thinkphp開發規範

時間 2019-11-11

標籤 thinkphp 開發規範欄目 PHP 简体版

原文原文鏈接

一、編寫目的

爲了更好的提升技術部的工做效率，保證開發的有效性和合理性，並可最大程度的提升程序代碼的可讀性和可重複利用性，指定此規範。開發團隊根據本身的實際狀況，能夠對本規範進行補充或裁減。php

一、程序員能夠了解任何代碼，弄清程序的情況；
二、新人能夠很快的適應環境；
三、防止新接觸PHP的人出於節省時間的須要，自創一套風格並養成終生的習慣；
四、防止新接觸PHP的人一次次的犯一樣的錯誤；
五、在一致的環境下，人們能夠減小犯錯的機會；
六、程序員們有了一致的敵人；css

二、總體要求

技術部php開發規範將參照PEAR的規範，基本採用PEAR指定的規範，在其基礎上增長、修改或刪除部分適合具體開發環境的規範。本規範只針對PHP開發過程當中編碼的規範，對於PHP開發項目中文件、目錄、數據庫等方面的規範，將不重點涉及。html

本規範包含了PHP開發時程序編碼中命名規範、代碼縮進規則、控制結構、函數調用、函數定義、註釋、包含代碼、PHP標記、文件頭的註釋塊、CVS標記、URL樣例、常量命名等方面的規則。mysql

三、安全規範

當咱們嘗試編碼時，不少時候不知道如何去讓本身的代碼變得安全一點，由於咱們缺少安全常識，安全常識的規範能夠幫你杜絕一些平常的菜鳥黑客的攻擊，卻不能阻止骨灰級專家們的凌厲攻勢，因此更高深的安全咱們還得從其餘途徑學習。程序員

3.一、包含文件

PHP文件的包含在經過PHP的函數引入文件時，因爲傳入的文件名沒有通過合理的校驗，從而操做了預想以外的文件，就可能致使意外的文件泄露甚至惡意的代碼注入。web

3.1.一、命名規則

提取出來具備通用函數的包含文件，文件後綴以.inc來命名，代表這是一個包含文件。
若是有多個.inc文件須要包含多頁面，請把全部.inc文件封裝在一個文件裏面，具體到頁面只須要包換一個.inc文件就能夠了。sql

如：xxx_session.inc、xxx_comm.inc、xxx_setting.inf、myssql_db.inc。
把以上文件以如下方式，封裝在xxx.basic.inc文件裏面：數據庫

require_once('xxx_session.inc');
require_once('xxx_comm.inc');
require_once('xxx_setting.inc');
require_once('mysql_db.inc');

注意：
是否須要封裝到一個文件，視狀況而定，若是每一個inc的功能是分散到不一樣的頁面使用的話，就不建議封裝。apache

3.1.二、存放規則

通常包含文件不須要直接暴露給用戶，因此應該放在 Web Server 訪問不到的目錄，避免由於配置問題而泄露設置信息數組

3.二、安全規則

請參考產品安全檢查表。

輸入和輸出：

檢查是否作了HTML代碼的過濾
可能出現的問題：若是有人輸入惡意的HTML代碼，會致使竊取cookie, 產生惡意登陸表單，和破壞網站。

檢查變量作數據庫操做以前是否作了escape
可能出現的問題：若是一個要寫入查詢語句的字符串變量包含了某些特殊的字符，好比引號(',")或者分號(;) 可能形成執行了預期以外的操做。

建議採用的方法：使用mysql_escape_string()或實現相似功能的函數。

檢查輸入數值的合法性
可能出現的問題：異常的數值會形成問題。若是對輸入的數值不作檢查會形成不合法的或者錯誤的數據存入UDB、存入其它的數據庫或者致使意料以外的程序操做發生。

