在PHP7中不要做的10件事

　　PHP7于2015年10月正式發(fā)布，PHP7 ，將會(huì)是PHP腳本語(yǔ)言的重大版本更新，同時(shí)將帶來(lái)大幅的性能改進(jìn)和新的特性，以及改進(jìn)一些過(guò)時(shí)功能。 該發(fā)布版本將會(huì)專注在性能加強(qiáng)，源自PHP版本樹中的phpng分支。

　　1、不要使用 mysql_ 函數(shù)

　　這一天終于來(lái)了，從此你不僅僅“不應(yīng)該”使用mysql_函數(shù)。PHP 7 已經(jīng)把它們從核心中全部移除了，也就是說(shuō)你需要遷移到好得多的mysqli_函數(shù)，或者更靈活的 PDO 實(shí)現(xiàn)。

　　2、不要編寫垃圾代碼

　　這一條可能易于理解，但是會(huì)變得越來(lái)越重要，因?yàn)?PHP 7 的速度提升可能會(huì)隱藏你的一些問(wèn)題。不要僅僅滿足于你的站點(diǎn)速度，因?yàn)檫w移到 PHP 7 才讓它變快。

　　為了理解速度有多重要，以及如何把事情做得更好，請(qǐng)看一看我們的文章速度優(yōu)化入門指南。

　　作為一名開發(fā)者，你應(yīng)該總是確保按需加載腳本，盡可能連接它們，編寫高效的數(shù)據(jù)庫(kù)查詢，盡可能使用緩存，以及其它。

　　3、不要在文件末尾使用 PHP 閉合標(biāo)簽

　　你可以看一看，當(dāng)一個(gè)文件以 PHP 代碼結(jié)尾時(shí)，WordPress 多數(shù)核心代碼都把末尾的 PHP 標(biāo)簽去掉了。實(shí)際上，Zend 框架特別禁止了它。PHP 并不需要文件末尾的閉合標(biāo)簽，并且我們可以通過(guò)去掉它來(lái)保證不會(huì)在后面添加任何的空白字符。

　　4、不要做不必要的引用傳遞

　　我個(gè)人不喜歡引用傳遞。我知道有時(shí)候它很實(shí)用，但是其它情況下它使代碼變得難懂，并且更難預(yù)測(cè)結(jié)果。

　　據(jù)說(shuō)一些人認(rèn)為它使代碼運(yùn)行更快，但是根據(jù)一些 PHP 高級(jí)程序員所說(shuō)，這并不正確。

　　說(shuō)明引用為什么不好的一個(gè)例子是，PHP 內(nèi)建了shuffle()和sort()。它們修改原始數(shù)組，而不是返回處理后的數(shù)組，這很不合邏輯。

　　5、不要在循環(huán)中執(zhí)行查詢

　　在循環(huán)中執(zhí)行查詢非常浪費(fèi)。它給你的系統(tǒng)施加不必要的壓力，并且可能能夠在循環(huán)外部更快獲得相同結(jié)果。當(dāng)我遇到需要這樣的情況時(shí)，我通常會(huì)使用兩個(gè)分離的查詢來(lái)解決問(wèn)題，我會(huì)使用它們來(lái)構(gòu)建數(shù)據(jù)數(shù)組。之后我會(huì)遍歷數(shù)組，并不需要在這個(gè)過(guò)程中執(zhí)行查詢。

　　由于 WordPress 適用于這里，它可能有一些例外。雖然get_post_meta() 會(huì)從數(shù)據(jù)庫(kù)獲取大量數(shù)據(jù)，如果你正在遍歷某個(gè)特殊博文的元數(shù)據(jù)你可以在循環(huán)中使用它。這是因?yàn)楫?dāng)你第一次調(diào)用它的時(shí)候，WordPress實(shí)際上會(huì)獲取所有元數(shù)據(jù)并緩存它們。后續(xù)的調(diào)用使用這些緩存數(shù)據(jù)，沒(méi)有數(shù)據(jù)庫(kù)的調(diào)用。

　　弄懂這些的最佳方式是閱讀函數(shù)文檔，以及使用類似 Query Monitor 的工具。

　　6、不要在 SQL 查詢中使用*

　　當(dāng)然，這個(gè)更像 MySQL 的問(wèn)題，但是我們習(xí)慣在 PHP 中編寫 SQL 代碼，所以都差不多。無(wú)論如何，如果可以避免的話，不要在 SQL 查詢里使用通配符，尤其是數(shù)據(jù)庫(kù)有很多列的時(shí)候。

