自由市場的Toptal發(fā)表了大約10個(gè)最常見的錯(cuò)誤PHP程序員犯下的帖子。該列表并不詳盡，但寫得很好，并指出了一些非常有趣的陷阱，即使我個(gè)人不會列出錯(cuò)誤很常見。

>我鼓勵(lì)您對其進(jìn)行徹底的閱讀 - 它具有您應(yīng)該意識到的一些真正有價(jià)值的信息 - 尤其是前八個(gè)。幾天前，安娜·菲利娜（Anna Filina）用七個(gè)新條目擴(kuò)展了名單。雖然較不具體和普遍，但她的觀點(diǎn)仍然具有重量，并且在開發(fā)時(shí)應(yīng)考慮。

鑰匙要點(diǎn)

>避免在SQL數(shù)據(jù)庫中使用已棄用的MySQL擴(kuò)展名，因?yàn)樗遣话踩?，不可靠的，并且缺乏對SSL和現(xiàn)代MySQL功能的支持。相反，選擇諸如Mysqli或PDO之類的替代方案，這些替代方案提供更好的安全性和更多功能。

>避免使用 @ Operator抑制代碼中的錯(cuò)誤。而是允許記錄錯(cuò)誤并通過修復(fù)代碼來解決這些錯(cuò)誤。這有助于保持應(yīng)用程序的完整性，并防止問題被忽略或忽視。

>要謹(jǐn)慎透露有關(guān)后端設(shè)置的太多信息，尤其是在使用已知框架的情況下。如果發(fā)現(xiàn)該框架中的安全漏洞，則可以將您的應(yīng)用程序暴露于潛在的攻擊中。另外，請記住要在推動(dòng)生產(chǎn)以防止未經(jīng)授權(quán)的訪問時(shí)刪除開發(fā)配置。>
7個(gè)錯(cuò)誤PHP開發(fā)人員通常會造成
>我被Toptal的某人要求我查看他們的清單并有可能做出貢獻(xiàn)，我們在社交網(wǎng)絡(luò)上的一些追隨者也對看到清單的興趣也繼續(xù)，所以我想借此機(jī)會來在此列表中添加一些我自己的條目，我需要一再警告我的團(tuán)隊(duì)成員或追隨者。
• 1。使用mysql擴(kuò)展

這個(gè)消息很古老，但是遺忘了事實(shí)的開發(fā)人員的數(shù)量令人擔(dān)憂。當(dāng)使用SQL數(shù)據(jù)庫，特別是MySQL時(shí)，太多的開發(fā)人員仍然選擇MySQL擴(kuò)展名。 MySQL擴(kuò)展已正式貶值。它不安全，不可靠，不支持SSL，并且缺少一些現(xiàn)代的MySQL功能。它還生成不破壞您的應(yīng)用程序的折舊通知，它們只是出現(xiàn)在您的應(yīng)用程序的頂部。有趣的是，這意味著也可以簡單地為所有使用此不安全設(shè)置的網(wǎng)站進(jìn)行Google，而簡單地尋求此設(shè)置。這些應(yīng)用程序因這種混亂而暴露的傷害世界令人震驚。

而不是使用mysql，而是選擇一種替代方法：mysqli或pdo。例如，使用mysqli幾乎與將字母“ i”添加到API呼叫的末端一樣簡單：>

<span>$c = mysql_connect("host", "user", "pass");
</span><span>mysql_select_db("database");
</span><span>$result = mysql_query("SELECT * FROM posts LIMIT 1");
</span><span>$row = mysql_fetch_assoc($result);</span>

vs

<span>$mysqli = new mysqli("host", "user", "pass", "database");
</span><span>$result = $mysqli->query("SELECT * FROM posts LIMIT 1");
</span><span>$row = $result->fetch_assoc();</span>

