Créer une application PHP robuste: stratégie de programmation défensive
Cet article explore l'importance de la programmation défensive dans le développement de PHP et fournit des stratégies clés pour améliorer la robustesse et l'efficacité des applications. La programmation défensive n'est pas d'éviter le développement axé sur les tests, mais de prévoir et d'éviter les points de défaillance potentiels avant les problèmes.
Points de base:
- Programmation défensive est con?ue pour prédire les points de défaillance potentiels et prendre des mesures pour les contourner avant qu'ils ne se produisent.
- "échec rapide, signalez une erreur bruyamment" est une méthode de programmation défensive efficace. Les erreurs doivent appara?tre t?t et les alerter, en particulier lors du traitement de l'entrée des utilisateurs ou des entrées à partir de systèmes externes tels que les API.
- Vérification des entrées, empêchant des affectations inattendues en comparaison, TRY / Catch Excepter le traitement et les transactions de base de données sont des aspects clés de la programmation défensive.
Définition de la programmation défensive:
La programmation défensive, tout simplement, est de programmer dans le but de prédire les points de défaillance potentiels. L'objectif est de contourner ces problèmes avant qu'ils ne se produisent.
Beaucoup de gens s'opposent à la programmation défensive, mais cela est souvent d? à certaines des méthodes de programmation défensive qu'ils voient. La programmation défensive ne doit pas être considérée comme un moyen d'éviter le développement axé sur les tests ou simplement pour réparer les échecs.
"FAISE FAST" ne doit pas être considéré comme un contraire de la programmation défensive. Les deux appartiennent à la même catégorie. Quelles sont ces méthodes, sinon pour prédire la défaillance possible du programme et pour prévenir ou gérer correctement ces échecs?
rapidement rapidement, signalez une erreur à haute voix
En termes simples " problèmes.
Cette méthode est plus utile lors du traitement de l'entrée des utilisateurs ou de la saisie des scripts, des modules ou en dehors du système (par exemple via l'API). Un scénario d'application consiste à vérifier les valeurs ou les types de données non valides transmis à une fonction.
function thisTestFunction($testInt) {
if (!is_int($testInt)) {
// 執(zhí)行某些操作
}
}
L'une des erreurs que certains programmeurs utilisent la méthode de "défaillance rapide" consiste simplement à lancer des exceptions et des erreurs à l'utilisateur sans se préparer correctement à les gérer. Vous ne voulez pas que l'utilisateur moyen soit inquiet ou confondu par votre message d'erreur. Plus important encore, vous ne voulez pas que les utilisateurs malveillants apprennent quoi que ce soit des informations qu'ils leur sont affichées. Montrez à l'utilisateur un message utile, enregistrez votre erreur et effectuez toutes les autres taches qui doivent être le résultat de cette exception. Vous ne voulez pas simplement Fast échec, vous avez également besoin de fort (sachez qu'il y a un problème) et de la sécurité (ne vous laissez pas avoir une mauvaise exception ou un manque total d'exception Gestion de provoquer plus de problèmes de sécurité).
Vérification d'entrée
Il existe de nombreuses fa?ons de vérifier en toute sécurité l'entrée utilisateur.
La conversion de type est un moyen intéressant de "vérifier" l'entrée utilisateur. Parfois, cela ressemble à ceci:
function thisTestFunction($testInt) {
if (!is_int($testInt)) {
// 執(zhí)行某些操作
}
}
Au lieu d'utiliser d'autres méthodes pour éviter les attaques de scripts inter-sites, il capture, tape, convertit et attribue des valeurs. Cela ne fonctionne que si vous avez le type attendu et que toute valeur de ce type est s?re (sinon, vous devez également vérifier la valeur entière appropriée ). Je pense que le problème avec cette approche (dans la plupart des cas) est que vous n'êtes pas vraiment vérifier l'entrée , mais juste force cela devient ce qu'il devrait être. Cela peut avoir des conséquences involontaires. Au lieu de cela, une meilleure approche pourrait être d'utiliser filter_input() pour vérifier la valeur appropriée.
$member->property = (int)$_GET['property'];
Il y a de nombreux avantages à utiliser les fonctions natives filter_input dans PHP moderne, vous pouvez en savoir plus dans l'article ci-dessus ou sur php.net.
