까?Apr 30, 2025 am 12:11 AM

PHP에서 동시 세션 액세스 관리 다음 방법으로 수행 할 수 있습니다. 1. 데이터베이스를 사용하여 세션 데이터를 저장하십시오. 이러한 방법은 데이터 일관성을 보장하고 동시성 성능을 향상시키는 데 도움이됩니다.

PHP 세션 사용의 한계는 무엇입니까?Apr 30, 2025 am 12:04 AM

phpsessionshaveseverallimitations : 1) StorageConstraintsCanleadToperFormanceIssues; 2) SecurityVulnerabilitiesSessionFixationAtCATACKSEXIST; 3) 확장 성분이 ANCHALLENGINGDUETOSERVERS-SCIFICSTORAGE; 4) SessionExpirationManagementCanbeproblematic; 5) Datapersis

로드 밸런싱이 세션 관리에 어떤 영향을 미치는지 설명하고 해결 방법을 설명하십시오.Apr 29, 2025 am 12:42 AM

로드 밸런싱은 세션 관리에 영향을 미치지 만 세션 복제, 세션 끈적임 및 중앙 집중식 세션 스토리지로 해결할 수 있습니다. 1. 세션 복제 복사 서버 간의 세션 데이터. 2. 세션 끈은 사용자 요청을 동일한 서버로 안내합니다. 3. 중앙 집중식 세션 스토리지는 Redis와 같은 독립 서버를 사용하여 세션 데이터를 저장하여 데이터 공유를 보장합니다.

세션 잠금의 개념을 설명하십시오.Apr 29, 2025 am 12:39 AM

SessionLockingIsateChniqueSureDureauser의 SessionLockingSsessionRemainSexclusivetoOneuseratatime.itiscrucialforpreptingdatacorruptionandsecurityBreachesInmulti-userApplications.sessionLockingSogingSompletEdusingserVerver-sidelockingMegynisms, unrasprantlockinj

PHP 세션에 대한 대안이 있습니까?Apr 29, 2025 am 12:36 AM

PHP 세션의 대안에는 쿠키, 토큰 기반 인증, 데이터베이스 기반 세션 및 Redis/Memcached가 포함됩니다. 1. Cookies는 클라이언트에 데이터를 저장하여 세션을 관리합니다. 이는 단순하지만 보안이 적습니다. 2. Token 기반 인증은 토큰을 사용하여 사용자를 확인합니다. 이는 매우 안전하지만 추가 논리가 필요합니다. 3. Database 기반 세션은 데이터베이스에 데이터를 저장하여 확장 성이 좋지만 성능에 영향을 줄 수 있습니다. 4. Redis/Memcached는 분산 캐시를 사용하여 성능 및 확장 성을 향상하지만 추가 일치가 필요합니다.

PHP의 맥락에서 '세션 납치'라는 용어를 정의하십시오.Apr 29, 2025 am 12:33 AM

SessionHijacking은 사용자의 SessionID를 얻음으로써 사용자를 가장하는 공격자를 말합니다. 예방 방법은 다음과 같습니다. 1) HTTPS를 사용한 의사 소통 암호화; 2) SessionID의 출처를 확인; 3) 보안 세션 생성 알고리즘 사용; 4) 정기적으로 SessionID를 업데이트합니다.

See all articles