本文總結了一些PHP程式設計師在Web開發中經常 忽略的關鍵錯誤,尤其是在處理中大型的專案上問題更為突出。典型的錯誤表現在不能很好區分各種開發環境和沒有使用快取和備份等。
下面以PHP為例,但是其核心思想對每一個Web程式設計師都是適用的。
應用程式層級的錯誤
1、在開發階段關閉了錯誤報告
我唯一想問的是:為什麼?為什麼在開發的時候要關閉錯誤回報?
PHP有很多等級的錯誤報告,在開發階段我們必須將它們全部開啟。
如果你覺得錯誤不會發生,那麼你把程式太理想化了,在現實世界中,錯誤是必然的。 error_reporting和display_error是兩個完全不同的方法,error_reporting()設定了錯誤的級別,而display_errors則是設定錯誤訊息是否要被輸出。
在開發階段,錯誤報告的等級應該設定成最高的,例如以下設定: error_reporting(E_ALL);以及ini_set('display_errors', true);
2、淹水錯誤
和上一點相反,很多程式員喜歡將錯誤淹沒了,你明知道錯誤會發生,但是你選擇將錯誤隱藏掉,然後可以早早回家睡大覺,殊不知將來會發生更嚴重的錯誤。
3、程式碼中任何地方都沒有使用日誌
軟體開發的一開始你就要牢記使用日誌,不能到專案結束了才去彌補日誌功能。很多程式設計師都會用這樣或那樣的手段進行日誌記錄,但是很少有人能真正用日誌來記錄異常信息,試問一個沒有人查看的日誌系統有什麼用?
4、沒有使用快取
在的應用系統中,我們可以在多個系統層次上使用緩存,例如在服務端、應用端和資料庫端等。和日誌一樣,快取也應該在一開始就應用到系統中去,你可以在開發階段停用緩存,等到了產品發布後再將快取開啟。
5、丟棄了最佳實踐和設計模式
你看到過多少人使用自己的密碼加密演算法?很遺憾的告訴你,有很多,因為他們認為會更了解它。
最好的實踐方式和設計模式已經由前輩創建了,這往往比你自己再造一個輪子要來的簡單奏效,我們開發者只需要熟練掌握這些設計模式並且合理地應用在項目中即可,比如一些加密演算法。
6、沒有使用自動化測試
在每一個Web專案中都會使用到測試,就像日誌一樣,如果沒有人管理和使用,那麼測試也是一無是處的。
運行測試工程是一項枯燥乏味的工作,幸好有一系列工具幫助我們實現自動化測試。在PHP開發中,有一款很好的測試工具叫做Jenkins,使用起來非常方便。
7、沒有做程式碼審查
在團隊中工作是一項非常大的挑戰,因為每個成員都有自己不同的工作習慣和方式,如果沒有良好的規範,那麼專案開發就會走很多彎路。
團隊中的每一個成員都應該互相審查程式碼,就像單元測試,它可以幫助專案變得更加乾淨和一致性。
8、程式設計只考慮理想情況
你是否遇到過自己或別人的程式碼在交到客戶手中後經常出問題,甚至是亂套了?我當然沒有。
出現這種情況往往是因為開發者懶惰了,只考慮了理想情況,這會導致資料庫崩潰了、PHP發生致命錯誤、甚至是伺服器被駭。程式設計師在寫程式碼時不僅要考慮最理想的情況,更要考慮最壞的情況,思考全面,才能讓程式碼覆蓋所有的情況。
9、沒有正確運用物件導向程式設計的思想
大部分PHP初學者都不會再其程式碼中運用物件導向的思想,因為這個概念在剛開始的時候很難理解。
當然物件導向的概念並不是簡單地將一些類別組織在一起。
物件、屬性、方法、繼承和封裝等都是OOP中最基本的概念,開發者正確使用了物件導向設計模式後,就有能力寫出更乾淨、更有擴展性的程式碼了。
10、“飛航模式”(On-the-fly)編程
大部分開發者都會遇到這樣的情況:“快,客戶需要一項新功能,要能運行ASAP”,於是你就在源程式碼新增一些功能,然後直接上傳到正在執行的伺服器上,這種程式設計方式我們稱之為「飛行模式」(On-the-fly)程式設計。
我們在開發軟體時,尤其是中大型的項目,都必須按照工作流程來進行分析、編程和發布,這將大大減少未來軟體的bug。這種「飛行模式」並不可取。
資料庫層級的錯誤
11、沒有將資料庫讀寫分離
為了能長時間運作複雜的系統,每個程式設計師都應該考慮到系統的可擴充性,系統99%的時間都不需要考慮擴展,因為並沒有如此大的流量。
為什麼要資料庫讀寫分離?
在每個系統中,資料庫將會是第一個出現的瓶頸,在大流量的衝擊下,資料庫很可能將會是第一個陣亡的。所以大部分情況下我們會用多個資料庫來分散流量,開發者常常會使用Master – Slave模式或Master – Master 模式。 Master – Slave是最受歡迎的一種資料庫分壓模式,它會將指定的select語句路由到每一個Slave伺服器,這樣Master伺服器的壓力會減輕不少。
12、程式碼只能連接到一個資料庫
這和上一個錯誤非常像,但是開發者有時候因為某些原因需要連接到多個資料庫,例如你會將使用者日誌、活動資訊流、即時數據分析等高負載的資料放到不同的資料庫中來緩解對主資料庫的壓力。
13、沒有偵測資料庫漏洞
如果你不對資料庫進行漏洞偵測,就相當於給大部分駭客敞開了伺服器的大門。
在眾多漏洞中,資料庫漏洞是最脆弱的,最常見的就是SQL注入。因此定期做資料庫漏洞檢測還是很有必要的。
14、資料表不建索引
索引在資料表中有著非常重要的作用,合適的索引可以提高每張表的效能,這裡有一篇文章就講述瞭如何建立索引以及何時建立索引。
15、沒有使用事務機制
資料完整性對Web系統非常重要,如果資料一致性發生錯誤,那麼整個系統都會崩潰並且難以修復。合理地運用資料庫的事務機制將有效地解決這個問題。例如你要保存使用者數據,在table1中有e-mail, username和password,table2中有first name, last name,和gender age。我們可以利用事務對兩張表更新時保證資料同時被更新或同時不被更新。
16、沒有加密敏感數據
對於數據庫中的敏感信息,如果你不對它們進行加密,或者用簡單的算法進行加密,那麼在2014年你肯定會遇到一些麻煩的問題,黑客們一旦入侵你的資料庫,使用者的密碼或其他重要資訊就會一覽無餘。
PHP5.5中提供了一個哈希加密方法,使用如下:
$hash = password_hash( $password, PASSWORD_BCRYPT );
17、沒有備份
看到下面這張圖片沒,如果遇到這樣的情況,你又沒有備份,那麼一切都over了。
18、沒有監控
沒有監控,你將不知道接下來會發生什麼事情,對於監控,要注意以下幾個問題:
有多少人可以直接訪問這個應用服務?
伺服器是否在高負載下運作?
我們需要用另一台資料庫伺服器來擴充系統嗎?
應用系統的失敗點在哪裡?
系統目前正處於離線狀態嗎?