本文只是个人从实际开发经验中总结的一些东西,并不是什么名言警句,写出来有两个目的:一是时刻提醒自己要按照这些知识点来写自己代码,二是为了分享,说不定对你有用呢?万一,是吧。。。
1.首要意识:安全
大多数时候,我们开发的Web程序都是需要跟数据库打交道的,所以这里几乎可以说SQL注入是一个怎么也无法避免要拿出来讨论一下的问题。而且近年来像XSS和CSRF攻击也变得大行其道,使得"黑客"们貌似又有了一把把利器,而我们总是处于被动的状态。不过我们要记得是下面这两个原则:
1. 永远不要相信用户输入的东西。(老话了,但这是真的)
2. 将自己需要输出的数据进行转义。
简单来说就是:filter input , escape output
如果你是新手,不要再使用类似以下的查询语句了:
SELECT FROM users WHERE username = $_POST['username'] AND password = $_POST['password'];
还有就是,使用PDO或Mysqli吧,不要再使用老式的mysql操作了。
而对于,CSRF的解决方案,目前接触的都是给每一次的表单提交都设置一个token值,然后在表单提交的时候校验之即可。
2.明确地知道各个比较操作符的差别
PHP的比较操作符,这其实可以说是一个很小的注意点,但是在某些时候真的很重要。比如说很多时候我们得考虑清楚,该用==还是===,如果你使用过strpos()这个函数,下面的代码可能会给你一个直观的感受:
<"htmlcode"><"htmlcode">if( this condition ) { $x = 5; } else { $x = 10;如果,在$x的默认值是10,还是下面这样写感觉比较好:
$x = 10; if( this condition ) { $x = 5; }4.去掉不必要的括号
这里的目的其实跟else关键字部分是一样的,我们是为了更简短的代码和更优越的可读性,对以下的情况,你都应该考虑优化代码:
if ($gollum == 'halfling') { $height --; }其实是可以这样的:
if ($gollum == 'halfling') $height --;你甚至可以这样:
if ($gollum == 'halfling') $height --; else $height ++; if ($frodo != 'dead') echo 'Gosh darnit, roll again Sauron'; foreach ($kill as $count) echo 'Legolas strikes again, that makes' . $count . 'for me!';是不是有一种又短又清晰的感觉?
5.多用str_replace()
在很多时候我们需要对一些字符串进行替换,在PHP中有以下几个函数可以达到这个目的:
str_replace() ereg_replace() preg_replace()如果你确实是需要使用正则匹配,那就使用preg_replace(),而如果在可实现替换的情况下,请使用str_replace(),因为据不完全统计,str_replace()的效率在这三个当中是最高的。
6.使用三元运算符
这个可能很多人都有这个感受,使用三元运算符之后,我们可以去掉一堆if else语句了,代码又短又爽。
$host = strlen($host) > 0 "htmlcode"><?php if (isset($username[5])) { // The username is at least six characters long. } if (strlen($username) >= 6) { // The username is at least six characters long. }以上的两个条件判断都是可以达到相同的目的,但是我推荐使用的是第一种。
以上所述就是本文的全部内容了,希望大家能够喜欢
标签:php,开发建议