PHP 개발자가 7 개 더 실수합니다

6 월 말 프리랜서 마켓 플레이스 인 Toptal은 PHP 프로그래머가하는 10 가지 가장 일반적인 실수에 대한 게시물을 게시했습니다. 이 목록은 철저하지는 않았지만 잘 쓰여졌 고 매우 흥미로운 함정이 지적되어야합니다. 개인적으로 실수를 매우 일반적으로 나열하지 않더라도. 나는 당신이 그것을 철저히 읽을 것을 권장합니다 - 그것은 당신이 알아야 할 정말 귀중한 정보, 특히 처음 8 점을 가지고 있습니다. 며칠 전 Anna Filina는 7 개의 새로운 항목으로 목록에서 확장했습니다. 덜 구체적이고 일반적이지만, 그녀의 포인트는 여전히 무게를 지니고 있으며 발달 할 때 고려해야합니다.

키 테이크 아웃

SQL 데이터베이스에 대해 더 이상 사용되지 않은 MySQL 확장자 사용을 피하십시오. 불안하고 신뢰할 수 없으며 SSL 및 최신 MySQL 기능에 대한 지원이 부족하므로. 대신, 더 나은 보안 및 더 많은 기능을 제공하는 MySQLI 또는 PDO와 같은 대안을 선택하십시오. @ 연산자를 사용하여 코드에서 오류를 억제하지 마십시오. 대신 오류를 기록하고 코드를 수정하여 주소를 지정할 수 있습니다. 이를 통해 응용 프로그램의 무결성을 유지하고 문제가 무시되거나 간과되는 것을 방지합니다. 특히 알려진 프레임 워크를 사용하는 경우 백엔드 설정에 대한 정보를 너무 많이 드러내는 데 신중합니다. 해당 프레임 워크의 보안 취약점이 발견되면 응용 프로그램을 잠재적 공격에 노출시킬 수 있습니다. 또한 제작에 대한 무단 액세스를 방지하기 위해 생산을 추진할 때 개발 구성을 제거해야합니다.

.

를 만듭니다 나는 Toptal의 누군가에 의해 목록을보고 잠재적으로 기여하도록 요청 받았으며, 소셜 네트워크의 일부 추종자들 중 일부는 목록을 계속 보는 데 관심을 표명 했으므로이 기회를 가져 가고 싶습니다. 팀원이나 추종자에게 반복적으로 경고 해야하는이 목록에 내 자신의 출품작을 추가하십시오.

1. MySQL 확장자 사용

이 뉴스는 상당히 오래되었지만 사실에 대해 잊어 버린 개발자의 수는 걱정입니다. SQL 데이터베이스, 특히 MySQL을 사용하는 경우 너무 많은 개발자가 여전히 MySQL 확장을 선택합니다. MySQL 확장자는 공식적으로 더 이상 사용되지 않습니다. 불안하고 신뢰할 수 없으며 SSL을 지원하지 않으며 현대적인 MySQL 기능이 누락되었습니다. 또한 앱을 깨뜨리지 않는 감가 상각 통지를 생성하고 앱의 상단에 나타납니다. 유쾌하게, 이것이 의미하는 바는 단순히이 불안한 설정을 사용하는 모든 다양한 사이트를 간단히 찾아서 Google에서 간단히 Google에 할 수 있다는 것입니다. 상처의 세계는이 엉망으로 인해 노출 된 앱이 노출됩니다.

MySQL을 사용하는 대신 대안 중 하나 인 MySQLI 또는 PDO를 선택하십시오. 예를 들어, MySQLI를 대신 사용하는 대신 API 전화의 끝에 "i"를 추가하는 것만 큼 간단합니다.
vs

<span>$c = mysql_connect("host", "user", "pass");
</span><span>mysql_select_db("database");
</span><span>$result = mysql_query("SELECT * FROM posts LIMIT 1");
</span><span>$row = mysql_fetch_assoc($result);</span>

그게 설정을 더욱 안전하게 만들기 위해 필요한 전부입니다.

당신은 pdo를 선택해야합니다. 지점 2에서 그것에 대해 더 자세히 설명하십시오

2. pdo 를 사용하지 않습니다 나를 잘못 이해하지 마십시오. MySQLI는 고대 MySQL 확장보다 (문자 그대로) 세대입니다. 최신 상태, 안전하며 신뢰할 수 있으며 빠릅니다. 그러나 MySQL에 따라 다릅니다. 대신 PDO를 사용하면 놀랍도록 실용적인 객체 지향 구문을 사용할 수 있으며 PostgreSQL, MS SQL 등과 같은 다른 SQL 데이터베이스와 함께 탱고를 준비 할 수 있습니다. 또한 PDO를 사용하면 유용한 기능인 이름이 지정된 매개 변수를 사용할 수 있습니다. 마지막으로, 여기에는 다음과 같습니다. 대규모 프로젝트에서 유쾌한 타임즈 베이비 인 새로운 객체에 가져온 데이터를 직접 주입 할 수 있습니다.