　　你應(yīng)該明確指定需要哪些行，并且僅僅獲取它們。這有助于減少所用資源，保護(hù)數(shù)據(jù)，以及讓事情變得盡可能清晰。

　　對(duì)于 SQL，你需要了解所有可用的函數(shù)，并且盡可能測(cè)試其速度。在計(jì)算均值、求和或計(jì)算類似數(shù)值時(shí)，要使用 SQL 函數(shù)而不是 PHP 函數(shù)。如果你不確定某個(gè)查詢的速度，測(cè)試它并且嘗試一些其它的編譯 — 之后使用最好的那個(gè)。

　　7、不要信任用戶輸入

　　信任用戶輸入是不明智的。始終校驗(yàn)、過(guò)濾、轉(zhuǎn)義、檢查并留好退路。用戶數(shù)據(jù)存在三個(gè)問(wèn)題：我們開發(fā)者并沒(méi)有考慮每種可能性，它通常不正確，以及它可能是蓄意破壞。

　　經(jīng)過(guò)周密考慮的系統(tǒng)可以防護(hù)這些威脅。要確保使用類似filter_var()的內(nèi)建函數(shù)檢查適當(dāng)?shù)闹�，以及在處理�?shù)據(jù)庫(kù)時(shí)轉(zhuǎn)義(或預(yù)編譯)。

　　WordPress 擁有一些函數(shù)來(lái)解決問(wèn)題。詳見(jiàn)文章校驗(yàn)、轉(zhuǎn)義和過(guò)濾用戶數(shù)據(jù)。

　　8、不要故作聰明

　　你的目標(biāo)應(yīng)該是編寫優(yōu)雅的代碼，來(lái)更清晰地表達(dá)你的意圖。你可能能夠通過(guò)將任何東西縮短為一個(gè)單詞的變量，使用多層的三元邏輯，以及其它手段，從每個(gè)頁(yè)面中優(yōu)化 0.01 秒。但這只會(huì)給你和你周圍的人產(chǎn)生麻煩。

　　合理命名變量，為代碼編寫文檔，優(yōu)先選擇清晰而不是簡(jiǎn)潔。甚至還可以更好，使用標(biāo)準(zhǔn)的面向?qū)ο蟠�碼，它本身或多或少就是文檔，不需要一大堆內(nèi)聯(lián)數(shù)值。

　　9、不要重新發(fā)明輪子

　　PHP 到現(xiàn)在為止有很長(zhǎng)時(shí)間了，網(wǎng)站被造出來(lái)的時(shí)間更長(zhǎng)。很可能無(wú)論你需要造出什么，一些人之前早就造出來(lái)了。不要害怕向他人尋求支持，Github是你的好朋友，Composer也是，Packagist也是。

　　從日志工具到調(diào)色工具，從性能分析器到單元測(cè)試框架，從 Mailchimp API 到 Bootstrap，每個(gè)東西都可以通過(guò)按下按鍵(或者敲下命令)來(lái)獲取，使用它們吧!

　　10、不要忽略其它語(yǔ)言

　　如果你是個(gè) PHP 程序員，現(xiàn)在有個(gè)好機(jī)會(huì)去至少了解 HTML、CSS、JavaScript 和 MySQL。當(dāng)你能夠更好地處理這些語(yǔ)言時(shí)，就是重新學(xué)習(xí) JavaScript 的時(shí)機(jī)了。JavaScript 并不是 jQuery，你應(yīng)該合理地學(xué)習(xí) JavaScript 來(lái)更高效地使用它。

　　我也打算向你推薦學(xué)習(xí)面向?qū)ο蟮?PHP，它可以節(jié)省時(shí)間，并且在代碼規(guī)模更大時(shí)會(huì)變得更好。對(duì)于類似 C# 和 Java 的語(yǔ)言，在你了解 OOP 之后，它們也更易于理解。

　　通過(guò)了解包管理器、構(gòu)建腳本、CoffeeScript、LESS、SASS、YAML 、腳本引擎和其它強(qiáng)大的工具來(lái)擴(kuò)展你的知識(shí)面。我強(qiáng)烈向你推薦看一看其它框架，尤其是 Laravel。

