6月末に、フリーランスマーケットプレイスであるToptalは、PHPプログラマーが犯す最も一般的な10の間違いに関する投稿を公開しました。リストは網(wǎng)羅的ではありませんでしたが、よく書かれていて、非常に興味深い落とし穴が警戒すべきであると指摘されていました。

徹底的な読み物をお屆けすることをお?jiǎng)幛幛筏蓼?。特に最初?つのポイントで、あなたが知っておくべきいくつかの真に貴重な情報(bào)を持っています。數(shù)日前、アンナ?フィリナは7つの新しいエントリでリストを拡張しました。具體的ではなく一般的ではありませんが、彼女のポイントはまだ重量を持ち、開発するときに考慮する必要があります。

キーテイクアウト

SQLデータベースに非推奨MySQL拡張機(jī)能を使用しないでください。SSLおよび最新のMySQL機(jī)能のサポートがないため、SQLデータベースには不安定で信頼できないためです。代わりに、MysqliやPDOなどの代替品を選択してください。

@オペレーターを使用して、コードのエラーを抑制しないでください。代わりに、コードを修正してエラーをログに記録し、それらにアドレス指定します。これにより、アプリケーションの完全性を維持し、問題が無視されたり見落とされたりするのを防ぎます。

特に既知のフレームワークを使用している場(chǎng)合は、バックエンドのセットアップに関する情報(bào)が多すぎることに注意してください。これにより、そのフレームワークのセキュリティの脆弱性が発見された場(chǎng)合、アプリケーションが潛在的な攻撃にさらされる可能性があります。また、不正アクセスを防ぐために生産にプッシュするときは開発構(gòu)成を削除することを忘れないでください。
7 PHP開発者がしばしば間違いを犯します
• 私はToptalの誰かから彼らのリストを見て潛在的に貢獻(xiàn)するように頼まれました、そして、ソーシャルネットワークの私たちのフォロワーの何人かはリストを見ることに興味を示していたので、私はこの機(jī)會(huì)を取りたいと思いますこのリストに自分のエントリのいくつかを追加して、チームメンバーやフォロワーについて繰り返し警告する必要があります。
1。 MySQL拡張子を使用してください
このニュースは非常に古いですが、事実に気付かない開発者の數(shù)は心配しています。 SQLデータベース、特にMySQLを使用する場(chǎng)合、あまりにも多くの開発者がMySQL拡張機(jī)能を選択します。 MySQL拡張機(jī)能は正式に非推奨されています。それは不安で、信頼性が低く、SSLをサポートせず、最新のMySQL機(jī)能が欠けています。また、アプリを壊さない非推奨通知も生成し、アプリの上部に表示されます。陽気に、これが意味することは、これを探すだけでこの不安定なセットアップを使用するすべてのさまざまなサイトにGoogleを単純にGoogleにすることも可能であるということです。これらのアプリがこの混亂のためにさらされていることを傷つける世界は驚異的です。

mysqlを使用する代わりに、代替案の1つを選択します：mysqli、またはpdo。たとえば、MySQLIを使用することは、API呼び出しの最後に「i」という文字を追加するのとほぼ同じくらい簡(jiǎn)単です。

<span>$c = mysql_connect("host", "user", "pass");
</span><span>mysql_select_db("database");
</span><span>$result = mysql_query("SELECT * FROM posts LIMIT 1");
</span><span>$row = mysql_fetch_assoc($result);</span>

vs

<span>$mysqli = new mysqli("host", "user", "pass", "database");
</span><span>$result = $mysqli->query("SELECT * FROM posts LIMIT 1");
</span><span>$row = $result->fetch_assoc();</span>

セットアップを計(jì)り知れないほど安全にするために必要なのはそれだけです。

ただし、PDOを選択する必要があります。詳細(xì)については、ポイント2で詳しく説明しています

2。 pdo

を使用していません

誤解しないでください、MySQLIは（文字通り）古代のMySQL拡張よりも前の世代です。最新の狀態(tài)、安全で、信頼性が高く、速いです。ただし、MySQL固有です。代わりにPDOを使用すると、驚くほど実用的なオブジェクト指向の構(gòu)文を使用すると、PostgreSQL、MS SQLなどの他のSQLデータベースとTangoの準(zhǔn)備ができます。さらに、PDOは名前のパラメーターを使用できるようにします。これは、非常に便利な機(jī)能であり、適切に活用した後、他のものに行くことを想像できる人はほとんどいません。最後になりましたが、これがあります。フェッチしたデータを直接新しいオブジェクトに挿入できます。これは、大規(guī)模なプロジェクトの楽しい時(shí)代です。

3。 urlsを書き換えない

もう1つの一般的に無視され、問題を簡(jiǎn)単に修正できます。 myapp.com/index.php?p=34&g = 24のようなURLは、この日と年齢では受け入れられません。すべてのサーバーとフレームワークをカバーする優(yōu)れたURL書き換えガイドを書くことが非常に困難であるため、ほぼすべてのフレームワークには、クリーンURL（Laravel、Phalcon、Symfony、Zend）とそのドンドンのセットアップ方法に関するガイドがあります。 Tは単に使用する価値がありません - 明らかに現(xiàn)代の慣行を気にしません。

