PHP開発者によって一般的に行われた7つのミス

6月末に、フリーランスマーケットプレイスであるToptalは、PHPプログラマーが犯す最も一般的な10の間違いに関する投稿を公開しました。リストは網羅的ではありませんでしたが、よく書かれていて、非常に興味深い落とし穴が警戒すべきであると指摘されていました。

徹底的な読み物をお届けすることをお勧めします。特に最初の8つのポイントで、あなたが知っておくべきいくつかの真に貴重な情報を持っています。数日前、アンナ・フィリナは7つの新しいエントリでリストを拡張しました。具体的ではなく一般的ではありませんが、彼女のポイントはまだ重量を持ち、開発するときに考慮する必要があります。

キーテイクアウト

SQLデータベースに非推奨MySQL拡張機能を使用しないでください。SSLおよび最新のMySQL機能のサポートがないため、SQLデータベースには不安定で信頼できないためです。代わりに、MysqliやPDOなどの代替品を選択してください。

@オペレーターを使用して、コードのエラーを抑制しないでください。代わりに、コードを修正してエラーをログに記録し、それらにアドレス指定します。これにより、アプリケーションの完全性を維持し、問題が無視されたり見落とされたりするのを防ぎます。

特に既知のフレームワークを使用している場合は、バックエンドのセットアップに関する情報が多すぎることに注意してください。これにより、そのフレームワークのセキュリティの脆弱性が発見された場合、アプリケーションが潜在的な攻撃にさらされる可能性があります。また、不正アクセスを防ぐために生産にプッシュするときは開発構成を削除することを忘れないでください。
7 PHP開発者がしばしば間違いを犯します
• 私はToptalの誰かから彼らのリストを見て潜在的に貢献するように頼まれました、そして、ソーシャルネットワークの私たちのフォロワーの何人かはリストを見ることに興味を示していたので、私はこの機会を取りたいと思いますこのリストに自分のエントリのいくつかを追加して、チームメンバーやフォロワーについて繰り返し警告する必要があります。
1。 MySQL拡張子を使用してください
このニュースは非常に古いですが、事実に気付かない開発者の数は心配しています。 SQLデータベース、特にMySQLを使用する場合、あまりにも多くの開発者がMySQL拡張機能を選択します。 MySQL拡張機能は正式に非推奨されています。それは不安で、信頼性が低く、SSLをサポートせず、最新のMySQL機能が欠けています。また、アプリを壊さない非推奨通知も生成し、アプリの上部に表示されます。陽気に、これが意味することは、これを探すだけでこの不安定なセットアップを使用するすべてのさまざまなサイトにGoogleを単純にGoogleにすることも可能であるということです。これらのアプリがこの混乱のためにさらされていることを傷つける世界は驚異的です。

mysqlを使用する代わりに、代替案の1つを選択します：mysqli、またはpdo。たとえば、MySQLIを使用することは、API呼び出しの最後に「i」という文字を追加するのとほぼ同じくらい簡単です。

<span>$c = mysql_connect("host", "user", "pass");
</span><span>mysql_select_db("database");
</span><span>$result = mysql_query("SELECT * FROM posts LIMIT 1");
</span><span>$row = mysql_fetch_assoc($result);</span>

vs

<span>$mysqli = new mysqli("host", "user", "pass", "database");
</span><span>$result = $mysqli-&gt;query("SELECT * FROM posts LIMIT 1");
</span><span>$row = $result-&gt;fetch_assoc();</span>

セットアップを計り知れないほど安全にするために必要なのはそれだけです。

ただし、PDOを選択する必要があります。詳細については、ポイント2で詳しく説明しています

2。 pdo

を使用していません

誤解しないでください、MySQLIは（文字通り）古代のMySQL拡張よりも前の世代です。最新の状態、安全で、信頼性が高く、速いです。ただし、MySQL固有です。代わりにPDOを使用すると、驚くほど実用的なオブジェクト指向の構文を使用すると、PostgreSQL、MS SQLなどの他のSQLデータベースとTangoの準備ができます。さらに、PDOは名前のパラメーターを使用できるようにします。これは、非常に便利な機能であり、適切に活用した後、他のものに行くことを想像できる人はほとんどいません。最後になりましたが、これがあります。フェッチしたデータを直接新しいオブジェクトに挿入できます。これは、大規模なプロジェクトの楽しい時代です。

3。 urlsを書き換えない

もう1つの一般的に無視され、問題を簡単に修正できます。 myapp.com/index.php?p=34&g = 24のようなURLは、この日と年齢では受け入れられません。すべてのサーバーとフレームワークをカバーする優れたURL書き換えガイドを書くことが非常に困難であるため、ほぼすべてのフレームワークには、クリーンURL（Laravel、Phalcon、Symfony、Zend）とそのドンドンのセットアップ方法に関するガイドがあります。 Tは単に使用する価値がありません - 明らかに現代の慣行を気にしません。