舉例：若是程序以用戶輸入的參數值作爲文件名，進行文件操做，惡意輸入系統文件名會形成系統損毀。

覈實對cookie的使用以及對用戶數據的處理
可能出現的問題：不正確的cookie使用可能形成用戶數據泄漏。

訪問控制
對內部使用的產品或者供合做方使用的產品，要考慮增長訪問控制。

logs
確保用戶的保密信息沒有記在log中(例如：用戶的密碼)；
確保對關鍵的用戶操做保存了完整的用戶訪問記錄。

https
對敏感數據的傳輸要採用https。

3.三、一些針對PHP的規則

設置 register_globals = off;
設置 error_reporting = E_ALL，而且要修正全部的error和warning;
將實際的操做放在被引用的文件中。把引用文件放到不能夠被直接瀏覽的目錄下。

register_globals已自 PHP 5.3.0 起廢棄並將自 PHP 5.4.0 起移除。

3.四、其它處理規則

其它處理規則

3.4.一、輸入參數處理

頁面接到參數須要SQL操做，這時候須要作轉義，尤爲須要注意「'」。

如：

$a = ' Let’s go ' ;
$sql = "Insert into tmp(col) values('$a')";

這種狀況出現錯誤的不肯定性。

3.4.二、操做大HTML文本

不少時候須要存放一大段HTML文本供頁面使用，象用戶定製頁頭頁腳等。
須要剔除腳本標記，避免執行惡意php代碼。
轉換「<」「>」號，保證代碼完整HTML文本。

四、編碼規範

對代碼文件及代碼進行規範化。

4.一、命名規範

制定統一的命名規範對於項目開發來講很是重要，不但能夠養成程序員一個良好的開發習慣，還能增長程序的可讀性、可移植性和可重用性，還能很好的提升項目開發的效率。

1.普通變量

普通變量命名遵循如下規則：
a．全部字母都使用小寫；
b．對於一個變量使用多個單詞的，使用_做爲每一個詞的間隔。

例如：$base_dir、$red_rose_price等。

2.靜態變量
靜態變量命名遵循如下規則：
a．靜態變量使用小寫的s_開頭；
b．靜態變量全部字母都使用小寫；
c．多個單詞組成的變量名使用_做爲每一個詞的間隔。

例子：$s_base_dir、$s_red_rose_prise等。

3.局部變量
局部變量命名遵循如下規則：
a．全部字母使用小寫；
b．變量使用_開頭；
c．多個單詞組成的局部變量名使用_做爲每一個詞間的間隔。

例子：$_base_dir、$_red_rose_price等。

4.全局變量
全局變量應該帶前綴G_且全部字母大寫,知道一個變量的做用域是很是重要的。例如：

global $G_LOG_LEVEL;
global $G_LOG_PATH;

5.全局常量
全局變量命名遵循如下規則：
a．全部字母使用大寫；
b．全局變量多個單詞間使用_做爲間隔。
例子：

define('BASE_DIR','/base/dir/');
define('RED_ROSE_PRICE',20.0);

6.session變量
session變量命名遵循如下規則：
a．全部字母使用大寫；
b．session變量名使用S_開頭；
c．多個單詞間使用_間隔。

例子：$S_BASE_DIR、$S_RED_ROSE_PRICE等。

4.1.二、類命名

PHP中類命名遵循如下規則：
a．以大寫字母開頭；
b．多個單詞組成的變量名，單詞之間不用間隔，各個單詞首字母大寫。

例子：class MyClass 或 class DbOracle等。

4.1.三、方法或函數

方法或函數命名遵循如下規則：
a．首字母小寫；
b．多個單詞間不使用間隔，除第一個單詞外，其餘單詞首字母大寫。

例子：function myFunction() 或 function myDbOracle()等。

4.1.四、縮寫詞

當變量名或者其餘命名中遇到縮寫詞時，參照具體的命名規則，而不採用縮寫詞原來的所有大寫的方式。

例子：function myPear（不是myPEAR） functio getHtmlSource（不是getHTMLSource）。

4.1.五、數據庫表名

數據庫表名命名遵循如下規範：
a．表名均使用小寫字母；
b．對於普通數據表，使用_t結尾；
c．對於視圖，使用_v結尾；
d．對於多個單詞組成的表名，使用_間隔；