Empêcher les affectations inattendues en comparaison
Il s'agit d'un principe de programmation défensif simple et souvent remarqué. Faire des changements simples dans la fa?on dont vous comparez peut avoir un impact énorme. Considérez la situation suivante:
$member->property = filter_input(INPUT_GET, 'property', FILTER_VALIDATE_INT);
if (false === $member->property) {
throw new Exception('Property was not an int');
}
Il s'agit d'une comparaison relativement normale, non? Mais que se passe-t-il si vous utilisez accidentellement "=" au lieu de "==" (ou, dans la plupart des cas, mieux "==")? Swipe simple des doigts sur le clavier? Oublieux, peut-être? Soudain, votre comparaison est toujours, dans tous les cas, vraie. à moins que votre IDE ne vous avertit cela, combien de temps vous faudra-t-il pour le découvrir? Dans certains cas, cela peut être une erreur silencieuse pendant un certain temps. Cependant, il existe un moyen extrêmement simple d'éviter cela:
if ($member->property == 12345) {
// 執(zhí)行很酷的操作
} else {
// 不執(zhí)行任何有趣的操作
}
Maintenant, si vous utilisez accidentellement un signe égal, l'erreur ne sera pas silencieuse. De toute évidence, cela peut ne pas se produire souvent, il peut être atténué par vos tests et n'est pas pratique dans tous les cas, surtout lorsque vous effectuez des comparaisons variables à variables. Mais si vous avez tendance à se produire, ce n'est toujours pas une mauvaise idée.
gérer l'essai / capture et les exceptions
L'énoncé Try / Catch est un autre sujet br?lant parmi les développeurs PHP. Voyons d'abord ce dont nous discutons.
if (12345 == $member->property) {
// 執(zhí)行很酷的操作
} else {
// 不執(zhí)行任何有趣的操作
}
Un outil bien connu pour la programmation défensive est l'instruction Try / Catch et la classe d'exception. Lorsqu'ils sont utilisés correctement, ils sont parfaits pour attraper et enregistrer les erreurs. Un bon programmeur utilisera l'instruction Try / Catch pour prédire les erreurs ou d'autres situations qui peuvent provoquer l'interruption des processus normaux. Lorsque ces exceptions se produisent, elles doivent être traitées de manière appropriée. Si nécessaire, les utilisateurs de l'application doivent recevoir des messages d'erreur raisonnables aussi utiles que possible sans divulguer d'informations sensibles. L'administrateur de la demande doit recevoir des alertes et / ou des journaux détaillés. Les exceptions non transformées ou ignorées ignorent la suggestion de "signaler une erreur bruyamment" et peuvent permettre au programme d'être dans un état d'erreur silencieux pendant une période de temps, ce qui n'est bon pour toute personne impliquée.
Business
Les transactions sont une caractéristique des bases de données qui permettent aux requêtes d'être regroupées afin que si une requête échoue, toutes les requêtes échouent. C'est la mise en ?uvre de l'acide, et vous pouvez en savoir plus ici. L'idée est que la combinaison de plusieurs requêtes en un seul processus peut parfois être une solution plus s?re et plus stable, surtout lorsque les requêtes sont interdépendantes. Les développeurs PHP ignorent souvent les transactions entièrement, ou supposent qu'elles ne sont pas nécessaires, mais certaines programmes défensifs peuvent aller très loin lorsqu'ils interagissent avec une base de données. Les transactions sont discutées plus en profondeur dans cet article, mais en bref, les transactions vous permettent d'exécuter des mises à jour MySQL, puis de vérifier les résultats avant les résultats réels commet . Si vous utilisez PDO (vous devriez), vous pouvez démarrer la transaction à l'aide de la méthode PDO, engager le résultat et faire reculer. En plus du résumé ci-dessus des transactions, ils peuvent être étudiés davantage via ce guide approfondi.
Conclusion
Ce ne sont que quelques astuces courantes. De toute évidence, chacun d'eux a son objectif, et chacun a sa situation importante où elle ne s'applique pas. Mais si vous incorporez ces concepts dans votre régime de développement quotidien, cela peut augmenter l'efficacité de votre travail. Bien qu'il s'agisse généralement d'un sujet plus adapté aux développeurs qui apprennent actuellement PHP, pour tout le monde, c'est une bonne revue de la pratique.
S'il n'y a qu'une seule chose qui se souvient, en particulier pour les nouveaux développeurs, c'est que vous devriez faire une programmation défensive - un plan qui peut être faux. Les gérer correctement. Ne laissez pas les erreurs silencieuses continuer à se développer. A échoué rapidement. Testez votre code. En construisant des applications robustes qui testent et résolvent des problèmes, et prédisent et traitent les problèmes futurs, vous pouvez rendre vos applications plus fiables et, espérons-le, aider à créer une meilleure expérience utilisateur dans les coulisses.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Porce de variable PHP expliquée
Jul 17, 2025 am 04:16 AM
Les problèmes et les solutions courants pour la portée de la variable PHP incluent: 1. La variable globale ne peut pas être accessible dans la fonction, et elle doit être transmise en utilisant le mot-clé ou le paramètre global; 2. La variable statique est déclarée avec statique, et elle n'est initialisée qu'une seule fois et la valeur est maintenue entre plusieurs appels; 3. Des variables hyperglobales telles que $ _get et $ _post peuvent être utilisées directement dans n'importe quelle portée, mais vous devez faire attention au filtrage s?r; 4. Les fonctions anonymes doivent introduire des variables de portée parents via le mot clé Utiliser, et lorsque vous modifiez les variables externes, vous devez passer une référence. La ma?trise de ces règles peut aider à éviter les erreurs et à améliorer la stabilité du code.