4。エラーの抑制

これについては前の記事で書きましたが、もう一度言及する価値があります。 @ operatorを使用していることに気付くたびに、別の角度からより慎重に問題に再考してアプローチします。アプリの機能をめぐる20行のボイラープレートカールコードは、その前に @オペレーターがある単一の行よりも優れていると言うとき、私の言葉を取ります。

個人的な実験を通じて、良いアプローチが元の投稿で私が提唱しているアプローチであることを発見しました。すべての通知を致命的なエラーに変えます。文字通りログがあるため、

はエラーログにログインしないことを確認してください。

最近、プロダクション対応PHPアプリのHerokuアドオンをいくつかカバーしましたが、そのうちの1つは優れたPaperTrailでした。これにより、すべてのアプリのエラーをバックエンドに押して、後で簡単に検索、グループ化、排除できるアドオンができます。の上;したがって、いくつかのエラーが発生したとしても、コードを修正して、ユーザーの前で愚かなプレイをするよりも、コードを修正することでそれらをログにして取り除くことをお勧めします。

5。条件の割り当て

経験豊富な開発者でさえ、指のスリップを持ち、if（$条件= 'value'）{if（$条件== 'value'）{。私たちの手は滑り、キーボードはキープレスを登録せず、割り当てが実際に起こったコードの別の部分から貼り付けます。それは起こります。通常、アプリを実行したときにのみわかります。

これを完全に回避する方法はいくつかあります：

まともなIDEを使用します。良いIDE（たとえば、phpstormなど）は、それらを検出したときに「条件の割り当て」の問題について警告します。

「ヨーダ条件」を使用します。これらは、多くの人気のあるプロジェクト、さらには大きなフレームワークでも表示されます。比較を反転させることにより（（ 'value' = $条件）{）{）のように、より弱いIDEも問題に気付くでしょう。ヨーダの構文は迷惑で無意味なことを考えている人もいます。私たち全員がエリート主義者だったら、WordPressとZend Frameworkは存在しません。
1. それを念頭に置くだけで、それを書くたびに眼球反射を開発してチェックします。必要なのは練習だけですが、それは最高の開発者にも起こります、そしてそれは1。と2。
2. 6。透明すぎる
3. これはいくつかの論争をかき立てるかもしれないと言っていますが、とにかくここにあります。フレームワークの開発者に100％の自信がある場合、または高プロフィットの高トラフィックビジネスクリティカルアプリケーションを運営していない場合を除き、常にバックエンドの方法を不明瞭にするよう努める必要があります。そのフレームワークのセキュリティの脆弱性が発見された場合、攻撃の防止に役立ちます。たとえば、

symfony2翻訳者を使用し、{_locale}パラメーターのアップグレードを備えたルートがある場合！ http://t.co/jihxhb8mzt

- JérémyDerussé（@jderusse）2014年7月15日 7。開発構成を削除しない

最後になりましたが、開発構成の削除に言及する必要があります。ごく最近（そして、私はここで再びSymfonyに言及している正直な偶然です）、CNETは開発構成を削除しないために攻撃を受けました。

uhmmm no：http：//t.co/raqis1ycwq #security＃symfony

- marco pivetta（@ocramius）2014年7月15日

世界最大のハイテクニュースサイトの1つである

CNETは、Symfonyに基づいています。 Symfonyは、ご存知かもしれませんが、アプリケーションの2つのエントリポイントを備えています：app.phpとapp_dev.php。ブラウザを1つに向けることで、生産環境を取得します。 _DEVサフィックスを使用したものを指すことにより、デバッガー、機密データなどを特徴とする開発バージョンを明らかに取得します。これが良いか悪いかは、多くの議論の主題であるかどうか（再び、これを指摘してくれたライアンに感謝します）が、CNETに苦しんでいるエラーに不器用な開発者を開くことは否定できません。さらに、app_devで他のapp_dev urlにリダイレクトされると、他のURLがアクセスされます。言い換えれば、開発モードで起動するのはインデックスページだけではなく、Webサイト全体です。CNETの場合、それは多くのアクセスです。

Twitterでのディスカッションに従えば、それは非常に速く悲しげに悲しいことになります。

開発者は、生産サーバーからapp_dev.phpを削除できた可能性があります

開発者は、app_dev.phpにアクセスすることを許可するIPSをホワイトリストに登録できた可能性があります。これは、これらの制限を緩めない限り、デフォルトで機能する方法です。

1. これらのアプローチのいずれかが、すべての問題を完全に防ぐことができました。生産にプッシュするときは、開発構成が完全にアクセスできないか、ホワイトリストのIPSセットにのみアクセスできることを確認してください。
結論
このリストについてどう思いますか？一般的な側面をカバーしていますか、それとも難解すぎますか？合計3つの投稿が言及していないいくつかの一般的な落とし穴がありますか？以下のコメントでお知らせください。アドバイスが健全な場合は投稿を更新します！

以上がPHP開発者によって一般的に行われた7つのミスの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。