例子：user_info_t 和 book_store_v等。

4.1.六、數據庫字段

數據庫字段命名遵循如下規範：
a．所有使用小寫；
b．多個單詞間使用_間隔。

例子：user_name、rose_price等。

4.二、書寫規則

書寫規則是指在編寫 PHP 程序時，代碼書寫的規則，包括縮進、結構控制等方面規範。

4.2.一、代碼縮進

在書寫代碼的時候，必須注意代碼的縮進規則，咱們規定代碼縮進規則以下：
a．使用4個空格做爲縮進，而不使用tab縮進（對於ultraedit，能夠進行預先設置）。

例子：

for ( $i=0;$i<$count;$i++ ) {
    echo 'test';
}

4.2.二、大括號{}書寫規則

在程序中進行結構控制代碼編寫，如if、for、while、switch等結構，大括號傳統的有兩種書寫習慣，分別以下：
a．{ 直接跟在控制語句以後，不換行，如：

for ( $i=0;$i<$count;$i++ ) {
    echo 'test';
}

b．{ 在控制語句下一行，如：

for ( $i=0;$<$count;$i++ )
{
    echo 'test';
}

其中，a是PEAR建議的方式，可是從實際書寫中來說，這並不影響程序的規範和影響用phpdoc實現文檔，因此能夠根據我的習慣來採用上面的兩種方式，可是要求在同一個程序中，只使用其中一種，以避免形成閱讀的不方便。

4.2.三、小括號()和函數、關鍵詞等

小括號、關鍵詞和函數遵循如下規則：
a．不要把小括號和關鍵詞緊貼在一塊兒，要用一個空格間隔；如if ( $a<$b )；
b．小括號和函數名間沒有空格；如$test = date("ymdhis")；
c．除非必要，不要在Return返回語句中使用小括號。如Return $a；

4.2.四、=符號書寫

在程序中=符號的書寫遵循如下規則：
a．在=符號的兩側，均需留出一個空格；如 $a = $b 、$a = 'test'等；
b．在=符號與!、=、<、>等符號相鄰時，不需留一個空格；如 if ( $a == $b ) 、if ( $a != $b ) 等；
c．在一個申明塊，或者實現一樣功能的一個塊中，要求=號儘可能上下對其，左邊能夠爲了保持對齊使用多個空格，而右邊要求空一個空格；以下例：

$testa   = $aaa;
$testaa  = $bbb;
$testaaa = $ccc;

4.2.五、if else swith for while等書寫

對於控制結構的書寫遵循如下規則：
a．在if條件判斷中，若是用到常量判斷條件，將常量放在等號或不等號的左邊，例如：if ( 6 == $errorNum ) ,由於若是你在等式中漏了一個等號，語法檢查器會爲你報錯，能夠很快找到錯誤位置，這樣的寫法要注意；
b．switch結構中必需要有default塊；
c．在 for 和 wiile 的循環使用中，要警戒 continue 、 break 的使用，避免產生相似 goto 的問題；

4.2.六、類的構造函數

若是要在類裏面編寫構造函數，必須遵循如下規則：
a．不能在構造函數中有太多實際操做，頂多用來初始化一些值和變量；
b．不能在構造函數中由於使用操做而返回false或者錯誤，由於在聲明和實例化一個對象的時候，是不能返回錯誤的；

4.2.七、語句斷行

在代碼書寫中，遵循如下原則：
a．儘可能保證程序語句一行就是一句，而不要讓一行語句太長產生折行；
b．儘可能不要使一行的代碼太長，通常控制在120個字符之內；
c．若是一行代碼太長，請使用相似 .= 的方式斷行書寫；
d．對於執行數據庫的sql語句操做，儘可能不要在函數內寫sql語句，而先用變量定義sql語句，而後在執行操做的函數中調用定義的變量；

例子：

$sql = 'SELECT username,password,address,age,postcode FROM test_t ';
$sql .= ' WHERE username=\'aaa\'';
$res = mysql_query($sql);

4.2.八、數字

一個在源代碼中使用了的赤裸裸的數字是難以想象的數字，由於包括做者，在三個月內，沒人知道它的含義。例如：

if ( 22 == $foo ) {
    start_thermo_nuclear_war();
} elseif ( 19 == $foo){
    refund_lotso_money();
} else {
    cry_cause_in_lost();
}

你應該用define()來給你想表示某樣東西的數值一個真正的名字，而不是採用赤裸裸的數字，例如：



define('PRESIDENT_WENT_CRAZY', '22');
define('WE_GOOFED', '19');
define('THEY_DIDNT_PAY', '16');

if ( PRESIDENT_WENT_CRAZY == $foo ) {
    start_thermo_nuclear_war();
} elseif ( WE_GOOFED == $foo){
    refund_lotso_money();
} elseif ( THEY_DIDNT_PAY == $foo ){
    infinite_loop();
} else {
    cry_cause_in_lost();
}

