thinkphp開發規範

一、編寫目的

    爲了更好的提升技術部的工做效率,保證開發的有效性和合理性,並可最大程度的提升程序代碼的可讀性和可重複利用性,指定此規範。開發團隊根據本身的實際狀況,能夠對本規範進行補充或裁減。php


一、程序員能夠了解任何代碼,弄清程序的情況; 
二、新人能夠很快的適應環境; 
三、防止新接觸PHP的人出於節省時間的須要,自創一套風格並養成終生的習慣; 
四、防止新接觸PHP的人一次次的犯一樣的錯誤; 
五、在一致的環境下,人們能夠減小犯錯的機會; 
六、程序員們有了一致的敵人;css

 

二、總體要求

    技術部php開發規範將參照PEAR的規範,基本採用PEAR指定的規範,在其基礎上增長、修改或刪除部分適合具體開發環境的規範。本規範只針對PHP開發過程當中編碼的規範,對於PHP開發項目中文件、目錄、數據庫等方面的規範,將不重點涉及。html

    本規範包含了PHP開發時程序編碼中命名規範、代碼縮進規則、控制結構、函數調用、函數定義、註釋、包含代碼、PHP標記、文件頭的註釋塊、CVS標記、URL樣例、常量命名等方面的規則。mysql

三、安全規範

    當咱們嘗試編碼時,不少時候不知道如何去讓本身的代碼變得安全一點,由於咱們缺少安全常識,安全常識的規範能夠幫你杜絕一些平常的菜鳥黑客的攻擊,卻不能阻止骨灰級專家們的凌厲攻勢,因此更高深的安全咱們還得從其餘途徑學習。程序員

3.一、包含文件

    PHP文件的包含在經過PHP的函數引入文件時,因爲傳入的文件名沒有通過合理的校驗,從而操做了預想以外的文件,就可能致使意外的文件泄露甚至惡意的代碼注入。web

3.1.一、命名規則

    提取出來具備通用函數的包含文件,文件後綴以.inc來命名,代表這是一個包含文件。 
    若是有多個.inc文件須要包含多頁面,請把全部.inc文件封裝在一個文件裏面,具體到頁面只須要包換一個.inc文件就能夠了。sql

    如:xxx_session.incxxx_comm.incxxx_setting.infmyssql_db.inc。 
    把以上文件以如下方式,封裝在xxx.basic.inc文件裏面:數據庫

require_once('xxx_session.inc');
require_once('xxx_comm.inc');
require_once('xxx_setting.inc');
require_once('mysql_db.inc');

注意: 
是否須要封裝到一個文件,視狀況而定,若是每一個inc的功能是分散到不一樣的頁面使用的話,就不建議封裝。apache

3.1.二、存放規則

    通常包含文件不須要直接暴露給用戶,因此應該放在 Web Server 訪問不到的目錄,避免由於配置問題而泄露設置信息數組

 

3.二、安全規則

    請參考產品安全檢查表。

輸入和輸出:

檢查是否作了HTML代碼的過濾 
可能出現的問題:若是有人輸入惡意的HTML代碼,會致使竊取cookie, 產生惡意登陸表單,和破壞網站。

檢查變量作數據庫操做以前是否作了escape 
可能出現的問題:若是一個要寫入查詢語句的字符串變量包含了某些特殊的字符,好比引號(',")或者分號(;) 可能形成執行了預期以外的操做。 

建議採用的方法:使用mysql_escape_string()或實現相似功能的函數。

檢查輸入數值的合法性 
可能出現的問題:異常的數值會形成問題。若是對輸入的數值不作檢查會形成不合法的或者錯誤的數據存入UDB、存入其它的數據庫或者致使意料以外的程序操做發生。

舉例:若是程序以用戶輸入的參數值作爲文件名,進行文件操做,惡意輸入系統文件名會形成系統損毀。

覈實對cookie的使用以及對用戶數據的處理 
可能出現的問題:不正確的cookie使用可能形成用戶數據泄漏。

訪問控制 
對內部使用的產品或者供合做方使用的產品,要考慮增長訪問控制。

logs 
確保用戶的保密信息沒有記在log中(例如:用戶的密碼); 
確保對關鍵的用戶操做保存了完整的用戶訪問記錄。

https 
對敏感數據的傳輸要採用https。

3.三、一些針對PHP的規則

    設置 register_globals = off
    設置 error_reporting = E_ALL,而且要修正全部的errorwarning
    將實際的操做放在被引用的文件中。把引用文件放到不能夠被直接瀏覽的目錄下。

register_globals已自 PHP 5.3.0 起廢棄並將自 PHP 5.4.0 起移除。

3.四、其它處理規則

    其它處理規則

3.4.一、輸入參數處理

    頁面接到參數須要SQL操做,這時候須要作轉義,尤爲須要注意「'」。

    如:

$a = ' Let’s go ' ;
$sql = "Insert into tmp(col) values('$a')";

這種狀況出現錯誤的不肯定性。

3.4.二、操做大HTML文本

    不少時候須要存放一大段HTML文本供頁面使用,象用戶定製頁頭頁腳等。 
    須要剔除腳本標記,避免執行惡意php代碼。 
    轉換「<」「>」號,保證代碼完整HTML文本。

四、編碼規範

    對代碼文件及代碼進行規範化。

4.一、命名規範

    制定統一的命名規範對於項目開發來講很是重要,不但能夠養成程序員一個良好的開發習慣,還能增長程序的可讀性、可移植性和可重用性,還能很好的提升項目開發的效率。

1.普通變量

普通變量命名遵循如下規則: 
    a.全部字母都使用小寫; 
    b.對於一個變量使用多個單詞的,使用_做爲每一個詞的間隔。

例如:$base_dir$red_rose_price等。

2.靜態變量 
靜態變量命名遵循如下規則: 
    a.靜態變量使用小寫的s_開頭; 
    b.靜態變量全部字母都使用小寫; 
    c.多個單詞組成的變量名使用_做爲每一個詞的間隔。

例子:$s_base_dir$s_red_rose_prise等。

3.局部變量 
局部變量命名遵循如下規則: 
    a.全部字母使用小寫; 
    b.變量使用_開頭; 
    c.多個單詞組成的局部變量名使用_做爲每一個詞間的間隔。

例子:$_base_dir$_red_rose_price等。

4.全局變量 
全局變量應該帶前綴G_且全部字母大寫,知道一個變量的做用域是很是重要的。例如:

global $G_LOG_LEVEL;
global $G_LOG_PATH;

5.全局常量 
全局變量命名遵循如下規則: 
    a.全部字母使用大寫; 
    b.全局變量多個單詞間使用_做爲間隔。 
例子:

define('BASE_DIR','/base/dir/');
define('RED_ROSE_PRICE',20.0);

6.session變量 
session變量命名遵循如下規則: 
    a.全部字母使用大寫; 
    b.session變量名使用S_開頭; 
    c.多個單詞間使用_間隔。

例子:$S_BASE_DIR$S_RED_ROSE_PRICE等。

4.1.二、類命名

PHP中類命名遵循如下規則: 
    a.以大寫字母開頭; 
    b.多個單詞組成的變量名,單詞之間不用間隔,各個單詞首字母大寫。

例子:class MyClass 或 class DbOracle等。

4.1.三、方法或函數

方法或函數命名遵循如下規則: 
    a.首字母小寫; 
    b.多個單詞間不使用間隔,除第一個單詞外,其餘單詞首字母大寫。

例子:function myFunction() 或 function myDbOracle()等。

4.1.四、縮寫詞

當變量名或者其餘命名中遇到縮寫詞時,參照具體的命名規則,而不採用縮寫詞原來的所有大寫的方式。

例子:function myPear(不是myPEAR) functio getHtmlSource(不是getHTMLSource)。

4.1.五、數據庫表名

數據庫表名命名遵循如下規範: 
    a.表名均使用小寫字母; 
    b.對於普通數據表,使用_t結尾; 
    c.對於視圖,使用_v結尾; 
    d.對於多個單詞組成的表名,使用_間隔;

例子:user_info_t 和 book_store_v等。

4.1.六、數據庫字段

數據庫字段命名遵循如下規範: 
    a.所有使用小寫; 
    b.多個單詞間使用_間隔。

例子:user_namerose_price等。

4.二、書寫規則

書寫規則是指在編寫 PHP 程序時,代碼書寫的規則,包括縮進、結構控制等方面規範。

4.2.一、代碼縮進

在書寫代碼的時候,必須注意代碼的縮進規則,咱們規定代碼縮進規則以下: 
    a.使用4個空格做爲縮進,而不使用tab縮進(對於ultraedit,能夠進行預先設置)。

