Weitere Tipps für die defensive Programmierung in PHP

Erstellen Sie eine robuste PHP -Anwendung: Defensive Programmierstrategie

Dieser Artikel untersucht die Bedeutung der defensiven Programmierung in der PHP -Entwicklung und bietet einige wichtige Strategien zur Verbesserung der Robustheit und Effizienz von Anwendungen. Defensivprogrammierung besteht nicht darin, die testgetriebene Entwicklung zu vermeiden, sondern potenzielle Fehlerpunkte zu vermeiden, bevor Probleme auftreten.

Kernpunkte:

• Defensivprogrammierung soll potenzielle Ausfallpunkte vorhergesagt und Maßnahmen ergreifen, um sie zu umgehen, bevor sie auftreten.
• "Schneller Fehler, einen Fehler laut" ist eine effektive Verteidigungsprogrammiermethode. Fehler sollten früh erscheinen und alarmieren, insbesondere wenn sie Benutzereingaben oder Eingaben von externen Systemen wie APIs verarbeiten.
• Eingabemittelüberprüfung, Verhinderung unerwarteter Zuordnungen in Vergleiche, Versuch/Catch -Ausnahmeregelung und Datenbanktransaktionen sind wichtige Aspekte der defensiven Programmierung.

Definition der defensiven Programmierung:

Defensivprogrammierung, einfach ausgedrückt, soll programmieren, um potenzielle Fehlerpunkte vorherzusagen. Ziel ist es, diese Probleme zu umgehen, bevor sie auftreten.

Viele Menschen lehnen die defensive Programmierung ab, aber dies liegt häufig an einigen der von ihnen angezeigten defensiven Programmiermethoden. Defensivprogrammierung sollte nicht als eine Möglichkeit angesehen werden, eine Testentwicklung zu vermeiden oder einfach Fehler zu beheben.

"schnelles Versagen" sollte nicht als Gegenteil der Verteidigungsprogrammierung angesehen werden. Beide gehören zur gleichen Kategorie. Was sind diese Methoden, um das mögliche Versagen des Programms nicht vorherzusagen und diese Fehler zu verhindern oder ordnungsgemäß umzugehen?

schnell, melden Sie einen Fehler laut

Einfach ausgedrückt: "Wenn Sie schnell fehlgeschlagen sind, berichtete ein Fehler laut", bedeutet, dass er so früh wie möglich auftritt, wenn ein Fehler auftritt Probleme.

Diese Methode ist am nützlichsten, wenn Benutzereingaben oder Eingaben aus Skripten, Modulen oder außerhalb des Systems (z. B. über die API) verarbeitet werden. Ein Anwendungsszenario besteht darin, ungültige Werte oder Datentypen zu überprüfen, die an eine Funktion übergeben wurden.

function thisTestFunction($testInt) {
    if (!is_int($testInt)) {
        // 执行某些操作
    }
}

Einer der Fehler, die einige Programmierer die Methode "Schnellfehler" verwenden, besteht darin, den Benutzer einfach Ausnahmen und Fehler zu werfen, ohne sie ordnungsgemäß auf die Handhabung vorzubereiten. Sie möchten nicht, dass der durchschnittliche Benutzer durch Ihre Fehlermeldung besorgt oder verwirrt ist. Noch wichtiger ist, dass Sie nicht möchten, dass böswillige Benutzer etwas aus den Informationen lernen, die sie ihnen angezeigt werden. Zeigen Sie dem Benutzer eine hilfreiche Nachricht, protokollieren Sie Ihren Fehler und führen Sie alle anderen Aufgaben aus, die das Ergebnis dieser Ausnahme sein müssen. Sie möchten nicht nur FAST , Sie benötigen auch laut (wissen, dass es ein Problem gibt) und Sicherheit (lassen Sie sich nicht zu einem schlechten Ausnahmehandling oder dem völligen Mangel an Ausnahme haben Umgang mit mehr Sicherheitsproblemen).

Eingabeverifizierung

Es gibt viele Möglichkeiten, die Benutzereingaben sicher zu überprüfen.

Typ Conversion ist eine interessante Möglichkeit, die Benutzereingabe "zu verifizieren". Manchmal sieht es so aus:

function thisTestFunction($testInt) {
    if (!is_int($testInt)) {
        // 执行某些操作
    }
}

Anstatt andere Methoden anzuwenden, um Skriptangriffe mit Querplätzen zu vermeiden, erfasst es einfach, konvertiert und weist Werte zu. Dies funktioniert nur, wenn Sie den erwarteten Typ haben und ein Wert dieses Typs sicher ist (ansonsten müssen Sie auch den ordnungsgemäßen -Anreinheitswert überprüfen). Ich denke, das Problem mit diesem Ansatz (in den meisten Fällen) ist, dass Sie nicht wirklich den Eingang prüfen, sondern nur Kraft , es wird zu dem, was es sein sollte. Dies kann unbeabsichtigte Konsequenzen haben. Stattdessen könnte ein besserer Ansatz darin bestehen, den entsprechenden Wert zu überprüfen. filter_input()

$member->property = (int)$_GET['property'];

Es gibt viele Vorteile bei der Verwendung native

-Funktionen in modernem PHP. Sie können im obigen Artikel oder auf php.net mehr erfahren. filter_input

Verhindern unerwartete Zuordnungen im Vergleich

Dies ist ein einfaches und oft bemerktes Defensivprogrammierungsprinzip. Einfache Änderungen in der Art und Weise, wie Sie vergleichen, kann einen großen Einfluss haben. Betrachten Sie die folgende Situation:

