前幾年,我有機會能參與一些有趣的項目,並且獨立完成開發、升級、重構以及新功能的開發等工作。
本文總結了一些 PHP 程式設計師在 Web 開發中經常忽略的關鍵錯誤,尤其是在處理中大型的專案上問題更為突出。典型的錯誤表現在不能很好區分各種開發環境和沒有使用快取和備份等。
以下以 PHP 為例,但是其核心思想對每一個 Web 程式設計師都是適用的。
應用程式層級的錯誤
1、在開發階段關閉了錯誤回報
我唯一想問的是:為什麼?為什麼在開發的時候要關閉錯誤回報?
PHP 有許多層級的錯誤報告,在開發階段我們必須將它們全部開啟。
如果你覺得錯誤不會發生,那麼你把程式太理想化了,在現實世界中,錯誤是必然的。 error_reporting 和 display_error 是兩個完全不同的方法,error_reporting ()設定了錯誤的級別,而 display_errors 則是設定錯誤訊息是否要被輸出。
在開發階段,錯誤報告的等級應該設定成最高的,例如以下設定: error_reporting (E_ALL);以及ini_set ('display_errors',true);
2、淹沒錯誤
和上一點相反,很多程式設計師喜歡將錯誤淹沒了,你明知道錯誤會發生,但是你選擇將錯誤隱藏掉,然後可以早早回家睡大覺,殊不知將來會發生更嚴重的錯誤。
3、程式碼中任何地方都沒有使用日誌
軟體開發的一開始你就要牢記使用日誌,不能到專案結束了才去彌補日誌功能。很多程式設計師都會用這樣或那樣的手段進行日誌記錄,但是很少有人能真正用日誌來記錄異常信息,試問一個沒有人查看的日誌系統有什麼用?
4、沒有使用快取
在的應用系統中,我們可以在多個系統層次上使用緩存,例如在服務端、應用端和資料庫端等。和日誌一樣,快取也應該在一開始就應用到系統中去,你可以在開發階段停用緩存,等到了產品發布後再將快取開啟。
5、丟棄了最佳實踐和設計模式
你看過多少人使用自己的密碼加密演算法?很遺憾的告訴你,有很多,因為他們認為會更了解它。
最好的實踐方式和設計模式已經由前輩創建了,這往往比你自己再造一個輪子要來的簡單奏效,我們開發者只需要熟練掌握這些設計模式並且合理地應用在專案中即可,例如一些加密演算法。
6、沒有使用自動化測試
在每一個 Web 專案中都會使用到測試,就像日誌一樣,如果沒有人管理和使用,那麼測試也是一無是處的。
運行測試工程是一項枯燥乏味的工作,幸好有一系列工具幫助我們實現自動化測試。在 PHP 開發中,有一個很好的測試工具叫做 Jenkins,使用起來非常方便。
7、沒有做程式碼審查
在團隊中工作是一項非常大的挑戰,因為每個成員都有自己不同的工作習慣和方式,如果沒有良好的規範,那麼專案開發就會走很多彎路。
團隊中的每個成員都應該互相審查程式碼,就像單元測試,它可以幫助專案變得更加乾淨和一致性。
8、程式設計只考慮理想情況
你是否遇到過自己或別人的程式碼在交到客戶手中後經常出問題,甚至是亂套了?我當然沒有。
出現這種情況往往是因為開發者懶惰了,只考慮了理想情況,這會導致資料庫崩潰了、PHP 發生致命錯誤、甚至是伺服器被駭。程式設計師在寫程式碼時不僅要考慮最理想的情況,更要考慮最壞的情況,思考全面,才能讓程式碼覆蓋所有的情況。
9、沒有正確運用物件導向程式設計的想法
大部分PHP 初學者都不會再其程式碼中運用物件導向的思想,因為這個概念在剛開始的時候很難理解
當然物件導向的概念並不是簡單地將一些類別組織在一起
物件、屬性、方法、繼承和封裝等都是OOP 中最基本的概念,開發者正確使用了物件導向設計模式後,就有能力寫出更乾淨、更有擴展性的程式碼了。
10、「飛航模式」(On-the-fly)程式設計
大部分開發者都會遇到這樣的情況:「快,客戶需要一項新功能,要能運行ASAP”,於是你就在原始碼上新增一些功能,然後直接上傳到正在運行的伺服器上,這種程式設計方式我們稱之為“飛航模式”(On-the-fly)程式設計。
我們在開發軟體時,尤其是中大型的項目,都必須按照工作流程來進行分析、編程和發布,這將大大減少未來軟體的 bug。這種「飛行模式」並不可取。
資料庫層級的錯誤
11、沒有將資料庫讀寫分離
為了能長時間運作複雜的系統,每個程式設計師都應該考慮到系統的可擴展性,系統99% 的時間都不需要考慮擴展,因為並沒有這麼大的流量。
為什麼要資料庫讀寫分離?
在每一個系統中,資料庫將會是第一個出現的瓶頸,在大流量的衝擊下,資料庫很可能將會是第一個陣亡的。所以大部分情況下我們會用多個資料庫來分散流量,開發者常常會使用 Master – Slave 模式或 Master – Master 模式。 Master – Slave 是最受歡迎的一種資料庫分壓模式,它會將指定的 select 語句路由到每個 Slave 伺服器,這樣 Master 伺服器的壓力會減輕不少。
12、程式碼只能連接到一個資料庫
這和上一個錯誤非常像,但是開發者有時候因為某些原因需要連接到多個資料庫,例如你會將使用者日誌、活動資訊流、即時資料分析等高負載的資料放到不同的資料庫中來緩解對主資料庫的壓力。
13、沒有偵測資料庫漏洞
如果你不對資料庫進行漏洞偵測,就相當於給大部分駭客敞開了伺服器的大門。
在眾多漏洞中,資料庫漏洞是最脆弱的,最常見的就是 SQL 注入。因此定期做資料庫漏洞檢測還是很有必要的。
14、資料表不建索引
索引在資料表中有著非常重要的作用,合適的索引可以提高每張表的效能,這裡有一篇文章就講述了如何建立索引以及何時建立索引。
15、沒有使用事務機制
資料完整性對 Web 系統非常重要,如果資料一致性發生錯誤,那麼整個系統都會崩潰並且難以修復。合理地運用資料庫的事務機制將有效地解決這個問題。例如你要保存使用者數據,在 table1 中有e-mail, username 和 password,table2 中有 first name, last name,和 gender age。我們可以利用事務對兩張表更新時保證資料同時被更新或同時不被更新。
16、沒有加密敏感資料
對於資料庫中的敏感訊息,如果你不要對它們進行加密,或用簡單的演算法進行加密,那麼在2014 年你肯定會遇到一些麻煩的問題,駭客一旦入侵你的資料庫,用戶的密碼或其他重要資訊就會一覽無餘。
PHP5.5 提供了一個哈希加密方法,使用如下:
$hash = password_hash ( $password, PASSWORD_BCRYPT );
17、沒有備份
看到看到下面這張圖片沒,如果遇到這樣的狀況,你又沒有備份,那一切都over 了。
18、沒有監控
沒有監控,你將不知道接下來會發生什麼事情,對於監控,要注意以下幾個問題:
•有多少人可以直接存取這個應用程式服務?
•伺服器是否在高負載下運作?
•我們需要用另一台資料庫伺服器來擴充系統嗎?
•應用系統的失敗點在哪裡?
•系統目前正處於離線狀態嗎?