PHP 튜토리얼

현재 PHP를 이해하고 있나요? (둘)

PHPz

Apr 04, 2017 pm 04:00 PM

php

좋은 사례, 이번에는 PHP 레코드를 개발할 때 사용해야 할 몇 가지 좋은 사례를 주로 선택했습니다. 특히 모범 사례 섹션에서 비밀번호와 흐름의 두 가지 사항에 대해 코딩 스타일, (개인적으로) 일반적인 관행에 대해 간략하게 논의할 것입니다.

2. 표준 _{PHP-FIG와 PSR을 알고 있다면 이 부분은 건너뛰세요.}

PHP 컴포넌트와 프레임워크가 많이 발생하는데, 별도로 개발된 프레임워크에서는 다른 프레임워크와의 통신을 고려하지 않는다는 문제가 있습니다. 이는 개발자와 프레임워크 자체에 해가 됩니다.

PHP-FIG
는 PHP 프레임워크 이 문제는 2009년 php|tek(인기 있는 PHP 컨퍼런스)에서 논의되었습니다. 토론 후 결론은 다음과 같습니다. 프레임워크의 상호 운용성을 향상하려면 따라서 PHP 프레임워크 개발자는 다음과 같습니다. php|tek에서 우연히 만난 사람은 PHP-FIG라고 불리는 PHP 프레임워크 Interop 그룹을 조직했습니다.

PHP-FIG는 프레임워크 대표자들의 자발적인 조직이며, 그 구성원은 누구나 가입할 수 없습니다. PHP-FIG는 제안 단계에 있는 권장 사양에 대한 피드백을 제출합니다. 또한, PHP-FIG는 필수 규정이 아닌 권장 사양을 공개합니다.

PSR이란? PHP Standards Recomm

end

ation(PHP 권장 표준)의 약어입니다. 오늘부터 PHP-FIG는

PSR-2: 엄격한 코딩 스타일
PSR-3: 로거
인터페이스
PSR-4:
자동 로딩
처음 권장 사양이 4개뿐이고 틀린 부분은 없습니다. PSR-0은 폐기되고 새로 출시된 PSR-4로 대체되었습니다

커뮤니티 표준에 맞춰 작성하려는 경우

PHP 코드

는 먼저 PSR-1을 준수해야 합니다. 이 표준을 준수하는 것은 매우 간단합니다. 아마도 이미 해당 표준에 대한 자세한 내용을 작성하지는 않을 것입니다. >3.PSR-2: 엄격한 코딩 스타일

PSR-2는 PSR-1을 기반으로 하는 PHP코드 사양을 추가로 정의합니다. 이 표준은 들여쓰기와 같은 세기의 많은 문제를 해결합니다.

또한 많은 IDE(예: PHPStorm)에는 이제 코드 서식 표준을 설정하고 모든 내용의 서식을 지정하는 데 도움이 되는 코드 서식 기능이 있습니다. 권장 사양을 준수하고 줄 바꿈, 들여쓰기, 중괄호 등과 같은 일부 세부 사항을 수정합니다.

표준 설정

4.PSR-3: 로거 인터페이스 현재 PHP를 이해하고 있나요? (둘)
이 권장 사양은 이전 두 가지와 다릅니다. 이는 PHP 로거 구성 요소가 구현할 수 있는 메서드를 지정하는 인터페이스입니다. PSR-3 권장 사항을 준수하는 PHP 로거 구성 요소에는 PsrLogLoggerInterface 인터페이스를 구현하는 PHP 클래스가 포함되어야 합니다. PSR-3 인터페이스는 RFC 5424 시스템 로그 프로토콜을 재사용하고 구현할 9가지 메서드를 지정합니다.

<?php namespace Psr\Log;

interface LoggerInterface
{
  public function emergency($message, array $context = array());
  public function alert($message, array $context = array());
  public function critical($message, array $context = array());
  public function error($message, array $context = array());
  public function warning($message, array $context = array());
  public function notice($message, array $context = array());
  public function info($message, array $context = array());
  public function debug($message, array $context = array());
  public function log($level, $message, array $context = array());
}

각 메서드는 RFC 5424 프로토콜의 로그 수준에 해당합니다.

PRS-3 로거 사용

자신만의 PSR-3 로거를 작성하고 있다면 이제 그만할 시간입니다. 이미 훌륭한 로거 구성 요소가 있기 때문입니다. 예: monolog/monolog, 그냥 직접 사용하세요. 요구 사항을 충족할 수 없는 경우 이를 기반으로 확장하는 것도 권장됩니다.