4。エラーの抑制

これについては前の記事で書きましたが、もう一度言及する価値があります。 @ operatorを使用していることに気付くたびに、別の角度からより慎重に問題に再考してアプローチします。アプリの機(jī)能をめぐる20行のボイラープレートカールコードは、その前に @オペレーターがある?yún)g一の行よりも優(yōu)れていると言うとき、私の言葉を取ります。

個(gè)人的な実験を通じて、良いアプローチが元の投稿で私が提唱しているアプローチであることを発見しました。すべての通知を致命的なエラーに変えます。文字通りログがあるため、

はエラーログにログインしないことを確認(rèn)してください。

最近、プロダクション対応P(guān)HPアプリのHerokuアドオンをいくつかカバーしましたが、そのうちの1つは優(yōu)れたPaperTrailでした。これにより、すべてのアプリのエラーをバックエンドに押して、後で簡(jiǎn)単に検索、グループ化、排除できるアドオンができます。の上;したがって、いくつかのエラーが発生したとしても、コードを修正して、ユーザーの前で愚かなプレイをするよりも、コードを修正することでそれらをログにして取り除くことをお?jiǎng)幛幛筏蓼埂?/p>

5。條件の割り當(dāng)て

経験豊富な開発者でさえ、指のスリップを持ち、if（$條件= 'value'）{if（$條件== 'value'）{。私たちの手は滑り、キーボードはキープレスを登録せず、割り當(dāng)てが実際に起こったコードの別の部分から貼り付けます。それは起こります。通常、アプリを?qū)g行したときにのみわかります。

これを完全に回避する方法はいくつかあります：

まともなIDEを使用します。良いIDE（たとえば、phpstormなど）は、それらを検出したときに「條件の割り當(dāng)て」の問題について警告します。

「ヨーダ條件」を使用します。これらは、多くの人気のあるプロジェクト、さらには大きなフレームワークでも表示されます。比較を反転させることにより（（ 'value' = $條件）{）{）のように、より弱いIDEも問題に気付くでしょう。ヨーダの構(gòu)文は迷惑で無意味なことを考えている人もいます。私たち全員がエリート主義者だったら、WordPressとZend Frameworkは存在しません。
1. それを念頭に置くだけで、それを書くたびに眼球反射を開発してチェックします。必要なのは練習(xí)だけですが、それは最高の開発者にも起こります、そしてそれは1。と2。
2. 6。透明すぎる
3. これはいくつかの論爭(zhēng)をかき立てるかもしれないと言っていますが、とにかくここにあります。フレームワークの開発者に100％の自信がある場(chǎng)合、または高プロフィットの高トラフィックビジネスクリティカルアプリケーションを運(yùn)営していない場(chǎng)合を除き、常にバックエンドの方法を不明瞭にするよう努める必要があります。そのフレームワークのセキュリティの脆弱性が発見された場(chǎng)合、攻撃の防止に役立ちます。たとえば、

symfony2翻訳者を使用し、{_locale}パラメーターのアップグレードを備えたルートがある場(chǎng)合！ http://t.co/jihxhb8mzt

- JérémyDerussé（@jderusse）2014年7月15日 7。開発構(gòu)成を削除しない

最後になりましたが、開発構(gòu)成の削除に言及する必要があります。ごく最近（そして、私はここで再びSymfonyに言及している正直な偶然です）、CNETは開発構(gòu)成を削除しないために攻撃を受けました。

uhmmm no：http：//t.co/raqis1ycwq #security＃symfony

- marco pivetta（@ocramius）2014年7月15日

世界最大のハイテクニュースサイトの1つである

CNETは、Symfonyに基づいています。 Symfonyは、ご存知かもしれませんが、アプリケーションの2つのエントリポイントを備えています：app.phpとapp_dev.php。ブラウザを1つに向けることで、生産環(huán)境を取得します。 _DEVサフィックスを使用したものを指すことにより、デバッガー、機(jī)密データなどを特徴とする開発バージョンを明らかに取得します。これが良いか悪いかは、多くの議論の主題であるかどうか（再び、これを指摘してくれたライアンに感謝します）が、CNETに苦しんでいるエラーに不器用な開発者を開くことは否定できません。さらに、app_devで他のapp_dev urlにリダイレクトされると、他のURLがアクセスされます。言い換えれば、開発モードで起動(dòng)するのはインデックスページだけではなく、Webサイト全體です。CNETの場(chǎng)合、それは多くのアクセスです。

Twitterでのディスカッションに従えば、それは非常に速く悲しげに悲しいことになります。

開発者は、生産サーバーからapp_dev.phpを削除できた可能性があります

開発者は、app_dev.phpにアクセスすることを許可するIPSをホワイトリストに登録できた可能性があります。これは、これらの制限を緩めない限り、デフォルトで機(jī)能する方法です。

1. これらのアプローチのいずれかが、すべての問題を完全に防ぐことができました。生産にプッシュするときは、開発構(gòu)成が完全にアクセスできないか、ホワイトリストのIPSセットにのみアクセスできることを確認(rèn)してください。
結(jié)論
このリストについてどう思いますか？一般的な側(cè)面をカバーしていますか、それとも難解すぎますか？合計(jì)3つの投稿が言及していないいくつかの一般的な落とし穴がありますか？以下のコメントでお知らせください。アドバイスが健全な場(chǎng)合は投稿を更新します！

以上がPHP開発者によって一般的に行われた7つのミスの詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。