Comment gérer les téléchargements de fichiers en toute sécurité dans PHP?
Jul 08, 2025 am 02:37 AM
Pour gérer en toute sécurité les téléchargements de fichiers PHP, vous devez vérifier la source et taper, contr?ler le nom et le chemin du fichier, définir les restrictions du serveur et traiter les fichiers multimédias deux fois. 1. Vérifiez la source de téléchargement pour empêcher le CSRF via le jeton et détecter le type de mime réel via FINFO_FILE en utilisant le contr?le de liste blanche; 2. Renommez le fichier à une cha?ne aléatoire et déterminez l'extension pour la stocker dans un répertoire non Web en fonction du type de détection; 3. La configuration PHP limite la taille de téléchargement et le répertoire temporaire Nginx / Apache interdit l'accès au répertoire de téléchargement; 4. La bibliothèque GD résait les images pour effacer des données malveillantes potentielles.
Commentant le code en php
Jul 18, 2025 am 04:57 AM
Il existe trois méthodes courantes pour le code de commentaire PHP: 1. Utiliser // ou # pour bloquer une ligne de code, et il est recommandé d'utiliser //; 2. Utiliser /.../ pour envelopper des blocs de code avec plusieurs lignes, qui ne peuvent pas être imbriquées mais peuvent être croisées; 3. Compétences combinées Commentaires tels que l'utilisation / if () {} / pour contr?ler les blocs logiques, ou pour améliorer l'efficacité avec les touches de raccourci de l'éditeur, vous devez prêter attention aux symboles de fermeture et éviter les nidification lorsque vous les utilisez.
Comment les générateurs fonctionnent-ils en PHP?
Jul 11, 2025 am 03:12 AM
AgeneratorInphpisamemory-EfficientwaytoterateOrgedatasetsByyieldingValuesonEatatimeIntedofreturningThemallAtonce.1.GeneratorsUsEtheieldKeywordToproduceValuesondemand, ReducingMemoryUsage.2.TheyAreusefulForHandlingBigloops, ReadingLargeFiles, OR OR.
Conseils pour écrire des commentaires PHP
Jul 18, 2025 am 04:51 AM
La clé pour rédiger des commentaires PHP est de clarifier l'objectif et les spécifications. Les commentaires devraient expliquer "pourquoi" plut?t que "ce qui a été fait", en évitant la redondance ou trop de simplicité. 1. Utilisez un format unifié, tel que DocBlock (/ * /) pour les descriptions de classe et de méthode afin d'améliorer la lisibilité et la compatibilité des outils; 2. Soulignez les raisons de la logique, telles que pourquoi les sauts JS doivent être sortis manuellement; 3. Ajoutez une description d'une vue d'ensemble avant le code complexe, décrivez le processus dans les étapes et aidez à comprendre l'idée globale; 4. Utilisez TODO et FIXME Rationalement pour marquer des éléments et des problèmes de taches pour faciliter le suivi et la collaboration ultérieurs. De bonnes annotations peuvent réduire les co?ts de communication et améliorer l'efficacité de la maintenance du code.
Tutoriel d'installation rapide PHP
Jul 18, 2025 am 04:52 AM
Toinstallphpquickly, usexAmpPonWindowsorHomebrewonMacos.1.onwindows, downloadAndInstallxAmppp, selectComponents, startapache et placefilesInhtdocs.2.
Comment accéder à un caractère dans une cha?ne par index en php
Jul 12, 2025 am 03:15 AM
En PHP, vous pouvez utiliser des crochets ou des accolades bouclées pour obtenir des caractères d'index spécifiques à la cha?ne, mais les crochets sont recommandés; L'index commence à partir de 0 et l'accès à l'extérieur de la plage renvoie une valeur nulle et ne peut pas se voir attribuer une valeur; MB_substr est nécessaire pour gérer les caractères multi-octets. Par exemple: $ str = "Hello"; echo $ str [0]; sortie h; et les caractères chinois tels que MB_substr ($ str, 1,1) doivent obtenir le résultat correct; Dans les applications réelles, la longueur de la cha?ne doit être vérifiée avant le boucle, les cha?nes dynamiques doivent être vérifiées pour la validité et les projets multilingues recommandent d'utiliser des fonctions de sécurité multi-octets uniformément.
Apprendre PHP: un guide du débutant
Jul 18, 2025 am 04:54 AM
Toléarnphpeffective, startBySettingUpAlocalServerERironmentUsingToolsLILYXAMPPANDACODEDITERLIGHILLEVSCODE.1) INSTRUSITIONXAMPFORAPACHE, MYSQL, ANDPHP.2) USACODEDEDITORFORSYNTAXSUPPORT.3)
