第一章 编码规范
为了更好的提高技术部的工作效率,保证开发的有效性和合理性,并可最大程度的提高程序代码的可读性和可重复利用性,指定此规范。开发团队根据自己的实际情况,可以对本规范进行补充或裁减。
第二章 整体要求
技术部php开发规范将参照PEAR的规范,基本采用PEAR指定的规范,在其基础上增加、修改或删除部分适合具体开发环境的规范。本规范只针对PHP开发过程中编码的规范,对于PHP开发项目中文件、目录、数据库等方面的规范,将不重点涉及。
本规范包含了PHP开发时程序编码中命名规范、代码缩进规则、控制结构、函数调用、函数定义、注释、包含代码、PHP标记、文件头的注释块、CVS标记、URL样例、常量命名等方面的规则。
第三章 安全规则
3.1包含文件
3.1.1 命名规则
提取出来具有通用函数的包含文件,文件后缀以.inc来命名,表明这是一个包含文件。
如果有多个.inc文件需要包含多页面,请把所有.inc文件封装在一个文件里面,具体到页面只需要包换一个.inc文件就可以了
如:xxx_session.inc
xxx_comm…inc
xxx_setting.inc
mysql_db.inc
把以上文件以一下方式,封装在xxx.basic.inc文件里面
require_once(”xxx_session.inc”);
require_once(”xxx_comm.inc”);
require_once(”xxx_setting.inc”);
require_once(”mysql_db.inc”);
注:是否需要封装到一个文件,视情况而定,如果每个inc的功能是分散到不同的页面使用的话,就不建议封装。
3.1.2 存放规则
一般包含文件不需要直接暴露给用户,所以应该放在 Web Server访问不到的目录,避免因为配置问题而泄露设置信息。
3.2 安全规则
输入和输出
检查是否做了HTML代码的过滤
可能出现的问题:如果有人输入恶意的HTML代码,会导致窃取cookie, 产生恶意登录表单,和破坏网站
检查变量做数据库操作之前是否做了escape
可能出现的问题:如果一个要写入查询语句的字符串变量包含了某些特殊的字符,比如引号(’ ,”)或者分号(? 可能造成执行了预期之外的操作。
建议采用的方法:使用mysql_escape_string() 或实现类似功能的函数。
检查输入数值的合法性
可能出现的问题:异常的数值会造成问题。如果对输入的数值不做检查会造成不合法的或者错误的数据存入UDB、存入其它的数据库或者导致意料之外的程序操作发生。
举例:
如果程序以用户输入的参数值做为文件名,进行文件操作,恶意输入系统文件名会造成系统损毁。
核实对cookie的使用以及对用户数据的处理
可能出现的问题:不正确的cookie使用可能造成用户数据泄漏
访问控制
对内部使用的产品或者供合作方使用的产品,要考虑增加访问控制
logs
确保用户的保密信息没有记在log中(例如:用户的密码)
确保对关键的用户操作保存了完整的用户访问记录
https
对敏感数据的传输要采用https
3.3 一些针对PHP的规则
设置 register_globals = off (Y!PHP 已经禁止了register_globals,如果你使用Y!PHP可以不考虑这项设置)
设置 error_reporting = E_ALL (Y!PHP 的缺省设置),并且要修正所有的error和warning
将实际的操作放在被引用的文件中。把引用文件放到不可以被直接浏览的目录下
3.4.1 对输入参数值进行转义处理
页面接到参数需要SQL操作,这时候需要做转义,尤其需要注意”;”。
如:$a = ” Let’s go ” ;
s
q
l
=
“
I
n
s
e
r
t
i
n
t
o
t
m
p
(
c
o
l
)
v
a
l
u
e
s
(
’
sql = “Insert into tmp(col) values(’
sql=“Insertintotmp(col)values(’a’)” ;
这种情况出现错误的不确定性。
3.4.2 操作大HTML文本
很多时候需要存放一大段HTML文本供页面使用,象用户定制页头页脚等。
需要剔除脚本标记,避免执行恶意php代码。
转换”<"">“号,保证代码完整。
第四章 编码规范
4.1 命名规范
制定统一的命名规范对于项目开发来说非常重要,不但可以养成程序员一个良好的开发习惯,还能增加程序的可读性、可移植性和可重用性,还能很好的提高项目开发的效率
4.1.1 变量命名
变量命名分为普通变量、静态变量、局部变量、全局变量、Session变量等方面的命名规则。
-
普通变量
普通变量命名遵循以下规则:
a. 所有字母都使用小写;
b. 对于一个变量使用多个单词的,使用’_'作为每个词的间隔。
