좋은 사례, 이번에는 PHP 레코드를 개발할 때 사용해야 할 몇 가지 좋은 사례를 주로 선택했습니다. 특히 모범 사례 섹션에서 비밀번호와 흐름의 두 가지 사항에 대해 코딩 스타일, (개인적으로) 일반적인 관행에 대해 간략하게 논의할 것입니다.
PHP 컴포넌트와 프레임워크가 많이 발생하는데, 별도로 개발된 프레임워크에서는 다른 프레임워크와의 통신을 고려하지 않는다는 문제가 있습니다. 이는 개발자와 프레임워크 자체에 해가 됩니다.
PHP-FIG
는 PHP 프레임워크 이 문제는 2009년 php|tek(인기 있는 PHP 컨퍼런스)에서 논의되었습니다. 토론 후 결론은 다음과 같습니다. 프레임워크의 상호 운용성을 향상하려면 따라서 PHP 프레임워크 개발자는 다음과 같습니다. php|tek에서 우연히 만난 사람은 PHP-FIG라고 불리는 PHP 프레임워크 Interop 그룹을 조직했습니다.
PSR-2: 엄격한 코딩 스타일 PSR-3: 로거 처음 권장 사양이 4개뿐이고 틀린 부분은 없습니다. PSR-0은 폐기되고 새로 출시된 PSR-4로 대체되었습니다 커뮤니티 표준에 맞춰 작성하려는 경우 PSR-2는 PSR-1을 기반으로 하는 PHP코드 사양을 추가로 정의합니다. 이 표준은 들여쓰기와 같은 세기의 많은 문제를 해결합니다. 표준 설정 4.PSR-3: 로거 인터페이스 이 권장 사항은 표준 오토로더 전략을 설명합니다. 오토로더 전략은 런타임 시 요청에 따라 PHP 클래스, 인터페이스 또는 특성을 찾아 이를 PHP 인터프리터에 로드하는 것을 의미합니다.
는 먼저 PSR-1을 준수해야 합니다. 이 표준을 준수하는 것은 매우 간단합니다. 아마도 이미 해당 표준에 대한 자세한 내용을 작성하지는 않을 것입니다. >3.PSR-2: 엄격한 코딩 스타일
또한 많은 IDE(예: PHPStorm)에는 이제 코드 서식 표준을 설정하고 모든 내용의 서식을 지정하는 데 도움이 되는 코드 서식 기능이 있습니다. 권장 사양을 준수하고 줄 바꿈, 들여쓰기, 중괄호 등과 같은 일부 세부 사항을 수정합니다.
이 권장 사양은 이전 두 가지와 다릅니다. 이는 PHP 로거 구성 요소가 구현할 수 있는 메서드를 지정하는 인터페이스입니다. PSR-3 권장 사항을 준수하는 PHP 로거 구성 요소에는 PsrLogLoggerInterface 인터페이스를 구현하는 PHP 클래스가 포함되어야 합니다. PSR-3 인터페이스는 RFC 5424 시스템 로그 프로토콜을 재사용하고 구현할 9가지 메서드를 지정합니다. <?php
namespace Psr\Log;
interface LoggerInterface
{
public function emergency($message, array $context = array());
public function alert($message, array $context = array());
public function critical($message, array $context = array());
public function error($message, array $context = array());
public function warning($message, array $context = array());
public function notice($message, array $context = array());
public function info($message, array $context = array());
public function debug($message, array $context = array());
public function log($level, $message, array $context = array());
}
PRS-3 로거 사용 자신만의 PSR-3 로거를 작성하고 있다면 이제 그만할 시간입니다. 이미 훌륭한 로거 구성 요소가 있기 때문입니다. 예: monolog/monolog, 그냥 직접 사용하세요. 요구 사항을 충족할 수 없는 경우 이를 기반으로 확장하는 것도 권장됩니다. 5.PSR-4: 오토로더 <?php
include 'path/to/file1.php';
include 'path/to/file2.php';
include 'path/to/file3.php';
함수(include(), include_once
(),