$member->property = filter_input(INPUT_GET, 'property', FILTER_VALIDATE_INT);

if (false === $member->property) {
  throw new Exception('Property was not an int');
}

Dies ist ein relativ normaler Vergleich, oder? Aber was passiert, wenn Sie versehentlich "=" anstelle von "==" (oder in den meisten Fällen besser "==") verwenden? Einfacher Finger -Finger auf der Tastatur? Vergesslich vielleicht? Plötzlich ist Ihr Vergleich in allen Fällen immer zutrifft. Wie lange dauert es, bis Sie es dauern, bis Sie dies entdecken, es sei denn, Ihre IDE warnt Ihnen das? In einigen Fällen kann dies für eine Weile ein stiller Fehler sein. Es gibt jedoch eine extrem einfache Möglichkeit, dies zu verhindern:

if ($member->property == 12345) {
    // 执行很酷的操作
} else {
    // 不执行任何有趣的操作
}

Wenn Sie nun versehentlich ein gleiches Zeichen verwenden, wird der Fehler nicht still. Offensichtlich kann dies nicht oft geschehen, es kann durch Ihre Tests gemindert werden und ist in allen Fällen nicht praktisch, insbesondere bei Variablen zu variablen Vergleiche. Aber wenn Sie dazu neigen, ist dies immer noch keine schlechte Idee.

Handle Try/Fang und Ausnahmen

Versuch/Catch -Erklärung ist ein weiteres heißes Thema unter PHP -Entwicklern. Schauen wir uns zunächst einen kurzen Blick auf das, was wir besprechen.

if (12345 == $member->property) {
    // 执行很酷的操作
} else {
    // 不执行任何有趣的操作
}

Ein bekanntes Werkzeug für die defensive Programmierung ist die Anweisung Try/Catch und die Ausnahmeklasse. Wenn sie richtig verwendet werden, eignen sie sich hervorragend zum Fangen und Protokollieren von Fehlern. Ein guter Programmierer verwendet die Aussage/Catch -Anweisung, um Fehler oder andere Situationen vorherzusagen, die zu einer Unterbrechung normaler Prozesse führen können. Wenn diese Ausnahmen auftreten, müssen sie auf angemessene Weise behandelt werden. Bei Bedarf sollten Benutzer der Anwendung angemessene Fehlermeldungen erhalten, die so nützlich wie möglich sind, ohne dass sensible Informationen austreten. Der Administrator der Anwendung sollte detaillierte Warnungen und/oder Protokolle empfangen. Unverarbeitete oder ignorierte Ausnahmen ignorieren den Vorschlag, "einen Fehler laut zu melden", und ermöglichen es möglicherweise, dass das Programm für einen Zeitraum der Natur in einem stillen Fehlerstatus befindet, was für keine beteiligten Person gut ist.

Business

Transaktionen sind eine Funktion von Datenbanken, mit denen Abfragen zusammengefasst werden können, sodass alle Abfragen fehlschlagen, wenn eine Abfrage fehlschlägt. Dies ist die Implementierung von Säure, und Sie können hier mehr darüber lesen. Die Idee ist, dass das Kombinieren mehrerer Abfragen in einem Prozess manchmal eine sicherere und stabilere Lösung sein kann, insbesondere wenn Abfragen voneinander abhängig sind. PHP -Entwickler ignorieren häufig Transaktionen vollständig oder gehen davon aus, dass sie unnötig sind, aber einige defensive Programme können bei der Interaktion mit einer Datenbank einen langen Weg zurücklegen. Transaktionen werden in diesem Artikel ausführlicher erörtert. In Transaktionen können Sie jedoch MySQL -Updates ausführen und dann die Ergebnisse vor dem tatsächlichen

zu überprüfen. Wenn Sie PDO verwenden (Sie sollten), können Sie die Transaktion mit der PDO -Methode starten, das Ergebnis begehen und zurückrollen. Zusätzlich zu der obigen Zusammenfassung der Transaktionen können sie durch diese eingehende Anleitung weiter untersucht werden.

Schlussfolgerung

Dies sind nur einige häufige Tricks. Offensichtlich hat jeder von ihnen seinen Zweck und jeder hat seine bedeutende Situation, in der er nicht zutreffend ist. Wenn Sie diese Konzepte jedoch in Ihr alltägliches Entwicklungsregime einbeziehen, kann dies die Effizienz Ihrer Arbeit erhöhen. Während dies normalerweise ein Thema ist, das für Entwickler, die derzeit PHP lernen, für alle besser geeignet sind, ist dies eine gute Überprüfung der Praxis.

Wenn es nur eine Sache gibt, die sich in Erinnerung beherrscht, insbesondere für neuere Entwickler, sollten Sie defensive Programme durchführen - ein Plan, der möglicherweise falsch ist. Sie richtig umgehen. Lassen Sie sich nicht zu, dass sich stile Fehler weiterentwickeln. Schnell versagt. Testen Sie Ihren Code. Durch Erstellen von robusten Anwendungen, die Probleme testen und lösen und zukünftige Probleme vorhersagen und behandeln, können Sie Ihre Anwendungen zuverlässiger machen und hoffentlich dazu beitragen, eine bessere Benutzererfahrung hinter den Kulissen zu schaffen.

Das obige ist der detaillierte Inhalt vonWeitere Tipps für die defensive Programmierung in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!