5.PSR-4: 오토로더

이 권장 사항은 표준 오토로더 전략을 설명합니다. 오토로더 전략은 런타임 시 요청에 따라 PHP 클래스, 인터페이스 또는 특성을 찾아 이를 PHP 인터프리터에 로드하는 것을 의미합니다.

자동 로딩이 중요한 이유

PHP 파일 상단에 다음과 같은 코드가 자주 보이죠?

<?php include &#39;path/to/file1.php&#39;;
include &#39;path/to/file2.php&#39;;
include &#39;path/to/file3.php&#39;;

몇 가지 PHP 스크립트만 로드해야 한다면 다음

함수(include(), include_once
(),

require

()를 사용하세요. ) , require_once()) 작업을 매우 잘 수행할 수 있습니다. 하지만 수천 개의 PHP 스크립트를 가져오고 싶다면 어떻게 해야 할까요? PSR-4 권장 사항 이전에 PHP 구성 요소 및 프레임워크 작성자는 autoload() 및 spl_autoload_register() 함수를 사용하여 사용자 정의 자동 로더 전략을 등록했습니다. 그러나 각 PHP 구성 요소와 프레임워크의 자동 로더는 고유한 자동 로더를 사용합니다. 따라서 많은 구성 요소를 사용할 때도 매우 번거롭습니다.

推荐使用PSR-4自动加载器规范，就是解决这个问题，促进组件实现互操作性。

PSR-4自动加载器策略
PSR-4推荐规范不要求改变代码的实现方式，只建议如何使用文件系统目录结构和PHP命名空间组织代码。PSR-4的精髓是把命名空间的前缀和文件系统中的目录对应起来。比如，我可以告诉PHP，\Oreilly\ModernPHP命名空间中的类、接口和性状在物理文件系统的src/目录中，这样PHP就知道，前缀为\Oreilly\ModernPHP的命名空间中的类、接口和性状对应的src/目录里的目录和文件。

如何编写PSR-4自动加载器
如果你在写自己的PSR-4自动加载器，请停下来。我们可以使用依赖管理器Composer自动生成的PSR-4自动加载器。

三、良好实践

1.过滤、验证和转义

过滤HTML

使用htmlentities()函数过滤输入。

<?php $input = &#39;<p><script>alert("You won the Nigerian lottery!");</script>

'; echo htmlentities($input, ENT_QUOTES, 'UTF-8');

需要注意的是：默认情况下，htmlentities()函数不会转义单引号，而且也检测不出输入字符串的字符集。正确的使用方式是：第一个参数输入字符串；第二个参数设为ENT_QUOTES常量，转移单引号；第三个参数设为输入字符串的字符集。

更多过滤HTML输入的方式，可以使用HTML Purifier库。这个库强健且安全，缺点：慢，且可能难以配置。

SQL查询

构建SQL查询不好的方式：

$sql = sprintf(
  'UPDATE users SET password = "%s" WHERE id = %s',
  $_POST['password'],
  $_GET['id']
);

如果 psasword=abc";-- ，则导致修改了整个users表的记录password都未abc。如果需要在SQL查询中使用输入数据，要使用PDO预处理语句。

用户资料信息

A.过滤用户资料中的电子邮件地址
这里会删除除字符、数字和!#$%&'*+-/=?^_{|}~@.[]`之外的所有其他符号。

<?php $email = &#39;beckjiang@meijiabang.cn&#39;;
$emailSafe = filter_var($email, FILTER_SANITIZE_EMAIL);

B.过滤用户资料中的外国字符

<?php $string = "外国字符";
$safeString = filter_var(
  $string,
  FILTER_SANITIZE_STRING,
  FILTER_FLAG_STRIP_LOW|FILTER_FLAG_ENCODE_HIGH
);

验证数据

验证数据与过滤不同，验证不会从输入数据中删除信息，而是只确认输入数据是否符合预期。

验证电子邮件地址
我们可以把某个FILTER_VALIDATE_*标志传给filter_var()函数，除了电子邮件地址，还可以验证布尔值、浮点数、整数、IP地址、正则表达式和URL。

<?php $input = &#39;beckjiang@meijiabang.cn&#39;;
$isEmail = filter_var($input, FILTER_VALIDAE_EMAIL);
if ($isEmail !== false) {
  echo "Success";
} else {
  echo "Fail";
}

2.密码

哈希算法有很多种，例如：MD5、SHA1、bcrypt和scrypt。有些算法的速度很快，用于验证数据完整性；有些算法速度则很慢，旨在提高安全性。生成密码和存储密码时需要使用速度慢、安全性高的算法。