<span>$mysqli = new mysqli("host", "user", "pass", "database");
</span><span>$result = $mysqli->query("SELECT * FROM posts LIMIT 1");
</span><span>$row = $result->fetch_assoc();</span>

.

3. URL을 다시 작성하지 않음

또 다른 다른 것은 일반적으로 무시되고 문제를 해결하기 쉽습니다. myapp.com/index.php?와 같은 URL은 오늘날과 시대에 허용되지 않습니다. 모든 서버와 프레임 워크를 다루는 좋은 URL 다시 쓰기 안내서를 작성하는 것이 매우 어렵 기 때문에 거의 모든 프레임 워크는 깨끗한 URL (Laravel, Phalcon, Symfony, Zend) 및 Don '을 설정하는 방법에 대한 안내서가 있습니다. T는 사용할 가치가 없습니다 - 그들은 분명히 현대 관행에 신경 쓰지 않습니다.
4. 오류 억제 나는 이전 기사에서 이것에 대해 썼지 만 다시 언급 할 가치가 있습니다. @ 연산자를 사용할 때마다 다른 각도에서 문제를 더 신중하게 재고하고 접근 할 때마다. 앱의 기능 주변의 20 줄의 보일러 플레이트 컬 코드가 @ 연산자 앞의 한 줄보다 낫다고 말할 때 내 말을하십시오. 나는 개인 실험을 통해 좋은 접근 방식이 원래 게시물에서 옹호하는 것임을 발견했습니다. 모든 통지를 치명적인 오류로 바꾸십시오. 문자 그대로 로그인이 없기 때문에 아무것도

로그인하는 것이 가

가 눈앞에 @를 잡고 팬을 때리는 것이 낫지 않기 때문에 오류 로그에 로그인하는지 확인하십시오.

우리는 최근 프로덕션 준비된 PHP 앱을 위해 일부 Heroku 애드온을 다루었 고, 그 중 하나는 훌륭한 PaperTrail이었습니다. 추가 검색, 그룹화 및 제거를 위해 모든 앱의 오류를 백엔드로 밀어 넣을 수 있습니다. 에; 따라서 일부 오류가 발생하더라도 코드를 수정하여 사용자 앞에서 멍청한 것을 연주하는 것보다 코드를 수정하여 로그인하고 제거하는 것이 좋습니다.

5. 조건에서 할당 경험이 풍부한 개발자조차도 때때로 손가락의 미끄러짐을 가지고 있고 if ($ 조건 = 'value') {if 대신 ($ 조건 == 'value') {. 우리의 손이 미끄러질 것입니다. 키보드는 Keypress를 등록하지 않을 것입니다. 우리는 과제가 실제로 발생한 코드의 다른 부분에서 붙여 넣을 것입니다. 그리고 우리는 일반적으로 앱을 실행할 때만 알게됩니다.

. 이것을 완전히 피하는 몇 가지 방법이 있습니다 :

괜찮은 IDE를 사용하십시오. 예를 들어 PHPStorm과 같은 좋은 IDE (예 : 조건의 할당”문제가 감지 될 때 경고합니다. “요다 조건”을 사용하십시오. 많은 인기있는 프로젝트, 심지어 큰 프레임 워크에서도 이것을 볼 수 있습니다. 비교를 반전시킴으로써 (if ( 'value'= $ 조건) {)에서와 같이 약한 IDE도 문제를 알 수 있습니다. 어떤 사람들은 요다 구문을 짜증나고 무의미하다고 생각합니다. 우리가 모두 엘리트 주의자라면 WordPress와 Zend 프레임 워크가 존재하지 않을 것입니다. 간단히 염두에두면 눈 반사를 개발하여 글을 쓸 때마다 확인합니다. 연습이지만, 최고의 개발자에게도 발생하며 그곳에서 1과 2입니다.