()를 사용하세요. ) , require_once()) 작업을 매우 잘 수행할 수 있습니다. 하지만 수천 개의 PHP 스크립트를 가져오고 싶다면 어떻게 해야 할까요? PSR-4 권장 사항 이전에 PHP 구성 요소 및 프레임워크 작성자는 autoload() 및 spl_autoload_register() 함수를 사용하여 사용자 정의 자동 로더 전략을 등록했습니다. 그러나 각 PHP 구성 요소와 프레임워크의 자동 로더는 고유한 자동 로더를 사용합니다. 따라서 많은 구성 요소를 사용할 때도 매우 번거롭습니다. 推荐使用PSR-4自动加载器规范,就是解决这个问题,促进组件实现互操作性。 PSR-4自动加载器策略 如何编写PSR-4自动加载器 使用htmlentities()函数过滤输入。 需要注意的是:默认情况下,htmlentities()函数不会转义单引号,而且也检测不出输入字符串的字符集。正确的使用方式是:第一个参数输入字符串;第二个参数设为ENT_QUOTES常量,转移单引号;第三个参数设为输入字符串的字符集。 更多过滤HTML输入的方式,可以使用HTML Purifier库。这个库强健且安全,缺点:慢,且可能难以配置。 构建SQL查询不好的方式: 如果 A.过滤用户资料中的电子邮件地址 B.过滤用户资料中的外国字符 验证数据与过滤不同,验证不会从输入数据中删除信息,而是只确认输入数据是否符合预期。 验证电子邮件地址 哈希算法有很多种,例如:MD5、SHA1、bcrypt和scrypt。有些算法的速度很快,用于验证数据完整性;有些算法速度则很慢,旨在提高安全性。生成密码和存储密码时需要使用速度慢、安全性高的算法。 目前,经同行审查,最安全的哈希算法是bcrypt。与MD5和SHA1不同,bcrypt是故意设计的很慢。bcrypt算法会自动加盐,防止潜在的彩虹表攻击。bcrypt算法永不过时,如果计算机的运算速度变快了,我们只需提高工作因子的值。 重新计算密码的哈希值 值得注意的是:在登录前,一定要使用password_needs_rehash()函数检查用户记录中现有的密码哈希值是否过期。如果过期了,要重新计算密码哈希值。 PHP5.5.0之前的密码哈希API password_hash() password_get_info() password_needs_rehash() password_verify() DateTime类提供一个面向对象接口,用于管理日期和时间。 没有参数,创建的是一个表示当前日期和时间的实例: 传入参数创建实例: 指定格式,静态构造: DateInterval实例表示长度固定的时间段(比如,“两天”),或者相对而言的时间段(比如,“昨天”)。DateInterval实例用于修改DateTime实例。 使用DateInterval类: 创建反向的DateInterval实例: 如果应用要迎合国际客户,可能要和时区斗争。 创建、使用时区: 实例化之后,也可以使用 有时我们需要迭代处理一段时间内反复出现的一系列日期和时间,DatePeriod类可以解决这种问题。DatePeriod类的构造方法接受三个参数,而且都必须提供: 一个Datetime实例,表示迭代开始时的日期和时间。 一个DateInterval实例,表示到下个日期和时间的间隔。 一个整数,表示迭代的总次数。 DatePeriod实例是迭代器,每次迭代时都会产出一个DateTime实例。 使用DatePeriod类: PHP应用可以在很多种数据库中持久保存信息,比如:MySQL、SQLite、Oracle等。如果在项目中使用多种数据库,需要安装并学习多种PHP数据库扩展和接口,这增加了认知和技术负担。 正是基于这个原因,PHP原生提供了PDO扩展(PHP Data Objects,意思是PHP数据对象),PDO是一系列PHP类,抽象了不同数据库的具体实现。PDO的介绍和使用就不写了,比较常用。 在现代的PHP特性中,流或许是最出色但最少使用的。虽然PHP4.3.0就引入了流,但很多开发者不知道流的存在,因为很少人提及流,而且流的文档也匮乏。官方的解释比较难理解,一句话说就是:流的作用是在出发地和目的地之间传输数据。 我把流理解为管道,相当于把水从一个地方引到另一个地方。在水从出发地流到目的地的过程中,我们可以过滤水,可以改变水质,可以添加水,也可以排出水(提示:水是数据的隐喻)。 流式数据的种类各异,每种类型需要独特的协议,以便读写数据。我们称这些协议为流封装协议。比如,我们可以读写文件系统,可以通过HTTP、HTTPS或SSH与远程Web服务器通信,还可以打开并读写ZIP、RAR或PHAR压缩文件。这些通信方式都包含下述相同的过程: 开始通信。 读取数据。 写入数据。 结束通信。 虽然过程一样的,但是读写文件系统中文件的方式与手法HTTP消息的方式有所不同。流封装协议的作用是使用通用的几口封装这些差异。 每个流都有一个协议和一个目标。格式如下: 说这么多有点懵,先看例子,使用HTTP流封装协议与Flickr API通信: 不要误以为这是普通的网页URL,file_get_contents()函数的字符串参数其实是一个流标识符。http协议会让PHP使用HTTP流封装协议。看起来像是普通的网页URL,是因为HTTP流封装协议就是这样规定的:)。其他流封装协议可能不是这样。 我们使用 隐式使用 显式使用 有些PHP流能接受一些列可选的参数,这些参数叫流上下文,用于定制流的行为。流上下文使用 比如,你知道可以使用 关于PHP的流,其实真正强大的地方在于过滤、转换、添加或删除流中传输的数据。 