例子:

for ( $i=0;$i<$count;$i++ ) {
    echo 'test';
}

4.2.二、大括號{}書寫規則

在程序中進行結構控制代碼編寫,如ifforwhileswitch等結構,大括號傳統的有兩種書寫習慣,分別以下: 
    a.{ 直接跟在控制語句以後,不換行,如:

for ( $i=0;$i<$count;$i++ ) {
    echo 'test';
}

    b.{ 在控制語句下一行,如:

for ( $i=0;$<$count;$i++ )
{
    echo 'test';
}

    其中,a是PEAR建議的方式,可是從實際書寫中來說,這並不影響程序的規範和影響用phpdoc實現文檔,因此能夠根據我的習慣來採用上面的兩種方式,可是要求在同一個程序中,只使用其中一種,以避免形成閱讀的不方便。

4.2.三、小括號()和函數、關鍵詞等

小括號、關鍵詞和函數遵循如下規則: 
    a.不要把小括號和關鍵詞緊貼在一塊兒,要用一個空格間隔;如if ( $a<$b ); 
    b.小括號和函數名間沒有空格;如$test = date("ymdhis"); 
    c.除非必要,不要在Return返回語句中使用小括號。 如Return $a

4.2.四、=符號書寫

在程序中=符號的書寫遵循如下規則: 
    a.在=符號的兩側,均需留出一個空格;如 $a = $b 、$a = 'test'等; 
    b.在=符號與!=<>等符號相鄰時,不需留一個空格;如 if ( $a == $b ) 、if ( $a != $b ) 等; 
    c.在一個申明塊,或者實現一樣功能的一個塊中,要求=號儘可能上下對其,左邊能夠爲了保持對齊使用多個空格,而右邊要求空一個空格;以下例:

$testa   = $aaa;
$testaa  = $bbb;
$testaaa = $ccc;

4.2.五、if else swith for while等書寫

對於控制結構的書寫遵循如下規則: 
    a.在if條件判斷中,若是用到常量判斷條件,將常量放在等號或不等號的左邊,例如:if ( 6 == $errorNum ) ,由於若是你在等式中漏了一個等號,語法檢查器會爲你報錯,能夠很快找到錯誤位置,這樣的寫法要注意; 
    b.switch結構中必需要有default塊; 
    c.在 for 和 wiile 的循環使用中,要警戒 continue 、 break 的使用,避免產生相似 goto 的問題;

 

4.2.六、類的構造函數

若是要在類裏面編寫構造函數,必須遵循如下規則: 
    a.不能在構造函數中有太多實際操做,頂多用來初始化一些值和變量; 
    b.不能在構造函數中由於使用操做而返回false或者錯誤,由於在聲明和實例化一個對象的時候,是不能返回錯誤的;

4.2.七、語句斷行

在代碼書寫中,遵循如下原則: 
    a.儘可能保證程序語句一行就是一句,而不要讓一行語句太長產生折行; 
    b.儘可能不要使一行的代碼太長,通常控制在120個字符之內; 
    c.若是一行代碼太長,請使用相似 .= 的方式斷行書寫; 
    d.對於執行數據庫的sql語句操做,儘可能不要在函數內寫sql語句,而先用變量定義sql語句,而後在執行操做的函數中調用定義的變量;

例子:

$sql = 'SELECT username,password,address,age,postcode FROM test_t ';
$sql .= ' WHERE username=\'aaa\'';
$res = mysql_query($sql);

4.2.八、數字

一個在源代碼中使用了的赤裸裸的數字是難以想象的數字,由於包括做者,在三個月內,沒人知道它的含義。例如:

if ( 22 == $foo ) {
    start_thermo_nuclear_war();
} elseif ( 19 == $foo){
    refund_lotso_money();
} else {
    cry_cause_in_lost();
}

你應該用define()來給你想表示某樣東西的數值一個真正的名字,而不是採用赤裸裸的數字,例如:



define('PRESIDENT_WENT_CRAZY', '22'); define('WE_GOOFED', '19'); define('THEY_DIDNT_PAY', '16'); if ( PRESIDENT_WENT_CRAZY == $foo ) { start_thermo_nuclear_war(); } elseif ( WE_GOOFED == $foo){ refund_lotso_money(); } elseif ( THEY_DIDNT_PAY == $foo ){ infinite_loop(); } else { cry_cause_in_lost(); }