.
6. 너무 투명합니다 이것은 이것이 약간의 논쟁을 불러 일으킬 수 있지만 여기에 간다. 프레임 워크 개발자에 대한 100% 자신감이 있거나 고소로의 교통량이 많은 비즈니스 크리티컬 애플리케이션을 운영하지 않는 한 항상 백엔드 방식을 모호하게하려면 항상 앱을 기반으로하는 프레임 워크가 실제로 캔으로 방송되지 않도록 노력해야합니다. 해당 프레임 워크의 보안 취약성이 발견되면 공격 방지에 도움이됩니다. 예를 들면 :
1. Symfony2 Translator를 사용하고 {_locale} 매개 변수 업그레이드가있는 경로가있는 경우 ! http://t.co/jihxhb8mzt
이 트윗에서 심각한 코드 주입 문제에 대한 지식이 공개 도메인으로 방송되고 있습니다. 직장에 있고 DevOps 문제없이 즉시 업그레이드 할 수 있고 팀이 먼저 헤어질 수있는 경우에도 좋습니다. 그러나 대부분의 사람들과 Symfony를 사용하는 회사에서는 그렇지 않습니다. Symfony는 작곡가를 통해 업그레이드 될 수 있지만 (Ryan은 아래 의견에서 언급 한 것처럼) 다층 환경을 가진 대규모 팀에서 승인을받는 데 시간이 걸립니다. Symfony 사용자로 선언 된이 번역기 접근법을 사용하는 모든 웹 사이트는 (입니까?) 따라서 고정 될 때 까지이 취약점에 노출되었습니다.위의 예에서 Symfony를 사용하는 것은 바로 그 예입니다. 수년 동안 수많은 다른 소프트웨어와 비슷한 상황이 발생했습니다. 내가 여전히 Zend 프레임 워크를 상업적으로 사용했을 때, 우리는 이런 일이 발생했으며 그로 인해 공격을당했습니다. WordPress는 보안기구를 가지고 있었고 우리는 웹 사이트의 비율이 얼마나 높은지 알고 있습니다. 이러한 일이 발생하며 때로는 회사 수익원의 대부분을 운반하는 응용 프로그램을 다룰 때 오픈 소스와 투명성이 가장 좋은 방법이 아닙니다.

7. 개발 구성을 제거하지 않음

마지막으로 개발 구성 제거를 언급해야합니다. 아주 최근에 (그리고 Symfony를 다시 언급 한 것은 정직한 우연의 일치입니다) CNET은 개발 구성을 제거하지 않아 공격을 받았습니다.

uhmmm no : http://t.co/raqis1ycwq #security #symfony

- Marco Pivetta (@ocramius) 2014 년 7 월 15 일

세계 최대의 기술 뉴스 사이트 중 하나 인 CNET은 Symfony를 기반으로합니다. Symfony는 아시다시피 App.php 및 App_dev.php의 응용 프로그램에 대한 두 개의 진입 점이 있습니다. 브라우저를 하나씩 지적하면 프로덕션 환경을 얻습니다. _dev 접미사를 사용하여 하나를 가리키면 디버거, 민감한 데이터 등이있는 개발 버전을 얻을 수 있습니다. 이것이 좋든 나쁜지 여부는 많은 토론의 대상이지만 (이를 지적 한 Ryan 덕분에 다시 한 번 감사합니다), CNET과 같은 오류에 대한 더 Clumsier 개발자가 열리는 것은 부인할 수 없습니다. 또한 APP_DEV에서 액세스 할 수있는 다른 URL은 다른 APP_DEV URL로 리디렉션됩니다. 다시 말해, 개발 모드에서 시작되는 인덱스 페이지가 아니라 전체 웹 사이트입니다. CNET의 경우 많은 액세스 권한입니다.

. 트위터에 대한 토론을 따르면 정말 빨리 슬프게됩니다. 그리고 더 슬프게도 더 슬픈 것은 순간의 작업에서 피할 수 있다는 것입니다 :

.

devs는 프로덕션 서버에서 app_dev.php를 제거 할 수 있습니다 DEVS는 화이트리스트 IPS가 App_dev.php에 액세스 할 수있게 해주었습니다. 이는 해당 제한을 풀지 않으면 기본적으로 작동하는 방식입니다.

이러한 접근법 중 하나는 모든 문제를 완전히 막았을 것입니다. 생산을 추진할 때 개발 구성이 완전히 접근 할 수 없거나 화이트리스트 IP 세트에만 액세스 할 수 있는지 확인하십시오.

.

결론 이 목록에 대해 어떻게 생각하십니까? 일반적인 측면을 다루나요? 아니면 너무 난해합니까? 총 3 개의 게시물이 언급하지 못한 더 일반적인 함정이 있습니까? 아래 의견에 알려 주시면 조언이 건전한 경우 게시물을 업데이트하겠습니다!

위 내용은 PHP 개발자가 7 개 더 실수합니다의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!