注意:PHP内置了几个流过滤器:string.rot13、string.toupper、string.tolower和string.strp_tags。这些过滤器没什么用,我们要使用自定义的过滤器。 若想把过滤器附加到现有的流上,要使用 使用 来看个更实际的流过滤器示例,假如我们nginx访问日志保存在rsync.net,一天的访问情况保存在一个日志文件中,而且会使用bzip2压缩每个日志文件,名称格式为:YYYY-MM-DD.log.bz2。某天,领导让我提取过去30天某个域名的访问数据。使用DateTime类和流过滤器迭代bzip压缩的日志文件: 计算日期范围,确定日志文件的名称,通过FTP连接rsync.net,下载文件,解压缩文件,逐行迭代每个文件,把相应的行提取出来,然后把访问数据写入一个输出目标。使用PHP流,不到20行代码就能做完所有这些事情。 其实大多数情况下都要使用自定义的流过滤器。自定义的流过滤器是个PHP类,继承内置的php_user_filter类。这个类必须实现 PHP流会把数据分成按次序排列的桶,一个桶中盛放的流数据量是固定的。一定时间内过滤器接收到的桶叫做桶队列。桶队列中的每个桶对象都有两个公开属性:data和datalen,分别是桶中的内容和内容的长度。 下面定义一个处理脏字的流过滤器: 注册流过滤器 第一个参数是用于识别这个自定义过滤器的过滤器名,第二个参数是自定义过滤器的类名。 使用DirtWordsFilter流过滤器 对错误和异常的处理,一定要遵守四个规则: 一定要让PHP报告错误。 在开发环境中要显示错误。 在生产环境中不能显示错误。 在开发环境和生产环境中都要记录错误。 错误与异常在日常使用的比较多,就不记录啦。
PSR-4推荐规范不要求改变代码的实现方式,只建议如何使用文件系统目录结构和PHP命名空间组织代码。PSR-4的精髓是把命名空间的前缀和文件系统中的目录对应起来。比如,我可以告诉PHP,\Oreilly\ModernPHP命名空间中的类、接口和性状在物理文件系统的src/目录中,这样PHP就知道,前缀为\Oreilly\ModernPHP的命名空间中的类、接口和性状对应的src/目录里的目录和文件。
如果你在写自己的PSR-4自动加载器,请停下来。我们可以使用依赖管理器Composer自动生成的PSR-4自动加载器。三、良好实践
1.过滤、验证和转义
过滤HTML
<?php
$input = '<p><script>alert("You won the Nigerian lottery!");</script></p>';
echo htmlentities($input, ENT_QUOTES, 'UTF-8');
SQL查询
$sql = sprintf(
'UPDATE users SET password = "%s" WHERE id = %s',
$_POST['password'],
$_GET['id']
);
psasword=abc";--
,则导致修改了整个users表的记录password都未abc。如果需要在SQL查询中使用输入数据,要使用PDO预处理语句。用户资料信息
这里会删除除字符、数字和!#$%&'*+-/=?^_{|}~@.[]`之外的所有其他符号。<?php
$email = 'beckjiang@meijiabang.cn';
$emailSafe = filter_var($email, FILTER_SANITIZE_EMAIL);
<?php
$string = "外国字符";
$safeString = filter_var(
$string,
FILTER_SANITIZE_STRING,
FILTER_FLAG_STRIP_LOW|FILTER_FLAG_ENCODE_HIGH
);
验证数据
我们可以把某个FILTER_VALIDATE_*标志传给filter_var()函数,除了电子邮件地址,还可以验证布尔值、浮点数、整数、IP地址、正则表达式和URL。<?php
$input = 'beckjiang@meijiabang.cn';
$isEmail = filter_var($input, FILTER_VALIDAE_EMAIL);
if ($isEmail !== false) {
echo "Success";
} else {
echo "Fail";
}
2.密码
下面是登录用户的脚本:<?php
session_start();
try {
// 从请求主体中获取电子邮件地址
$email = filter_input(INPUT_POST, 'email');
// 从请求主体中获取密码
$password = filter_input(INPUT_POST, 'password');
// 使用电子邮件地址获取用户(注意,这是虚构代码)
$user = User::findByEmail($email);
// 验证密码和账户的密码哈希值是否匹配
if (password_verify($password, $user->password_hash) === false) {
throw new Exception('Invalid password');
}
// 如果需要,重新计算密码的哈希值
$currentHashAlgorithm = PASSWORD_DEFAULT;
