PHP老司机踩过的坑，你敢挑战吗？

那天产品经理拍着我的肩膀说："听说你PHP很牛逼？"我心想完了，这货肯定又要给我挖坑。果然，第二天我就被拉进了一个新项目，要求用PHP写个电商系统，还要兼容IE6。行，既然躲不掉，那就把这些年踩过的坑都拿出来晒晒。

先来段祖传代码镇楼：

$hello = "World";

echo "Hello " . $hello . "!";

// 输出：Hello World!

这玩意我十年前就会写，但现在看这段代码还是会虎躯一震 - 字符串拼接用点号，变量名不带类型前缀，这要放现在肯定被团队里的Java转PHP的小年轻喷死。

字符串处理这事，PHP确实骚操作多。比如这个：

$str = "42";

if ($str == 42) {

echo "魔法比较生效了";

}

// 输出：魔法比较生效了

看到没？字符串"42"居然和整数42相等！当年我就被这个特性坑得生活不能自理。后来学乖了，比较都用===：

echo "这次不会输出了";

说到数组，PHP的数组简直就是瑞士军刀。你看这个：

$arr = [

"name" => "张三",

42 => "答案",

"age" => 25

];

print_r($arr);

// 输出：Array ( [name] => 张三 [42] => 答案 [age] => 25 )

既能当列表用又能当字典使，但千万别在foreach里修改数组，否则你会看到各种灵异现象：

foreach ($arr as $key => $value) {

unset($arr[$key]); // 这是在作死

}

数据库操作是重灾区。记得有次我写了这样的代码：

$conn = mysql_connect("localhost", "user", "pass");

mysql_query("SELECT FROM users WHERE id=".$_GET['id']);

第二天公司就被脱库了。现在都用PDO预处理：

$stmt = $pdo->prepare("SELECT FROM users WHERE id=:id");

$stmt->execute([':id' => $_GET['id']]);

安全多了不是？但你要是忘记设置PDO报错模式，SQL出错时连个屁都不放：

$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

文件上传也是个坑王。有次我写的上传脚本被人传了个PHP文件，结果服务器成了肉鸡。现在我都这么干：

if ($_FILES['file']['type'] != 'image/jpeg') {

die("只允许上传JPG");

}

// 然后发现客户端可以伪造Content-Type...

所以现在都用finfo：

$finfo = new finfo(FILEINFO_MIME_TYPE);

if ($finfo->file($_FILES['file']['tmp_name']) != 'image/jpeg') {

die("这回骗不过去了吧");

会话管理也是个笑话。你知道为什么PHP默认的session存文件性能差吗？因为它的锁机制是文件锁。在高并发下，用户A登录时用户B的请求会被阻塞。解决方案是用redis存session：

ini_set('session.save_handler', 'redis');

ini_set('session.save_path', 'tcp://127.0.0.1:6379');

性能调优方面，我见过最骚的操作是有人用array_key_exists判断数组键是否存在。其实isset更快，因为它不会检查变量值是否为null：

$arr = ['key' => null];

var_dump(array_key_exists('key', $arr)); // true

var_dump(isset($arr['key'])); // false

说到框架，Laravel确实优雅，但你知道它的门面(Facade)是怎么工作的吗？其实就是用了__callStatic魔术方法：

class Facade {

protected static $resolvedInstance;

public static function __callStatic($method, $args) {

$instance = static::getFacadeRoot();

return $instance->$method(...$args);

}

// DB::table()实际上是调用了DB门面的__callStatic

最后说个真实案例。有次线上环境突然报500错误，查了半天发现是有人提交了个订单，收货地址填了2MB的文本。PHP默认的post_max_size是8MB，但MySQL的TEXT字段只能存64KB。所以现在我都这么校验：

if (strlen($address) > 65535) {

throw new Exception("您这是要写小说？");

PHP这语言，就像我的发型 - 刚入行时觉得挺帅，后来发现到处都是问题，但用久了也就习惯了。毕竟能让我一边骂娘一边把钱挣了的语言，都是好语言。