4.2.九、判斷

遵循如下規則: 
    a.不能使用 1/0 代替 true/false,在 PHP 中,這是不相等的; 
    b.不要使用非零的表達式、變量或者方法直接進行 true/false 判斷,而必須使用嚴格的完整 true/false 判斷;

如:不使用 if ( $a ) 或者 if ( checka() ) 而使用 if ( FALSE != $a ) 或者 if ( FALSE != check() )

4.2.十、避免嵌入賦值

在程序中避免下面例子中的嵌入式賦值: 
不使用這樣的方式:



while ( $a != ( $c = getchar() ) ) { process the character }

4.2.十一、錯誤返回檢測規則

檢查全部的系統調用的錯誤信息,除非你要忽略錯誤。

爲每條系統錯誤消息定義好系統錯誤文本,並記錄錯誤LOG

4.三、程序註釋

每一個程序均必須提供必要的註釋,書寫註釋要求規範,參照PEAR提供的註釋要求,爲從此利用phpdoc生成 PHP 文檔作準備。 
程序註釋的原則以下: 
    a.註釋中除了文件頭的註釋塊外,其餘地方都不使用//註釋,而使用/* */的註釋; 
    b.註釋內容必須寫在被註釋對象的前面,不寫在一行或者後面;

4.3.一、程序頭註釋塊

每一個程序頭部必須有統一的註釋塊,規則以下: 
    a.必須包含本程序的描述; 
    b.必須包含做者; 
    c.必須包含書寫日期; 
    d.必須包含版本信息; 
    e.必須包含項目名稱; 
    f.必須包含文件的名稱; 
    g.重要的使用說明,如類的調用方法、注意事項等;

參考例子以下:

//
// +---------------------------------------------------------+
// | PHP version 4.0
// +---------------------------------------------------------+
// | Copyright (c) 1997-2001 The PHP Group
// +---------------------------------------------------------+
// | This source file is subject to of the PHP license,
// | that is bundled with this packafile LICENSE, and is
// | available at through the world-web at
// | http://www.php.net/license/2_02.txt.
// | If you did not receive a copy of the and are unable to
// | obtain it through the world-wide-web,end a note to
// | license@php.net so we can mail you a immediately.
// +---------------------------------------------------------+
// | Authors: Stig Bakken
// | Tomas V.V.Cox
//
// +———————————————————+
//
// $Id: Common.php,v 1.8.2.3 2001/11/13 01:26:48 ssb Exp $

4.3.二、類的註釋

類的註釋採用裏面的參考例子方式:

/**
 * @ Purpose:
 * 訪問數據庫的類,以ODBC做爲通用訪問接口
 * @Package Name: Database
 * @Author: Forrest Gump gump@crtvu.edu.cn
 * @Modifications:
 * No20020523-100:
 * odbc_fetch_into()參數位置第二和第三個位置調換
 * John Johnson John@crtvu.edu.cn
 * @See: (參照)
 */

class Database {
    ...
}

4.3.三、函數和方法的註釋

函數和方法的註釋寫在函數和方法的前面,採用相似下面例子的規則:

/**
 * @Purpose:
 * 執行一次查詢
 * @Method Name: query()
 *
 * @Param: string $queryStr SQL查詢字符串
 * @Param: string $username 用戶名
 *
 * @Author: Michael Lee
 *
 * @Return: mixed 查詢返回值(結果集對象)
 */
function query ( $queryStr, $username ) {
    ...
}

4.3.四、變量或者語句註釋

程序中變量或者語句的註釋遵循如下原則: 
    a.寫在變量或者語句的前面一行,而不寫在同行或者後面; 
    b.註釋採用/* */的方式; 
    c.每一個函數前面要包含一個註釋塊。內容包括函數功能簡述,輸入/輸出參數,預期的返回值,出錯代碼定義; 
    d.註釋完整規範; 
    e.把已經註釋掉的代碼刪除,或者註明這些已經註釋掉的代碼仍然保留在源碼中的特殊緣由。

例子:

/**
 * @Purpose:
 * 數據庫鏈接用戶名
 * @Attribute/Variable Name: db_user_name
 * @Type: string
 */
var db_user_name;

4.四、其它規範

4.4.一、PHP代碼標記

全部的PHP程序代碼塊標記均使用<?php ,不使用短標記<?