例如: b a s e d i r 、 base_dir、 basedir、red_rose_price等 -
静态变量
静态变量命名遵循以下规则:
a. 静态变量使用小写的s_开头;
b. 静态变量所有字母都使用小写;
c. 多个单词组成的变量名使用’_'作为每个词的间隔。
例子: s b a s e d i r 、 s_base_dir、 sbasedir、s_red_rose_prise等。 -
局部变量
局部变量命名遵循以下规则:
a. 所有字母使用小写;
b. 变量使用’'开头;
c. 多个单词组成的局部变量名使用’'作为每个词间的间隔。
例子: b a s e d i r 、 _base_dir、 basedir、_red_rose_price等。 -
全局变量
全局变量应该带前缀’g’,知道一个变量的作用域是非常重要的。
例如
global $gLOG_LEVEL;
global $gLOG_PATH; -
全局常量
全局变量命名遵循以下规则:
a. 所有字母使用大写
b. 全局变量多个单词间使用’_'作为间隔。
例子: B A S E D I R 、 BASE_DIR、 BASEDIR、RED_ROSE_PRICE等。 -
session变量
session变量命名遵循以下规则:
a. 所有字母使用大写;
b. session变量名使用’S_’开头;
c. 多个单词间使用’_'间隔。
例子: S B A S E D I R 、 S_BASE_DIR、 SBASEDIR、S_RED_ROSE_PRICE等。
4.1.2 类命名
php中类命名遵循以下规则:
a. 以大写字母开头;
b. 多个单词组成的变量名,单词之间不用间隔,各个单词首字母大写。
例子:class MyClass 或class DbOracle等
4.1.3 方法或函数
方法或函数命名遵循以下规则:
a. 首字母小写;
b. 多个单词间不使用间隔,除第一个单词外,其他单词首字母大写。
例子:function myFunction ()或function myDbOracle ()等
4.1.4 缩写词
当变量名或者其他命名中遇到缩写词时,参照具体的命名规则,而不采用缩写词原来的全部大写的方式。
例子:function myPear(不是myPEAR) functio getHtmlSource(不是getHTMLSource)。
4.1.5 数据库表名
数据库表名命名遵循以下规范:
a. 表名均使用小写字母;
b. 对于普通数据表,使用_t结尾;
c. 对于视图,使用_v结尾;
d. 对于多个单词组成的表名,使用_间隔;
例子:user_info_t和book_store_v等
4.1.6 数据库字段
数据库字段命名遵循以下规范:
a. 全部使用小写;
b. 多个单词间使用_间隔。
例子:user_name、rose_price等
4.2 书写规则
书写规则是指在编写php程序时,代码书写的规则,包括缩进、结构控制等方面规范:
4.2.1 代码缩进
在书写代码的时候,必须注意代码的缩进规则,我们规定代码缩进规则如下:
a. 使用4个空格作为缩进,而不使用tab缩进(对于ultraedit,可以进行预先设置)
例子:
for ( i = 0 ; i=0; i=0;i< c o u n t ; count; count;i++ ){
echo “test”;}
4.2.2 大括号{ }书写规则
在程序中进行结构控制代码编写,如if、for、while、switch等结构,大括号传统的有两种书写习惯,分别如下:
a.{直接跟在控制语句之后,不换行,如
for ( i = 0 ; i=0; i=0;i< c o u n t ; count; count;i++) {
echo “test”;}
b.{在控制语句下一行,如
for( i = 0 ; i=0; i=0;i< c o u n t ; count; count;i++){
echo “test”;}
其中,a是PEAR建议的方式,但是从实际书写中来讲,这并不影响程序的规范和影响用phpdoc实现文档,所以可以根据个人习惯来采用上面的两种方式,但是要求在同一个程序中,只使用其中一种,以免造成阅读的不方便。
4.2.3 小括号( )和函数、关键词等
小括号、关键词和函数遵循以下规则:
a. 不要把小括号和关键词紧贴在一起,要用一个空格间隔;如if (
a
<
a<
a<b );
b. 小括号和函数名间没有空格;如$test = date(“ymdhis”);
c. 除非必要,不要在Return返回语句中使用小括号。 如return $a;
4.2.4 =符号书写
在程序中=符号的书写遵循以下规则:
a. 在=符号的两侧,均需留出一个空格;如$a =
b
、
i
f
(