目前，经同行审查，最安全的哈希算法是bcrypt。与MD5和SHA1不同，bcrypt是故意设计的很慢。bcrypt算法会自动加盐，防止潜在的彩虹表攻击。bcrypt算法永不过时，如果计算机的运算速度变快了，我们只需提高工作因子的值。

重新计算密码的哈希值
下面是登录用户的脚本：

<?php session_start();
try {
  // 从请求主体中获取电子邮件地址
  $email = filter_input(INPUT_POST, &#39;email&#39;);

  // 从请求主体中获取密码
  $password = filter_input(INPUT_POST, &#39;password&#39;);

  // 使用电子邮件地址获取用户（注意，这是虚构代码）
  $user = User::findByEmail($email);

  // 验证密码和账户的密码哈希值是否匹配
  if (password_verify($password, $user->password_hash) === false) {
    throw new Exception('Invalid password');
  }

  // 如果需要，重新计算密码的哈希值
  $currentHashAlgorithm = PASSWORD_DEFAULT;
  $currentHashOptions = array('cost' => 15);
  $passwordNeedRehash = password_needs_rehash(
    $user->password_hash,
    $currentHashAlgorithm,
    $currentHashOptions
  );
  if ($passwordNeedsRehash === true) {
    // 保存新计算得出的密码哈希值（注意，这是虚构代码）
    $user->password_hash = password_hash(
      $password,
      $currentHashAlgorithm,
      $currentHashOptions
    );
    $user->save();
  }
  // 把登录状态保存到回话中
  ...
  // 重定向到个人资料页面
  ...

} catch (Exception $e) {
  //异常处理
  ...
}

值得注意的是：在登录前，一定要使用password_needs_rehash()函数检查用户记录中现有的密码哈希值是否过期。如果过期了，要重新计算密码哈希值。

PHP5.5.0之前的密码哈希API
如果无法使用PHP5.5.0或以上版本，可以使用安东尼·费拉拉开发的ircmaxell/password-compat组件。这个组件实现了PHP密码哈希API中的所有函数：

password_hash()
password_get_info()
password_needs_rehash()
password_verify()

3.日期、时间和时区

DateTime类

DateTime类提供一个面向对象接口，用于管理日期和时间。

没有参数，创建的是一个表示当前日期和时间的实例：

<?php $datetime = new DateTime();

传入参数创建实例：

<?php $datetime = new DateTime(&#39;2017-01-28 15:27&#39;);

指定格式，静态构造：

<?php $datetime = DateTime::createFromFormat(&#39;M j, Y H:i:s&#39;, &#39;Jan 2, 2017 15:27:30&#39;);

DateInterval类

DateInterval实例表示长度固定的时间段（比如，“两天”），或者相对而言的时间段（比如，“昨天”）。DateInterval实例用于修改DateTime实例。

使用DateInterval类：

<?php // 创建DateTime实例
$datetime = new DateTime();

// 创建长度为两周的间隔
$interval = new DateInterval(&#39;P2W&#39;);

// 修改DateTime实例
$datetime->add($interval);
echo $datetime->format('Y-m-d H:i:s');

创建反向的DateInterval实例：

<?php // 过去一天
$interval = new DateInterval(&#39;-1 day&#39;);

DateTimeZone类

如果应用要迎合国际客户，可能要和时区斗争。

创建、使用时区：

<?php $timezone = new DateTimeZone(&#39;America/New_York&#39;);
$datetime = new DateTime(&#39;2017-01-28&#39;, $timezone);

实例化之后，也可以使用setTimeZone()函数设置市区：

$datetime->setTimeZone(new DateTimeZone('Asia/Hong_Kong'));

DatePeriod类

有时我们需要迭代处理一段时间内反复出现的一系列日期和时间，DatePeriod类可以解决这种问题。DatePeriod类的构造方法接受三个参数，而且都必须提供：

一个Datetime实例，表示迭代开始时的日期和时间。
一个DateInterval实例，表示到下个日期和时间的间隔。
一个整数，表示迭代的总次数。

DatePeriod实例是迭代器，每次迭代时都会产出一个DateTime实例。

使用DatePeriod类：

<?php $start = new DateTime();
$interval = new DateInterval(&#39;P2W&#39;);
$period = new DatePeriod($start, $interval, 3);

foreach ($period as $nextDateTime) {
  echo $nextDateTime->format('Y-m-d H:i:s'), PHP_EOL;
}

4.数据库

PHP应用可以在很多种数据库中持久保存信息，比如：MySQL、SQLite、Oracle等。如果在项目中使用多种数据库，需要安装并学习多种PHP数据库扩展和接口，这增加了认知和技术负担。