這就是使設(shè)置變得更加安全所需的全部。

> 不過，您應(yīng)該選擇PDO。在第2點(diǎn)。

2。不使用PDO

不要誤會我的意思，Mysqli（從字面上看）幾代人都領(lǐng)先于古代MySQL擴(kuò)展。它保持最新，安全，可靠和快速。但是，這是特定于MySQL的。相反，使用PDO將使您使用一些非常實(shí)用的面向?qū)ο蟮恼Z法，并將與其他SQL數(shù)據(jù)庫（如PostgreSQL，MS SQL等）一起為探戈做準(zhǔn)備。此外，PDO將讓您使用名為參數(shù)，這是一項(xiàng)非常有用的功能，很少有人能想象在適當(dāng)?shù)乩盟髸テ渌魏螙|西。最后但并非最不重要的一點(diǎn)是：您可以將獲取的數(shù)據(jù)直接注入新對象，這在大型項(xiàng)目中是一個(gè)令人愉快的時(shí)間。

3。不重寫URL

>另一個(gè)通常被忽略且易于解決的問題。像myapp.com/index.php？p = 34＆g = 24之類的URL在當(dāng)今時(shí)代不可接受。由于很難編寫一個(gè)良好的URL重寫指南，該指南將涵蓋每個(gè)服務(wù)器和框架，因此幾乎每個(gè)框架都有一個(gè)指南，有關(guān)如何設(shè)置干凈的URL（Laravel，Phalcon，Symfony，Symfony，Zend）和任何不'只是不值得使用 - 他們顯然不在乎現(xiàn)代實(shí)踐。

4。抑制錯(cuò)誤

>我在上一篇文章中寫了這一點(diǎn)，但值得一提。每當(dāng)您發(fā)現(xiàn)自己使用 @操作員時(shí)，重新考慮并從其他角度仔細(xì)解決問題。當(dāng)我說圍繞應(yīng)用程序功能周圍的20條樣板卷曲代碼比單線 @ operator在其前面的一行時(shí)，請說出我的話。

>

>我通過個(gè)人實(shí)驗(yàn)發(fā)現(xiàn)，一個(gè)好的方法是我在原始帖子中提倡的方法 - 將所有通知變成致命錯(cuò)誤。確保

沒有

登錄到錯(cuò)誤日志中，因?yàn)閺淖置嫔峡?p>> log> 比假裝大便更好地通過在您的眼前握住 @ the the the the the the the the the the the。 >我們最近介紹了一些Heroku附加組件，用于生產(chǎn)Ready PHP應(yīng)用程序，其中之一是出色的紙質(zhì)編寫片 - 一種附加組件，可讓您將所有應(yīng)用程序的錯(cuò)誤推向其后端，以便于稍后搜索，分組和淘汰在;因此，即使確實(shí)發(fā)生了一些錯(cuò)誤，最好讓它們記錄并通過修復(fù)代碼來擺脫它們，而不是沉默它們并在用戶面前玩愚蠢。

5。在條件下分配

>即使是經(jīng)驗(yàn)豐富的開發(fā)人員有時(shí)會有一條手指滑動(dòng)，然后寫（$ condition ='value'）{而不是if（$ condition =='value'）{。我們的手會滑倒，鍵盤不會注冊按鍵，我們最終會從分配實(shí)際發(fā)生的代碼的另一部分粘貼 - 發(fā)生了 - 通常只有在運(yùn)行應(yīng)用程序時(shí)才發(fā)現(xiàn)。

有幾種完全避免這種情況的方法：

>

使用一個(gè)體面的IDE。任何好的IDE（例如PhpStorm）都會在檢測到它們時(shí)警告您。
1. 使用“ YODA條件”。您會在許多受歡迎的項(xiàng)目，甚至大型框架中看到這些。通過反轉(zhuǎn)比較（如（例如（'value'= $條件））{）{），較弱的IDE也會注意到問題。有些人認(rèn)為Yoda語法令人討厭且毫無意義，這是一個(gè)應(yīng)該沒有的生命線（“對您的代碼，該死更加謹(jǐn)慎”），但是對每個(gè)人都有自己的幫助 - 如果對某人有幫助，我全都為此。如果我們都是精英人士，那么WordPress和Zend框架就將不存在。
只需牢記它，您就會每次編寫它都會形成眼睛反射。它只需要練習(xí)，但是它甚至是最好的開發(fā)人員，那就是1。和2。
6。太透明
說這可能引起一些爭議，但無論如何。除非您對框架的開發(fā)人員有100％的信心，否則不經(jīng)營高保羅，交通高級業(yè)務(wù)關(guān)鍵應(yīng)用程序，否則您應(yīng)該始終努力掩蓋您的后端方式 - 不要廣播您的應(yīng)用程序基于哪個(gè)框架實(shí)際上是基于CAN的框架如果發(fā)現(xiàn)該框架的安全漏洞，請幫助防止攻擊。例如：