b 、if (
b、if(a = = $b)等;
b. 在一个申明块,或者实现同样功能的一个块中,要求=号尽量上下对其,左边可以为了保持对齐使用多个空格,而右边要求空一个空格;如下例:
$testa = $aaa;
$testaa = $bbb;
$testaaa = $ccc;
4.2.5 if else swith for while等书写
对于控制结构的书写遵循以下规则:
a. 在if条件判断中,如果用到常量判断条件,将常量放在等号或不等号的左边,例如:
if ( 6 == $errorNum ),因为如果你在等式中漏了一个等号,语法检查器会为你报错,可以很快找到错误位置,这样的写法要多注意;
b. switch结构中必须要有default块;
c. 在for和wiile的循环使用中,要警惕continue、break的使用,避免产生类似goto的问题;
4.2.6 类的构造函数
如果要在类里面编写构造函数,必须遵循以下规则:
a.不能在构造函数中有太多实际操作,顶多用来初始化一些值和变量;
b.不能在构造函数中因为使用操作而返回false或者错误,因为在声明和实例化一个对象的时候,是不能返回错误的;
4.2.7 语句断行, 每行控制在80个字符以内
在代码书写中,遵循以下原则:
a. 尽量保证程序语句一行就是一句,而不要让一行语句太长产生折行;
b. 尽量不要使一行的代码太长,一般控制在80个字符以内;
c. 如果一行代码太长,请使用类似 .= 的方式断行书写;
d. 对于执行数据库的sql语句操作,尽量不要在函数内写sql语句,而先用变量定义sql语句,然后在执行操作的函数中调用定义的变量;
例子:
$sql = "SELECT username,password,address,age,postcode FROM test_t “;
$sql .= " WHERE username=‘aaa’”;
r
e
s
=
m
y
s
q
l
q
u
e
r
y
(
res = mysql_query(
res=mysqlquery(sql);
4.2.8 不要不可思议的数字
一个在源代码中使用了的赤裸裸的数字是不可思议的数字,因为包括作者,在三个月内,没人它的含义。例如:
if (22 == $foo) {
start_thermo_nuclear_war(); }
else if (19 == $foo){
refund_lotso_money(); }
else{
cry_cause_im_lost(); }
你应该用define()来给你想表示某样东西的数值一个真正的名字,而不是采用赤裸裸的数字,例如:
define(“PRESIDENT_WENT_CRAZY”, “22”);
define(“WE_GOOFED”, “19”);
define(“THEY_DIDNT_PAY”, “16”);
if ( PRESIDENT_WENT_CRAZY == $foo) {
start_thermo_nuclear_war(); }
else if (WE_GOOFED == $foo) {
refund_lotso_money(); }
else if (THEY_DIDNT_PAY == $foo)
{
infinite_loop();
}
else{
happy_days_i_know_why_im_here(); }
4.2.9 true/false和0/1判断
遵循以下规则:
a. 不能使用0/1代替true/false,在PHP中,这是不相等的;
b. 不要使用非零的表达式、变量或者方法直接进行true/false判断,而必须使用严格的完整true/false判断;
如:不使用if ($a) 或者if (checka()) 而使用if (FALSE != $a)或者 if (FALSE != check())
4.2.10 避免嵌入式赋值
在程序中避免下面例子中的嵌入式赋值:
不使用这样的方式:
while ( a ! = ( a != ( a!=(c = getchar())){
process the character}
4.2.11 错误返回检测规则
检查所有的系统调用的错误信息,除非你要忽略错误。
为每条系统错误消息定义好系统错误文本,并记录错误LOG。
4.3 程序注释
4.3.1 程序头注释块
每个程序头部必须有统一的注释块,规则如下:
a. 必须包含本程序的描述;
b. 必须包含作者;
c. 必须包含书写日期;
d. 必须包含版本信息;
e. 必须包含项目名称;
f. 必须包含文件的名称;
g. 重要的使用说明,如类的调用方法、注意事项等;
参考例子如下:
1169
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