　　當(dāng)你使用它們出色完成任務(wù)時(shí)，學(xué)習(xí) Ruby、RoR、Android、iPhone 和 Windows Phone 應(yīng)用開發(fā)如何?你可能會(huì)認(rèn)為這毫無(wú)意義，因?yàn)樗鼈冊(cè)谀愕氖孢m區(qū)和工作所需范圍之外，但是這就是它們的意義。每種語(yǔ)言都有一些要學(xué)習(xí)的實(shí)用的東西，以及從沒(méi)碰到的新知識(shí)。所有 PHP 頂級(jí)開發(fā)者都懂得很多其它編程語(yǔ)言，這并非偶然。

　　php碼農(nóng)最容易出現(xiàn)的10條錯(cuò)誤：

　　1.不轉(zhuǎn)意html entities

　　一個(gè)基本的常識(shí)：所有不可信任的輸入（特別是用戶從form中提交的數(shù)據(jù)） ，輸出之前都要轉(zhuǎn)意。

　　echo $_GET[usename] ;

　　這個(gè)例子有可能輸出：

　　《script》/更改admin密碼的腳本或設(shè)置cookie的腳本/《script》

　　這是一個(gè)明顯的安全隱患，除非你保證你的用戶都正確的輸入。

　　如何修復(fù) ：

　　我們需要將"< ",">","and" 等轉(zhuǎn)換成正確的HTML表示(< , >, and ")，函數(shù)htmlspecialchars 和 htmlentities()正是干這個(gè)活的。

　　正確的方法：

　　echo htmlspecialchars($_GET[username], ENT_QUOTES);

　　2. 不轉(zhuǎn)意SQL輸入

　　我曾經(jīng)在一篇文章中最簡(jiǎn)單的防止sql注入的方法(php+mysql中)討論過(guò)這個(gè)問(wèn)題并給出了一個(gè)簡(jiǎn)單的方法 。有人對(duì)我說(shuō)，他們已經(jīng)在php.ini中將magic_quotes設(shè)置為On，所以不必?fù)?dān)心這個(gè)問(wèn)題，但是不是所有的輸入都是從$_GET, $_POST或 $_COOKIE中的得到的！

　　如何修復(fù)：

　　和在最簡(jiǎn)單的防止sql注入的方法(php+mysql中)中一樣我還是推薦使用mysql_real_escape_string()函數(shù)

　　正確做法：

　　3.錯(cuò)誤的使用HTTPheader 相關(guān)的函數(shù): header(), session_start(), setcookie()

　　遇到過(guò)這個(gè)警告嗎?"warning: Cannot add header information headers already sent [....]

　　每次從服務(wù)器下載一個(gè)網(wǎng)頁(yè)的時(shí)候，服務(wù)器的輸出都分成兩個(gè)部分：頭部和正文。

　　頭部包含了一些非可視的數(shù)據(jù)，例如cookie。頭部總是先到達(dá)。正文部分包括可視的html，圖片等數(shù)據(jù)。

　　如果output_buffering設(shè)置為Off，所有的HTTPheader相關(guān)的函數(shù)必須在有輸出之前調(diào)用。問(wèn)題在于你在一個(gè)環(huán)境中開發(fā)，而在部署到另一個(gè)環(huán)境中去的時(shí)候，output_buffering的設(shè)置可能不一樣。結(jié)果轉(zhuǎn)向停止了，cookie和session都沒(méi)有正確的設(shè)置........。

　　如何修復(fù):

　　確保在輸出之前調(diào)用httpheader相關(guān)的函數(shù)，并且令output_buffering = Off。

　　4. Require 或 include 的文件使用不安全的數(shù)據(jù)

　　再次強(qiáng)調(diào)：不要相信不是你自己顯式聲明的數(shù)據(jù)。不要 Include 或 require 從$_GET, $_POST 或 $_COOKIE 中得到的文件。

　　例如:

　　index.php

　　現(xiàn)在任一個(gè)黑客現(xiàn)在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt來(lái)獲取你的機(jī)密信息，或執(zhí)行一個(gè)PHP腳本。

　　如果allow_url_fopen=On，你更是死定了：

　　試試這個(gè)輸入：http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php

　　現(xiàn)在你的網(wǎng)頁(yè)中包含了http://www.youaredoomed.com/phphack.php的輸出. 黑客可以發(fā)送垃圾郵件，改變密碼，刪除文件等等。只要你能想得到。