正是基于这个原因，PHP原生提供了PDO扩展（PHP Data Objects，意思是PHP数据对象），PDO是一系列PHP类，抽象了不同数据库的具体实现。PDO的介绍和使用就不写了，比较常用。

5.流

在现代的PHP特性中，流或许是最出色但最少使用的。虽然PHP4.3.0就引入了流，但很多开发者不知道流的存在，因为很少人提及流，而且流的文档也匮乏。官方的解释比较难理解，一句话说就是：流的作用是在出发地和目的地之间传输数据。

我把流理解为管道，相当于把水从一个地方引到另一个地方。在水从出发地流到目的地的过程中，我们可以过滤水，可以改变水质，可以添加水，也可以排出水（提示：水是数据的隐喻）。

流封装协议

流式数据的种类各异，每种类型需要独特的协议，以便读写数据。我们称这些协议为流封装协议。比如，我们可以读写文件系统，可以通过HTTP、HTTPS或SSH与远程Web服务器通信，还可以打开并读写ZIP、RAR或PHAR压缩文件。这些通信方式都包含下述相同的过程：

开始通信。
读取数据。
写入数据。
结束通信。

虽然过程一样的，但是读写文件系统中文件的方式与手法HTTP消息的方式有所不同。流封装协议的作用是使用通用的几口封装这些差异。

每个流都有一个协议和一个目标。格式如下：

<scheme>://<target></target></scheme>

说这么多有点懵，先看例子，使用HTTP流封装协议与Flickr API通信：

<?php $json = file_get_contents(
  &#39;http://api.flickr.com/services/feeds/photos_public.gne?format=json&#39;
);

不要误以为这是普通的网页URL，file_get_contents()函数的字符串参数其实是一个流标识符。http协议会让PHP使用HTTP流封装协议。看起来像是普通的网页URL，是因为HTTP流封装协议就是这样规定的:)。其他流封装协议可能不是这样。

file://流封装协议

我们使用file_get_contents()，<a href="http://www.php.cn/wiki/1325.html" target="_blank">fopen</a>()，fwrite()和<a href="http://www.php.cn/wiki/1303.html" target="_blank">fclose</a>()函数读写文件系统。因为PHP默认使用的流封装协议是file://，所以我们很少认为这些函数使用的是PHP流。

隐式使用file://流封装协议：

<?php $handle = fopen(&#39;/etc/hosts&#39;, &#39;rb&#39;);
while (feof($handle) !== true) {
  echo fgets($handle);
}
fclose($handle);

显式使用file://流封装协议：

<?php $handle = fopen(&#39;file:///etc/hosts&#39;, &#39;rb&#39;);
while (feof($handle) !== true) {
  echo fgets($handle);
}
fclose($handle);

流上下文

有些PHP流能接受一些列可选的参数，这些参数叫流上下文，用于定制流的行为。流上下文使用stream_context_create()函数创建。

比如，你知道可以使用file_get_contents()函数发送HTTP POST请求吗？如果想这么做，可以使用一个流上下文对象：

<?php $requestBody = &#39;{"username": "beck"}&#39;;
$context = stream_context_create(array(
  &#39;http&#39; => array(
    'method' => 'POST',
    'header' => "Content-Type: application/json;charset=utf-8;\r\n" . 
                "Content-Length: " . mb_strlen($requestBody),
    "content" => $requestBody
  )
));
$response = file_get_contents('https://my-api.com/users', false, $context);

流过滤器

关于PHP的流，其实真正强大的地方在于过滤、转换、添加或删除流中传输的数据。

注意：PHP内置了几个流过滤器：string.rot13、string.toupper、string.tolower和string.strp_tags。这些过滤器没什么用，我们要使用自定义的过滤器。

若想把过滤器附加到现有的流上，要使用stream_filter_append()函数。比如，想要把文件中的内容转换成大写字母，可以使用string.toupper过滤器。书中不建议使用这个过滤器，这里只是演示如何把过滤器附加到流上：

<?php $handle = fopen(&#39;data.txt&#39;, &#39;rb&#39;);
stream_filter_append($handle, &#39;string.toupper&#39;);
while (feof($handle) !== true) {
  echo fgets($handle); // <-- 输出的全是大写字母
}
fclose($handle);

使用<a href="http://www.php.cn/wiki/377.html" target="_blank">php://</a>filter流封装协议把过滤器附加到流上：