$currentHashOptions = array('cost' => 15);
$passwordNeedRehash = password_needs_rehash(
$user->password_hash,
$currentHashAlgorithm,
$currentHashOptions
);
if ($passwordNeedsRehash === true) {
// 保存新计算得出的密码哈希值(注意,这是虚构代码)
$user->password_hash = password_hash(
$password,
$currentHashAlgorithm,
$currentHashOptions
);
$user->save();
}
// 把登录状态保存到回话中
...
// 重定向到个人资料页面
...
} catch (Exception $e) {
//异常处理
...
}
如果无法使用PHP5.5.0或以上版本,可以使用安东尼·费拉拉开发的ircmaxell/password-compat组件。这个组件实现了PHP密码哈希API中的所有函数:
3.日期、时间和时区
DateTime类
<?php
$datetime = new DateTime();
<?php
$datetime = new DateTime('2017-01-28 15:27');
<?php
$datetime = DateTime::createFromFormat('M j, Y H:i:s', 'Jan 2, 2017 15:27:30');
DateInterval类
<?php
// 创建DateTime实例
$datetime = new DateTime();
// 创建长度为两周的间隔
$interval = new DateInterval('P2W');
// 修改DateTime实例
$datetime->add($interval);
echo $datetime->format('Y-m-d H:i:s');
<?php
// 过去一天
$interval = new DateInterval('-1 day');
DateTimeZone类
<?php
$timezone = new DateTimeZone('America/New_York');
$datetime = new DateTime('2017-01-28', $timezone);
setTimeZone()
函数设置市区:$datetime->setTimeZone(new DateTimeZone('Asia/Hong_Kong'));
DatePeriod类
<?php
$start = new DateTime();
$interval = new DateInterval('P2W');
$period = new DatePeriod($start, $interval, 3);
foreach ($period as $nextDateTime) {
echo $nextDateTime->format('Y-m-d H:i:s'), PHP_EOL;
}
4.数据库
5.流
流封装协议
<scheme>://<target>
<?php
$json = file_get_contents(
'http://api.flickr.com/services/feeds/photos_public.gne?format=json'
);
file://流封装协议
file_get_contents()
,<a href="http://www.php.cn/wiki/1325.html" target="_blank">fopen</a>()
,fwrite()
和<a href="http://www.php.cn/wiki/1303.html" target="_blank">fclose</a>()
函数读写文件系统。因为PHP默认使用的流封装协议是file://
,所以我们很少认为这些函数使用的是PHP流。file://
流封装协议:<?php
$handle = fopen('/etc/hosts', 'rb');
while (feof($handle) !== true) {
echo fgets($handle);
}
fclose($handle);
file://
流封装协议:<?php
$handle = fopen('file:///etc/hosts', 'rb');
while (feof($handle) !== true) {
echo fgets($handle);
}
fclose($handle);
流上下文
stream_context_create()
函数创建。file_get_contents()
函数发送HTTP POST请求吗?如果想这么做,可以使用一个流上下文对象:<?php
$requestBody = '{"username": "beck"}';
$context = stream_context_create(array(
'http' => array(
'method' => 'POST',
'header' => "Content-Type: application/json;charset=utf-8;\r\n" .
