堅(jiān)牢なPHPアプリケーションを構(gòu)築する：防御プログラミング戦略

この記事では、PHP開(kāi)発における防御プログラミングの重要性を調(diào)査し、アプリケーションの堅(jiān)牢性と効率を改善するためのいくつかの重要な戦略を提供します。防御プログラミングは、テスト駆動(dòng)型の開(kāi)発を避けることではなく、問(wèn)題が発生する前に潛在的な障害點(diǎn)を予測(cè)し、回避することです。

コアポイント：

• 防御プログラミングは、潛在的な障害點(diǎn)を予測(cè)し、発生する前にそれらを回避するための措置を講じるように設(shè)計(jì)されています。
• "速い障害、エラーを大聲で報(bào)告する" は、効果的な防御プログラミング方法です。特にAPIなどの外部システムからのユーザー入力または入力を処理する場(chǎng)合、エラーが早期に表示されて警告する必要があります。
入力の検証、比較での予期しない割り當(dāng)ての防止、例外処理を試して/キャッチすること、およびデータベーストランザクションは、防御プログラミングの重要な側(cè)面です。

防御プログラミングの定義：

防御プログラミングは、簡(jiǎn)単に言えば、潛在的な障害ポイントを予測(cè)する目的でプログラムすることです。目標(biāo)は、これらの問(wèn)題が発生する前に回避することです。

多くの人々は防御的なプログラミングに反対しますが、これは多くの場(chǎng)合、彼らが見(jiàn)る防御的なプログラミング方法のいくつかが原因です。防御プログラミングは、テスト駆動(dòng)型の開(kāi)発を避けたり、単に障害を修正する方法と見(jiàn)なされるべきではありません。

「高速失敗」は、防御プログラミングの反対と見(jiàn)なされるべきではありません。どちらも同じカテゴリに屬します。プログラムの障害の可能性を予測(cè)し、これらの障害を防止または適切に処理しない場(chǎng)合、これらの方法は何ですか？

速く速く、エラーを大聲で報(bào)告します

単純に言うと、「迅速に失敗し、エラーが大聲で報(bào)告された」とは、エラーが発生すると、できるだけ早く発生し、エラー狀態(tài)で靜かに実行し続けるのではなく、関係者に警告することを意味します。問(wèn)題。

このメソッドは、スクリプト、モジュール、またはシステムの外側(cè)（APIを介して）からのユーザー入力または入力を処理する場(chǎng)合に最も役立ちます。アプリケーションシナリオの1つは、関數(shù)に渡された無(wú)効な値またはデータ型を確認(rèn)することです。

一部のプログラマーが「高速障害」メソッドを使用するエラーの1つは、それらを適切に処理する準(zhǔn)備をせずにユーザーに例外とエラーを投げるだけです。エラーメッセージに平均的なユーザーが心配または混亂することを望んでいません。さらに重要なことは、悪意のあるユーザーが表示されている情報(bào)から何かを?qū)Wぶことを望まないことです。ユーザーに有用なメッセージを表示し、エラーを記録し、その例外の結(jié)果である必要がある他のタスクを?qū)g行します。あなたはただ

function thisTestFunction($testInt) {
    if (!is_int($testInt)) {
        // 執(zhí)行某些操作
    }
}

速い<

の失敗を望んでいません、あなたはまたloud （問(wèn)題があることを知っている）とセキュリティが必要です（悪い例外処理や例外の完全な欠如があります取り扱いはより多くのセキュリティの問(wèn)題を引き起こします）。

入力検証

ユーザー入力を安全に検証する方法はたくさんあります。

タイプ変換は、ユーザー入力を「検証」する興味深い方法です。時(shí)々それは次のようになります：

function thisTestFunction($testInt) {
    if (!is_int($testInt)) {
        // 執(zhí)行某些操作
    }
}

他の方法を使用してクロスサイトのスクリプト攻撃を避ける代わりに、単にキャプチャ、タイプ変換、および値を割り當(dāng)てます。これは、予想されるタイプがあり、そのタイプの値が安全である場(chǎng)合にのみ機(jī)能します（それ以外の場(chǎng)合は、適切な整數(shù)値を確認(rèn)する必要があります）。このアプローチの問(wèn)題は（ほとんどの場(chǎng)合）、の入力をチェックしているわけではありませんが、forceがそれが本來(lái)あるべきものになることです。これは意図しない結(jié)果をもたらす可能性があります。代わりに、より良いアプローチは、を使用して適切な値を確認(rèn)することです。 filter_input()

現(xiàn)代のPHPでネイティブ

$member->property = (int)$_GET['property'];

関數(shù)を使用することには多くの利點(diǎn)があります。上記の記事またはPHP.NETで詳細(xì)をご覧ください。

filter_input

比較の予期しない割り當(dāng)てを防止します

これは、シンプルで、しばしば守備的なプログラミングの原則です。比較方法に簡(jiǎn)単な変更を加えることは、大きな影響を與える可能性があります。次の狀況を考慮してください：