<?php $handle = fopen(&#39;php://filter/read=string.toupper/resource=data.txt&#39;, &#39;rb&#39;);
while (feof($handle) !== true) {
  echo fgets($handle); // <-- 输出的全是大写字母
}
fclose($handle);

来看个更实际的流过滤器示例，假如我们nginx访问日志保存在rsync.net，一天的访问情况保存在一个日志文件中，而且会使用bzip2压缩每个日志文件，名称格式为：YYYY-MM-DD.log.bz2。某天，领导让我提取过去30天某个域名的访问数据。使用DateTime类和流过滤器迭代bzip压缩的日志文件：

<?php $dateStart = new \DateTime();
$dateInterval = \DateInterval::createFromDateString(&#39;-1 day&#39;);
$datePeriod = new \DatePeriod($dateStart, $dateInterval, 30);//创建迭代器
foreach ($datePeriod as $date) {
  $file = &#39;sftp://USER:PASS@rsync.net/&#39; . $date->format('Y-m-d') . 'log.bz2';
  if (file_exists($file)) {
    $handle = fopen($file, 'rb');
    stream_filter_append($handle, 'bzip2.decompress');
    while (feof($handle) !== true) {
      $line = fgets($handle);
      if (strpos($line, 'www.example.com') !== false) {
        fwrite(STDOUT, $line);
      }
    }
    fclose($handle);
  }
}

计算日期范围，确定日志文件的名称，通过FTP连接rsync.net，下载文件，解压缩文件，逐行迭代每个文件，把相应的行提取出来，然后把访问数据写入一个输出目标。使用PHP流，不到20行代码就能做完所有这些事情。

自定义流过滤器

其实大多数情况下都要使用自定义的流过滤器。自定义的流过滤器是个PHP类，继承内置的php_user_filter类。这个类必须实现filter()、onCreate()和onClose()方法。而且，必须使用stream_filter_register()函数注册自定义的流过滤器。

PHP流会把数据分成按次序排列的桶，一个桶中盛放的流数据量是固定的。一定时间内过滤器接收到的桶叫做桶队列。桶队列中的每个桶对象都有两个公开属性：data和datalen，分别是桶中的内容和内容的长度。

下面定义一个处理脏字的流过滤器：

<?php class DirtyWordsFilter extends php_user_filter
{
  /**
   * @param resource $in         流来的桶队列
   * @param resource $out        流走的桶队列
   * @param resource $consumed   处理的字节数
   * @param resource $closing    是流中最后一个桶队列吗？
   */
  public function filter()
  {
    $words = array(&#39;grime&#39;, &#39;dirt&#39;, &#39;grease&#39;);
    $wordData = array();
    foreach ($words as $word) {
      $replacement = array_fill(0, mb_strlen($word), &#39;*&#39;);
      $wordData[$word] = implode(&#39; &#39;, $replacement);
    }
    $bad = array_keys($wordData);
    $goods = array_values($wordData);

    // 迭代流来的桶队列中的每个桶
    while ($bucket = stream_bucket_make_writeable($in)) {
      // 审查桶数据中的脏字
      $bucket->data = str_replace($bad, $goods, $bucket->data);

      // 增加已处理的数据量
      $consumed += $bucket->datalen;

      // 把桶放入流向下游的队列中
      stream_bucket_append($out, $bucket);
    }

    return PSFS_PASS_ON;
  }
}

filter()方法的作用是接受、处理再转运桶中的流数据。这个方法的返回值是PSFS_PASS_ON常量，表示操作成功。

注册流过滤器
接着，我们必须使用stream_filter_register()函数注册这个自定义的DirtWordsFilter流过滤器：

<?php stream_filter_register(&#39;dirty_words_filter&#39;, &#39;DirtWordsFilter&#39;);

第一个参数是用于识别这个自定义过滤器的过滤器名，第二个参数是自定义过滤器的类名。

使用DirtWordsFilter流过滤器

<?php $handle = fopen(&#39;data.txt&#39;, &#39;rb&#39;);
stream_filter_append($handle, &#39;dirty_words_filter&#39;);
while (feof($handle) !== true) {
  echo fgets($handle); // <-- 输出审查后的文本
}
fclose($handle);

6.错误与异常

对错误和异常的处理，一定要遵守四个规则：

一定要让PHP报告错误。
在开发环境中要显示错误。
在生产环境中不能显示错误。
在开发环境和生产环境中都要记录错误。

错误与异常在日常使用的比较多，就不记录啦。

위 내용은 현재 PHP를 이해하고 있나요? (둘)의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

뜨거운 도구

SecList

SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.

SublimeText3 Linux 새 버전

SublimeText3 Linux 최신 버전

DVWA

DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는