　　如何修復(fù)：

　　你必須自己控制哪些文件可以包含在的include或require指令中。

　　5. 語(yǔ)法錯(cuò)誤

　　語(yǔ)法錯(cuò)誤包括所有的詞法和語(yǔ)法錯(cuò)誤，太常見(jiàn)了，以至于我不得不在這里列出。解決辦法就是認(rèn)真學(xué)習(xí)PHP的語(yǔ)法，仔細(xì)一點(diǎn)不要漏掉一個(gè)括號(hào)，大括號(hào)，分號(hào)，引號(hào)。還有就是換個(gè)好的編輯器，就不要用記事本了！

　　6.很少使用或不用面向?qū)ο?/p>

　　很多的項(xiàng)目都沒(méi)有使用PHP的面向?qū)ο蠹夹g(shù)，結(jié)果就是代碼的維護(hù)變得非常耗時(shí)耗力。PHP支持的面向?qū)ο蠹夹g(shù)越來(lái)越多，越來(lái)越好，我們沒(méi)有理由不使用面向?qū)ο蟆?/p>

　　7. 不使用framework

　　95% 的PHP項(xiàng)目都在做同樣的四件事: Create, edit, list 和. 現(xiàn)在有很多MVC的框架來(lái)幫我們完成這四件事，我們?yōu)楹尾皇褂盟麄兡兀?/p>

　　8. 不知道PHP中已經(jīng)有的功能

　　PHP的核心包含很多功能。很多程序員重復(fù)的發(fā)明輪子。浪費(fèi)了大量時(shí)間。編碼之前搜索一下PHP mamual，在google上檢索一下，也許會(huì)有新的發(fā)現(xiàn)！PHP中的exec()是一個(gè)強(qiáng)大的函數(shù)，可以執(zhí)行cmd shell，并把執(zhí)行結(jié)果的最后一行以字符串的形式返回。考慮到安全可以使用EscapeShellCmd()

　　9.使用舊版本的PHP

　　很多程序員還在使用PHP4，在PHP4上開發(fā)不能充分發(fā)揮PHP的潛能，還存在一些安全的隱患。轉(zhuǎn)到PHP5上來(lái)吧，并不費(fèi)很多功夫。大部分PHP4程序只要改動(dòng)很少的語(yǔ)句甚至無(wú)需改動(dòng)就可以遷移到PHP5上來(lái)。根據(jù)http://www.nexen.net的調(diào)查 只有12%的PHP服務(wù)器使用PHP5，所以有88%的PHP開發(fā)者還在使用PHP4.

　　10.對(duì)引號(hào)做兩次轉(zhuǎn)意

　　見(jiàn)過(guò)網(wǎng)頁(yè)中出現(xiàn)\或\"嗎？這通常是因?yàn)樵陂_發(fā)者的環(huán)境中magic_quotes 設(shè)置為off，而在部署的服務(wù)器上magic_quotes =on. PHP會(huì)在 GET, POST 和 COOKIE中的數(shù)據(jù)上重復(fù)運(yùn)行addslashes() 。

　　原始文本：

　　Its a string magic quotes on : It\s a string 又運(yùn)行一次 addslashes(): It\\s a string HTML輸出: It\s a string

　　還有一種PHP程序員最容易出現(xiàn)錯(cuò)誤的情況就是，用戶一開始輸入了錯(cuò)誤的登錄信息，服務(wù)器檢測(cè)到錯(cuò)誤輸入后，輸出同樣的form要求用戶再次輸入，導(dǎo)致用戶的輸入轉(zhuǎn)意兩次！

【在PHP7中不要做的10件事】相關(guān)文章：

環(huán)境評(píng)價(jià)要做什么07-09

音響師需要做哪些工作02-01

成語(yǔ)中的名人故事（通用10篇）12-26

淘寶美工都需要做些什么01-09

哪些人群需要做基因檢測(cè)10-20

物流師主要做是什么的09-20

考編導(dǎo)專業(yè)都需要做哪些準(zhǔn)備10-29

演講不緊張技巧09-03

初三中考備考計(jì)劃（精選10篇）06-09

2024年中元節(jié)的10大禁忌08-21