これは比較的正常な比較ですよね？しかし、「==」の代わりに「=」を誤って使用するとどうなりますか（または、ほとんどの場(chǎng)合、「==」）？キーボードの指のシンプルなスワイプ？忘れっぽい、多分？突然、あなたの比較は常に、すべての場(chǎng)合に真実です。あなたのIDEがあなたにこれを警告しない限り、あなたがそれを発見(jiàn)するのにどれくらい時(shí)間がかかりますか？場(chǎng)合によっては、これはしばらくの間、サイレントエラーになる可能性があります。ただし、これを防ぐための非常に簡(jiǎn)単な方法があります。

$member->property = filter_input(INPUT_GET, 'property', FILTER_VALIDATE_INT);

if (false === $member->property) {
  throw new Exception('Property was not an int');
}

今、誤って等しい符號(hào)を使用している場(chǎng)合、エラーは沈黙しません。明らかに、これは頻繁には発生しない可能性があります。テストによって軽減される可能性があり、すべての場(chǎng)合、特に可変性と変動(dòng)の比較を行う場(chǎng)合は実用的ではありません。しかし、もしあなたが起こる傾向があるなら、これはまだ悪い考えではありません。

if ($member->property == 12345) {
    // 執(zhí)行很酷的操作
} else {
    // 不執(zhí)行任何有趣的操作
}

トライ/キャッチと例外を処理します

Try/Catchステートメントは、PHP開(kāi)発者の間の別のホットトピックです。まず、私たちが議論していることを簡(jiǎn)単に見(jiàn)てみましょう。

防御プログラミングのためのよく知られているツールは、Try/Catchステートメントと例外クラスです。正しく使用すると、エラーをキャッチしてログに記録するのに最適です。優(yōu)れたプログラマーは、Try/Catchステートメントを使用して、通常のプロセスの中斷を引き起こす可能性のあるエラーまたはその他の狀況を予測(cè)します。これらの例外が発生した場(chǎng)合、適切な方法で処理する必要があります。必要に応じて、アプリケーションのユーザーは、機(jī)密情報(bào)を漏らすことなく、可能な限り便利な合理的なエラーメッセージを受信する必要があります。アプリケーションの管理者は、詳細(xì)なアラートやログを受信する必要があります。未処理または無(wú)視された例外は、「エラーを大聲で報(bào)告する」という提案を無(wú)視し、プログラムが自然界で一定期間サイレントエラー狀態(tài)になることを可能にする可能性があります。これは、関係者にとっては良くありません。

if (12345 == $member->property) {
    // 執(zhí)行很酷的操作
} else {
    // 不執(zhí)行任何有趣的操作
}

business トランザクションは、クエリをグループ化できるようにするデータベースの機(jī)能であり、1つのクエリが失敗した場(chǎng)合、すべてのクエリが失敗するようにします。これは酸の実裝であり、こちらについて詳しく読むことができます。アイデアは、複數(shù)のクエリを1つのプロセスに組み合わせることは、特にクエリが相互依存している場(chǎng)合、より安全で安定したソリューションになる場(chǎng)合があるということです。 PHP開(kāi)発者は、多くの場(chǎng)合、トランザクションを完全に無(wú)視したり、不要であると仮定したりしますが、一部の防御プログラミングは、データベースと対話するときに大いに役立つ可能性があります。この記事では、トランザクションがより深く説明されていますが、要するに、トランザクションでは、MySQLの更新を?qū)g行してから、実際のが

をコミットする前に結(jié)果を確認(rèn)することができます。 PDOを使用している場(chǎng)合（必要です）、PDOメソッドを使用してトランザクションを開(kāi)始し、結(jié)果をコミットし、ロールバックできます。上記のトランザクションの概要に加えて、この詳細(xì)なガイドを通じてさらに研究することができます。

結(jié)論

これらはいくつかの一般的なトリックです。明らかに、それぞれにその目的があり、それぞれに適用されないという重要な狀況があります。しかし、これらの概念を日常の開(kāi)発體制に組み込むと、仕事の効率を高めることができます。これは通常、現(xiàn)在PHPを?qū)W習(xí)している開(kāi)発者により適したトピックですが、誰(shuí)にとっても、実踐の良いレビューです。

特に新しい開(kāi)発者にとって、覚えていることが1つしかない場(chǎng)合、防御プログラミングを行う必要があるということです。これは、間違っている可能性があります。それらを適切に処理します。サイレントエラーが発生し続けないでください。すぐに失敗しました。コードをテストします。問(wèn)題をテストおよび解決する堅(jiān)牢なアプリケーションを構(gòu)築し、將來(lái)の問(wèn)題を予測(cè)および処理することにより、アプリケーションをより信頼性を高め、舞臺(tái)裏でより良いユーザーエクスペリエンスを作成するのに役立つことができます。

以上がPHPでの防御プログラミングのためのその他のヒントの詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。