4.4.二、程序文件名、目錄名

程序文件名和目錄名命名均採用有意義的英文方式命名,不使用拼音或無心義的字母,同時均必須使用小寫字母,多個詞間使用_間隔。

4.4.三、PHP項目一般的文件目錄結構

建議在開發規範的獨立的PHP項目時,使用規範的文件目錄結構,這有助於提升項目的邏輯結構合理性,對應擴展和合做,以及團隊開發均有好處。

一個完整獨立的PHP項目一般的文件和目錄結構以下: 
/ 項目根目錄 
/manage 後臺管理文件存放目錄 
/css css文件存放目錄 
/doc 存放項目文檔 
/images 全部圖片文件存放路徑(在裏面根據目錄結構設立子目錄) 
/scripts 客戶端js腳本存放目錄 
/tpl 網站全部html的模版文件存放目錄 
/error.php 錯誤處理文件(能夠定義到apache的錯誤處理中) 
以上目錄結構是一般的目錄結構,根據具體應用的具體狀況,能夠考慮不用徹底遵循,可是儘可能作到規範化。

4.4.四、PHP和HTML代碼的分離問題

    對性能要求不是很高的項目和應用,咱們建議不採用 PHP 和 HTML 代碼直接混排的方式書寫代碼,而採用 PHP 和 HTML 代碼分離的方式,即採用模版的方式處理,這樣一方面對程序邏輯結構更加清晰有利,也有助於開發過程當中人員的分工安排,同時還對往後項目的頁面升級該版提供更多便利。

對於一些特殊狀況,好比對性能要求很高的應用,能夠不採用模版方式。

4.4.五、PHP項目開發中的程序邏輯結構

    對於 PHP 項目開發,儘可能採用 OOP 的思想開發,尤爲在 PHP5 之後,對於面向對象的開發功能大大提升。

    在 PHP 項目中,咱們建議將獨立的功能模塊儘可能寫成函數調用,對應一整塊業務邏輯,咱們建議封裝成類,既能夠提升代碼可讀性,也能夠提升代碼重用性。好比,咱們一般將對數據庫的接口封裝成數據庫類,有利於平臺的移植。

    重複的代碼要作成公共的庫。(除了咱們在 plug-in 產品上遇到的狀況,該產品系列有多個相相似的產品,爲了儘量地減小安裝包尺寸,不適合將這些產品共用的全部函數作成公共的庫)

五、特定環境下PHP編碼特殊規範

5.一、變量定義

    XXX環境下的 PHP 代碼編寫要求全部的變量均須要先申明後使用,不然會有錯誤信息,對於數組,在使用一個不肯定的 key 時,好比先進行 isset() 的判斷,而後再使用;好比下面的代碼:



$array = array(); $var = isset( $array[3] ) ? $array[3] : '';

5.二、引用的使用

    引用在程序中使用比較多,爲了公用同一個內存,而不須要另外進行復制,XXX環境下的引用使用時,須要注意下面的狀況;

    在對函數的輸入參數中使用引用時,不能在調用的時候在輸入參數前加 & 來引用,而直接使用該變量便可,同時必須在函數定義的時候說明輸入參數來自引用,好比下面的代碼:

$a = 1;
function ab( &$var ) {
    $var ++;
    return $var;
}
$b = ab($a); // 注意,此處不能使用 $b = ab(&$a)的方式;
echo $b."\n";
echo $a."\n";

此時 $a 和 $b 都是 2; 
XXX環境下對引用的特殊要求源自 php.ini 文件裏面的 allow_call_time_pass_reference 項設置,對外公開的版本是 On,這樣就能夠支持&直接加到調用函數時變量前面進行引用,可是這一方法遭到抗議,並可能在未來版本的 PHP/Zend 裏再也不支持。受到鼓勵的指定哪些參數按引用傳遞的方法是在函數聲明裏。你被鼓勵嘗試關閉這一選項(使用off,XXX的全部運行環境下都是off)並確認你的腳本仍能正常工做,以保證在未來版本的語言裏它們仍能工做。

5.三、變量的輸入輸出

    在XXX環境下,對 web 經過 GET 或者 POST 方法傳遞來的參數均要求進行嚴格的過濾和合法性驗證,不推薦使用直接的$_GET 、 $_POST 或者 $_REQUEST 獲取,而經過 XXX 的 XXX_yiv 模塊提供的方法獲取和過濾處理。

相關文章
相關標籤/搜索