PHP 框架:需要避免的隐藏错误
Symfony(撰写本文时为 7.2)或 Laravel 等框架是高度可定制的,并且无论您的经验和技能如何,都鼓励良好的实践。
但是,您仍然可能会引入设计、安全或性能问题。
Symfony:不要直接调用 $container
❌ 这是一个经典但仍然被开发人员大量使用的:
class LuckyController extends AbstractController
{
public function index()
{
$myDependency = $this->container->get(MyDependencyInterface::class);
//
}
这是可能的,因为父 AbstractController 将 $container 定义为 protected:
protected ContainerInterface $container;
来源:Symfony - GitHub
虽然它确实有效,但由于多种原因,这是一个不好的做法:
- 它会损害可读性
- 测试更难
- 它依赖于全局状态($container)
- 随着 Symfony 的发展,它可能会在未来导致不兼容问题
✅ 在构造函数中使用依赖注入:
class LuckyController extends AbstractController
{
public function __construct(private MyDependencyInterface $myDependency) {}
Eloquent ORM:不要盲目使用原始查询
Eloquent 允许非常方便地编写 SQL 查询。
开发人员可以使用 PHP 包装器与数据库实体交互,而不是直接编写 SQL 查询。
它还在后台使用 SQL 绑定,因此即使输入不受信任,您也可以免费获得注入保护:
User::where('email', $request->input('email'))->get();
❌但是,当您使用像 whereRaw 这样的帮助程序时,您可能会引入漏洞:
User::whereRaw('email = "'. $request->input('email'). '"')->get();
✅ 至少,始终使用 SQL 绑定:
User::whereRaw('email = :email', ['email' => $request->input('email')])->get();
注意:上面的例子没有意义,但它让事情变得简单。在现实世界的用例中,您可能需要 whereRaw 来进行优化或实现非常具体的 where 条件。
Laravel:CSRF 怎么样?
通过 CSRF 攻击,黑客迫使最终用户在他们当前经过身份验证的应用程序上执行不需要的操作。
Laravel 有一个内置机制来防范这种情况。
粗略地说,它添加了一个与您的请求一起发送的令牌(隐藏字段),因此您可以验证“经过身份验证的用户是实际向应用程序发出请求的人。”
很公平。
❌但是,某些应用程序会跳过此实现。
✅ 是否应该使用内置中间件与此处无关,但请确保您的应用程序免受 CSRF 攻击。
您可以阅读此页面以了解有关 Laravel 中实现的更多详细信息。
也请确保 AJAX 请求的安全。
Eloquent ORM:查询没有“自动”优化
Eloquent 允许急切/延迟加载,并支持各种优化,例如查询缓存、索引或批处理。
但是,它并不能防止所有性能问题,尤其是在大型数据集上。
❌ 这种循环并不罕见:
class LuckyController extends AbstractController
{
public function index()
{
$myDependency = $this->container->get(MyDependencyInterface::class);
//
}
但它可能会导致内存问题。
✅ 如果可能,更好的方法是利用 Laravel 集合和块等帮助器:
protected ContainerInterface $container;
查看文档了解更多详细信息。
注意:它有效,但不要忘记这些助手只是为了简化实现,因此您必须监视缓慢的查询和其他瓶颈。
Symfony:SRP 服务
正如文档所述:
有用的对象称为服务,每个服务都位于一个非常特殊的对象中,称为服务容器。容器允许您集中构造对象的方式。它让您的生活更轻松,促进强大的架构并且速度超级快!
换句话说,您将编写自定义服务来处理您的应用程序的特定职责。
❌文档是正确的。它旨在促进强大的架构,但阅读违反单一职责原则 (SRP) 的服务并不罕见:
class LuckyController extends AbstractController
{
public function __construct(private MyDependencyInterface $myDependency) {}
✅ 你必须尊重这个原则。测试和维护会更容易。
Symfony:公共服务与私人服务
❌ 使用 Symfony,您可以使用 $container->get('service_id') 来调用任何公共服务。
我们之前看到,像这样调用 $container 被认为是一种不好的做法。
您可能无法抗拒将所有服务公开的诱惑,因此您几乎可以在项目中的任何地方通过它们的 ID 检索它们。
不要这样做。
✅ 相反,将大多数自定义服务保持私有并使用依赖项注入。
包起来
希望您能够避免我所说的框架的“潜在错误”或“隐藏错误”。
如果您不知道如何实现它,请相信该框架,但请注意某些机制可能默认情况下未启用。
以上是PHP 框架:需要避免的隐藏错误的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
在PHP API中说明JSON Web令牌(JWT)及其用例。
Apr 05, 2025 am 12:04 AM
JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息,主要用于身份验证和信息交换。1.JWT由Header、Payload和Signature三部分组成。2.JWT的工作原理包括生成JWT、验证JWT和解析Payload三个步骤。3.在PHP中使用JWT进行身份验证时,可以生成和验证JWT,并在高级用法中包含用户角色和权限信息。4.常见错误包括签名验证失败、令牌过期和Payload过大,调试技巧包括使用调试工具和日志记录。5.性能优化和最佳实践包括使用合适的签名算法、合理设置有效期、
会话如何劫持工作,如何在PHP中减轻它?
Apr 06, 2025 am 12:02 AM
会话劫持可以通过以下步骤实现:1.获取会话ID,2.使用会话ID,3.保持会话活跃。在PHP中防范会话劫持的方法包括:1.使用session_regenerate_id()函数重新生成会话ID,2.通过数据库存储会话数据,3.确保所有会话数据通过HTTPS传输。
描述扎实的原则及其如何应用于PHP的开发。
Apr 03, 2025 am 12:04 AM
SOLID原则在PHP开发中的应用包括:1.单一职责原则(SRP):每个类只负责一个功能。2.开闭原则(OCP):通过扩展而非修改实现变化。3.里氏替换原则(LSP):子类可替换基类而不影响程序正确性。4.接口隔离原则(ISP):使用细粒度接口避免依赖不使用的方法。5.依赖倒置原则(DIP):高低层次模块都依赖于抽象,通过依赖注入实现。
在PHPStorm中如何进行CLI模式的调试?
Apr 01, 2025 pm 02:57 PM
在PHPStorm中如何进行CLI模式的调试?在使用PHPStorm进行开发时,有时我们需要在命令行界面(CLI)模式下调试PHP�...
如何在系统重启后自动设置unixsocket的权限?
Mar 31, 2025 pm 11:54 PM
如何在系统重启后自动设置unixsocket的权限每次系统重启后,我们都需要执行以下命令来修改unixsocket的权限:sudo...
PHP 8.1中的枚举(枚举)是什么?
Apr 03, 2025 am 12:05 AM
PHP8.1中的枚举功能通过定义命名常量增强了代码的清晰度和类型安全性。1)枚举可以是整数、字符串或对象,提高了代码可读性和类型安全性。2)枚举基于类,支持面向对象特性,如遍历和反射。3)枚举可用于比较和赋值,确保类型安全。4)枚举支持添加方法,实现复杂逻辑。5)严格类型检查和错误处理可避免常见错误。6)枚举减少魔法值,提升可维护性,但需注意性能优化。