4.2.九、判斷

遵循如下規則：
a．不能使用 1/0 代替 true/false，在 PHP 中，這是不相等的；
b．不要使用非零的表達式、變量或者方法直接進行 true/false 判斷，而必須使用嚴格的完整 true/false 判斷；

如：不使用 if ( $a ) 或者 if ( checka() ) 而使用 if ( FALSE != $a ) 或者 if ( FALSE != check() )。

4.2.十、避免嵌入賦值

在程序中避免下面例子中的嵌入式賦值：
不使用這樣的方式：



while ( $a != ( $c = getchar() ) ) {
    process the character
}

4.2.十一、錯誤返回檢測規則

檢查全部的系統調用的錯誤信息，除非你要忽略錯誤。

爲每條系統錯誤消息定義好系統錯誤文本，並記錄錯誤LOG。

4.三、程序註釋

每一個程序均必須提供必要的註釋，書寫註釋要求規範，參照PEAR提供的註釋要求，爲從此利用phpdoc生成 PHP 文檔作準備。
程序註釋的原則以下：
a．註釋中除了文件頭的註釋塊外，其餘地方都不使用//註釋，而使用/* */的註釋；
b．註釋內容必須寫在被註釋對象的前面，不寫在一行或者後面；

4.3.一、程序頭註釋塊

每一個程序頭部必須有統一的註釋塊，規則以下：
a．必須包含本程序的描述；
b．必須包含做者；
c．必須包含書寫日期；
d．必須包含版本信息；
e．必須包含項目名稱；
f．必須包含文件的名稱；
g．重要的使用說明，如類的調用方法、注意事項等；

參考例子以下：

//
// +---------------------------------------------------------+
// | PHP version 4.0
// +---------------------------------------------------------+
// | Copyright (c) 1997-2001 The PHP Group
// +---------------------------------------------------------+
// | This source file is subject to of the PHP license,
// | that is bundled with this packafile LICENSE, and is
// | available at through the world-web at
// | http://www.php.net/license/2_02.txt.
// | If you did not receive a copy of the and are unable to
// | obtain it through the world-wide-web,end a note to
// | license@php.net so we can mail you a immediately.
// +---------------------------------------------------------+
// | Authors: Stig Bakken
// | Tomas V.V.Cox
//
// +———————————————————+
//
// $Id: Common.php,v 1.8.2.3 2001/11/13 01:26:48 ssb Exp $

4.3.二、類的註釋

類的註釋採用裏面的參考例子方式：

/**
 * @ Purpose:
 * 訪問數據庫的類，以ODBC做爲通用訪問接口
 * @Package Name: Database
 * @Author: Forrest Gump gump@crtvu.edu.cn
 * @Modifications:
 * No20020523-100:
 * odbc_fetch_into()參數位置第二和第三個位置調換
 * John Johnson John@crtvu.edu.cn
 * @See: (參照)
 */

class Database {
    ...
}

4.3.三、函數和方法的註釋

函數和方法的註釋寫在函數和方法的前面，採用相似下面例子的規則：

/**
 * @Purpose:
 * 執行一次查詢
 * @Method Name: query()
 *
 * @Param: string $queryStr SQL查詢字符串
 * @Param: string $username 用戶名
 *
 * @Author: Michael Lee
 *
 * @Return: mixed 查詢返回值（結果集對象）
 */
function query （ $queryStr, $username ） {
    ...
}

4.3.四、變量或者語句註釋

程序中變量或者語句的註釋遵循如下原則：
a．寫在變量或者語句的前面一行，而不寫在同行或者後面；
b．註釋採用/* */的方式；
c．每一個函數前面要包含一個註釋塊。內容包括函數功能簡述，輸入/輸出參數，預期的返回值，出錯代碼定義；
d．註釋完整規範；
e．把已經註釋掉的代碼刪除，或者註明這些已經註釋掉的代碼仍然保留在源碼中的特殊緣由。

例子：

/**
 * @Purpose:
 * 數據庫鏈接用戶名
 * @Attribute/Variable Name: db_user_name
 * @Type: string
 */
var db_user_name;