"Content-Length: " . mb_strlen($requestBody),
"content" => $requestBody
)
));
$response = file_get_contents('https://my-api.com/users', false, $context);
流过滤器
stream_filter_append()
函数。比如,想要把文件中的内容转换成大写字母,可以使用string.toupper过滤器。书中不建议使用这个过滤器,这里只是演示如何把过滤器附加到流上:<?php
$handle = fopen('data.txt', 'rb');
stream_filter_append($handle, 'string.toupper');
while (feof($handle) !== true) {
echo fgets($handle); // <-- 输出的全是大写字母
}
fclose($handle);
<a href="http://www.php.cn/wiki/377.html" target="_blank">php://</a>filter
流封装协议把过滤器附加到流上:<?php
$handle = fopen('php://filter/read=string.toupper/resource=data.txt', 'rb');
while (feof($handle) !== true) {
echo fgets($handle); // <-- 输出的全是大写字母
}
fclose($handle);
<?php
$dateStart = new \DateTime();
$dateInterval = \DateInterval::createFromDateString('-1 day');
$datePeriod = new \DatePeriod($dateStart, $dateInterval, 30);//创建迭代器
foreach ($datePeriod as $date) {
$file = 'sftp://USER:PASS@rsync.net/' . $date->format('Y-m-d') . 'log.bz2';
if (file_exists($file)) {
$handle = fopen($file, 'rb');
stream_filter_append($handle, 'bzip2.decompress');
while (feof($handle) !== true) {
$line = fgets($handle);
if (strpos($line, 'www.example.com') !== false) {
fwrite(STDOUT, $line);
}
}
fclose($handle);
}
}
自定义流过滤器
filter()
、onCreate()
和onClose()
方法。而且,必须使用stream_filter_register()
函数注册自定义的流过滤器。<?php
class DirtyWordsFilter extends php_user_filter
{
/**
* @param resource $in 流来的桶队列
* @param resource $out 流走的桶队列
* @param resource $consumed 处理的字节数
* @param resource $closing 是流中最后一个桶队列吗?
*/
public function filter()
{
$words = array('grime', 'dirt', 'grease');
$wordData = array();
foreach ($words as $word) {
$replacement = array_fill(0, mb_strlen($word), '*');
$wordData[$word] = implode(' ', $replacement);
}
$bad = array_keys($wordData);
$goods = array_values($wordData);
// 迭代流来的桶队列中的每个桶
while ($bucket = stream_bucket_make_writeable($in)) {
// 审查桶数据中的脏字
$bucket->data = str_replace($bad, $goods, $bucket->data);
// 增加已处理的数据量
$consumed += $bucket->datalen;
// 把桶放入流向下游的队列中
stream_bucket_append($out, $bucket);
}
return PSFS_PASS_ON;
}
}
filter()
方法的作用是接受、处理再转运桶中的流数据。这个方法的返回值是PSFS_PASS_ON
常量,表示操作成功。
接着,我们必须使用stream_filter_register()
函数注册这个自定义的DirtWordsFilter流过滤器:<?php
stream_filter_register('dirty_words_filter', 'DirtWordsFilter');
<?php
$handle = fopen('data.txt', 'rb');
stream_filter_append($handle, 'dirty_words_filter');
while (feof($handle) !== true) {
echo fgets($handle); // <-- 输出审查后的文本
}
fclose($handle);
6.错误与异常
위 내용은 현재 PHP를 이해하고 있나요? (둘)의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!