如果您使用Symfony2 Translator，并且具有{_locale}參數(shù)升級的路由！ http://t.co/jihxhb8mzt - JérémyDerussé（@jderusse）2014年7月15日

在這推文中，對嚴(yán)重的代碼注入問題的了解正在廣播到公共領(lǐng)域。如果您在工作，并且可以在沒有DevOps問題的情況下立即升級并讓團(tuán)隊(duì)首先縮減，但是對于大多數(shù)使用Symfony的公司和公司而言，情況并非如此。即使可以通過作曲家升級Symfony（正如Ryan在下面的評論中提到的那樣），但通常需要一段時(shí)間才能在具有多層環(huán)境的大型團(tuán)隊(duì)中獲得批準(zhǔn)。所有使用此翻譯器方法聲明為Symfony用戶的網(wǎng)站是（曾經(jīng)？）。

在上面的示例中使用Symfony只是一個(gè)示例。多年來，無數(shù)其他軟件也出現(xiàn)了類似的情況?；氐轿胰匀簧虡I(yè)上使用Zend Framework時(shí)，我們也發(fā)生了這種情況，因此遭受了攻擊。 WordPress擁有其安全性的一部分，我們知道那里的網(wǎng)站有多高。這些事情發(fā)生了，有時(shí)，開源和透明度并不是處理公司大部分收入來源的應(yīng)用程序時(shí)的最佳方法。

7。不刪除開發(fā)配置

最后但并非最不重要的一點(diǎn)是，應(yīng)提及開發(fā)配置刪除。最近（這是一個(gè)誠實(shí)的巧合，我再次在這里提到Symfony），CNET由于沒有消除其開發(fā)配置而遭受了攻擊。

> uhmmm no：http：//t.co/raqis1ycwq #security #symfony

- Marco pivetta（@ocromius）2014年7月15日

世界上最大的科技新聞網(wǎng)站之一

> CNET是基于Symfony的。眾所周知，Symfony為您的應(yīng)用程序提供了兩個(gè)入口點(diǎn)：app.php和app_dev.php。通過將瀏覽器指向一個(gè)，您可以獲得生產(chǎn)環(huán)境。通過指向_dev后綴的一個(gè)，您顯然會獲得開發(fā)版本，該版本具有調(diào)試器，敏感數(shù)據(jù)等。無論是好還是壞，都是許多討論的主題（再次感謝Ryan指出了這一點(diǎn)），但是不可否認(rèn)，它使一些更笨拙的開發(fā)人員對諸如CNET遭受的錯(cuò)誤打開了錯(cuò)誤。此外，當(dāng)在app_dev上訪問的任何其他URL都將重定向到其他app_dev URL。換句話說，不僅是在開發(fā)模式下啟動(dòng)的索引頁面，而且是整個(gè)網(wǎng)站 - 在CNET的情況下，這是很多訪問權(quán)限。

>

如果您在Twitter上進(jìn)行討論，它會非?？焖俚馗械诫y過 - 甚至令人難過的是，它本來可以在第二秒的工作中避免的：>

開發(fā)人員可以從生產(chǎn)服務(wù)器中刪除app_dev.php

1. >開發(fā)人員可以允許使用白名單的IPS訪問app_dev.php，這是默認(rèn)情況下的工作方式，除非您放松這些限制。
>
這些方法中的任何一種都可以完全阻止所有問題。請記住，當(dāng)推動(dòng)生產(chǎn)時(shí)，請確保您的開發(fā)配置是完全無法訪問的，或者僅適用于白色的IPS集合。

結(jié)論

您對此列表有何看法？它涵蓋了共同方面還是太深?yuàn)W？您是否有一些更常見的陷阱，總共沒有提及？在下面的評論中讓我知道，如果您的建議是正確的，我們將更新帖子！

>

以上是PHP開發(fā)人員常見的另外7個(gè)錯(cuò)誤的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！