4.四、其它規範

4.4.一、PHP代碼標記

全部的PHP程序代碼塊標記均使用<?php ，不使用短標記<?。

4.4.二、程序文件名、目錄名

程序文件名和目錄名命名均採用有意義的英文方式命名，不使用拼音或無心義的字母，同時均必須使用小寫字母，多個詞間使用_間隔。

4.4.三、PHP項目一般的文件目錄結構

建議在開發規範的獨立的PHP項目時，使用規範的文件目錄結構，這有助於提升項目的邏輯結構合理性，對應擴展和合做，以及團隊開發均有好處。

一個完整獨立的PHP項目一般的文件和目錄結構以下：
/ 項目根目錄
/manage 後臺管理文件存放目錄
/css css文件存放目錄
/doc 存放項目文檔
/images 全部圖片文件存放路徑（在裏面根據目錄結構設立子目錄）
/scripts 客戶端js腳本存放目錄
/tpl 網站全部html的模版文件存放目錄
/error.php 錯誤處理文件（能夠定義到apache的錯誤處理中）
以上目錄結構是一般的目錄結構，根據具體應用的具體狀況，能夠考慮不用徹底遵循，可是儘可能作到規範化。

4.4.四、PHP和HTML代碼的分離問題

對性能要求不是很高的項目和應用，咱們建議不採用 PHP 和 HTML 代碼直接混排的方式書寫代碼，而採用 PHP 和 HTML 代碼分離的方式，即採用模版的方式處理，這樣一方面對程序邏輯結構更加清晰有利，也有助於開發過程當中人員的分工安排，同時還對往後項目的頁面升級該版提供更多便利。

對於一些特殊狀況，好比對性能要求很高的應用，能夠不採用模版方式。

4.4.五、PHP項目開發中的程序邏輯結構

對於 PHP 項目開發，儘可能採用 OOP 的思想開發，尤爲在 PHP5 之後，對於面向對象的開發功能大大提升。

在 PHP 項目中，咱們建議將獨立的功能模塊儘可能寫成函數調用，對應一整塊業務邏輯，咱們建議封裝成類，既能夠提升代碼可讀性，也能夠提升代碼重用性。好比，咱們一般將對數據庫的接口封裝成數據庫類，有利於平臺的移植。

重複的代碼要作成公共的庫。（除了咱們在 plug-in 產品上遇到的狀況，該產品系列有多個相相似的產品，爲了儘量地減小安裝包尺寸，不適合將這些產品共用的全部函數作成公共的庫）

五、特定環境下PHP編碼特殊規範

5.一、變量定義

XXX環境下的 PHP 代碼編寫要求全部的變量均須要先申明後使用，不然會有錯誤信息，對於數組，在使用一個不肯定的 key 時，好比先進行 isset() 的判斷，而後再使用；好比下面的代碼：



$array ＝ array();
$var ＝ isset( $array[3] ) ? $array[3] : ''；

5.二、引用的使用

引用在程序中使用比較多，爲了公用同一個內存，而不須要另外進行復制，XXX環境下的引用使用時，須要注意下面的狀況；

在對函數的輸入參數中使用引用時，不能在調用的時候在輸入參數前加 & 來引用，而直接使用該變量便可，同時必須在函數定義的時候說明輸入參數來自引用，好比下面的代碼：

$a ＝ 1；
function ab( &$var ) {
    $var ++；
    return $var；
}
$b ＝ ab($a); // 注意，此處不能使用 $b ＝ ab(&$a)的方式；
echo $b."\n"；
echo $a."\n"；

此時 $a 和 $b 都是 2；
XXX環境下對引用的特殊要求源自 php.ini 文件裏面的 allow_call_time_pass_reference 項設置，對外公開的版本是 On，這樣就能夠支持&直接加到調用函數時變量前面進行引用，可是這一方法遭到抗議，並可能在未來版本的 PHP/Zend 裏再也不支持。受到鼓勵的指定哪些參數按引用傳遞的方法是在函數聲明裏。你被鼓勵嘗試關閉這一選項（使用off，XXX的全部運行環境下都是off）並確認你的腳本仍能正常工做，以保證在未來版本的語言裏它們仍能工做。