什么是php技術

PHP是一種易于學習和使用的服務器端腳本語言。只需要很少的編程知識你就能使用PHP建立一個真正交互的WEB站點。 PHP是能讓你生成動態網頁的工具之一。PHP網頁文件被當作一般HTML網頁文件來處理并且在編輯時你可以用編輯HTML的常規方法編寫PHP。

PHP，一個嵌套的縮寫名稱，是英文超級文本預處理語言（PHP:Hypertext Preprocessor）的縮寫。PHP 是一種HTML內嵌式的語言，PHP與微軟的ASP頗有幾分相似，都是一種在服務器端執行的嵌入HTML文檔的腳本語言，語言的風格有類似于C語言，現在被很多的網站編程人員廣泛的運用。PHP 獨特的語法混合了 C、Java、Perl 以及 PHP 自創新的語法。它可以比 CGI 或者 Perl 更快速的執行動態網頁。用PHP做出的動態頁面與其他的編程語言相比，PHP是將程序嵌入到HTML文檔中去執行，執行效率比完全生成HTML標記的CGI要高許多；與同樣是嵌入HTML文檔的腳本語言JavaScript相比，PHP在服務器端執行，成分利用了服務器的性能；PHP執行引擎還會將用戶經常訪問的PHP程序駐留在內存中，其他用戶在一次訪問這個程序時就不需要重新編譯程序了，只要直接執行內存中的代碼就可以了，這也是PHP高效率的體現之一。PHP具有非常強大的功能，所有的CGI或者JavaScript的功能PHP都能實現，而且支持幾乎所有流行的數據庫以及操作系統。

PHP 最初是1994年Rasmus Lerdorf創建的，剛剛開始只是一個簡單的用Perl語言編寫的程序，用來統計他自己網站的訪問者。后來又用C語言重新編寫，包括可以訪問數據庫。在1995年以Personal Home Page Tools （PHP Tools） 開始對外發表第一個版本，Lerdorf寫了一些介紹此程序的文檔，并且發布了PHP1.0。在這早期的版本中，提供了訪客留言本、訪客計數器等簡單的功能。以后越來越多的網站使用了PHP，并且強烈要且增加一些特性，比如循環語句和數組變量等等，在新的成員加入開發行列之后，在1995年中，PHP2.0發布了。第二版定名為PHP/FI（Form Interpreter）。PHP/FI加入了對mSQL的支持，從此建立了PHP在動態網頁開發上的地位。到了1996年底，有15000個網站使用 PHP/FI；時間到了1997年中，使用PHP/FI的網站數字超過五萬個。而在1997年中，開始了第三版的開發計劃，開發小組加入了 Zeev Suraski 及 Andi Gutmans，而第三版就定名為PHP3。2000年，PHP4.0又問世了，其中增加了許多新的特性。

php系統開發技術規范

1 編寫目的

為了更好的提高技術部的工作效率，保證開發的有效性和合理性，并可最大程度的提高程序代碼的可讀性和可重復利用性，指定此規范。開發團隊根據自己的實際情況，可以對本規范進行補充或裁減。

2 整體要求

技術部php開發規范將參照PEAR的規范，基本采用PEAR指定的規范，在其基礎上增加、修改或刪除部分適合具體開發環境的規范。本規范只針對PHP開發過程中編碼的規范，對于PHP開發項目中文件、目錄、數據庫等方面的規范，將不重點涉及。

本規范包含了PHP開發時程序編碼中命名規范、代碼縮進規則、控制結構、函數調用、函數定義、注釋、包含代碼、PHP標記、文件頭的注釋塊、CVS標記、URL樣例、常量命名等方面的規則。

3 安全規范

3.1 包含文件

3.1.1 命名規則

提取出來具有通用函數的包含文件，文件后綴以.inc來命名，表明這是一個包含文件。

如果有多個.inc文件需要包含多頁面，請把所有.inc文件封裝在一個文件里面，具體到頁面只需要包換一個.inc文件就可以了

如：xxx_session.inc

xxx_comm..inc

xxx_setting.inc

mysql_db.inc

把以上文件以一下方式，封裝在xxx.basic.inc文件里面

require_once（”xxx_session.inc”）;

require_once（”xxx_comm.inc”）;

require_once（”xxx_setting.inc”）;

require_once（”mysql_db.inc”）;

注：是否需要封裝到一個文件，視情況而定，如果每個inc的功能是分散到不同的頁面使用的話，就不建議封裝。

3.1.2 存放規則

一般包含文件不需要直接暴露給用戶，所以應該放在 Web Server訪問不到的目錄，避免因為配置問題而泄露設置信息。

3.2 安全規則

請參考產品安全檢查表。

輸入和輸出

檢查是否做了HTML代碼的過濾

可能出現的問題：如果有人輸入惡意的HTML代碼，會導致竊取cookie， 產生惡意登錄表單，和破壞網站

檢查變量做數據庫操作之前是否做了escape

可能出現的問題：如果一個要寫入查詢語句的字符串變量包含了某些特殊的字符，比如引號（’ ，”）或者分號（;） 可能造成執行了預期之外的操作。

建議采用的方法：使用mysql_escape_string（） 或實現類似功能的函數。

檢查輸入數值的合法性

可能出現的問題：異常的數值會造成問題。如果對輸入的數值不做檢查會造成不合法的或者錯誤的數據存入UDB、存入其它的數據庫或者導致意料之外的程序操作發生。

舉例：

如果程序以用戶輸入的參數值做為文件名，進行文件操作，惡意輸入系統文件名會造成系統損毀。

核實對cookie的使用以及對用戶數據的處理

可能出現的問題：不正確的cookie使用可能造成用戶數據泄漏

訪問控制

對內部使用的產品或者供合作方使用的產品，要考慮增加訪問控制

logs

確保用戶的保密信息沒有記在log中（例如：用戶的密碼）

確保對關鍵的用戶操作保存了完整的用戶訪問記錄

https

對敏感數據的傳輸要采用https

3.3 一些針對PHP的規則

設置 register_globals = off （Y！PHP 已經禁止了register_globals，如果你使用Y！PHP可以不考慮這項設置）

設置 error_reporting = E_ALL （Y！PHP 的缺省設置），并且要修正所有的error和warning

將實際的操作放在被引用的文件中。把引用文件放到不可以被直接瀏覽的目錄下

3.4 其它處理規則

3.4.1 對輸入參數值進行轉義處理

頁面接到參數需要SQL操作，這時候需要做轉義，尤其需要注意”;”。

如：$a = ” Let’s go ” ;

$sql = “Insert into tmp（col） values（’$a’）” ;

這種情況出現錯誤的不確定性。

3.4.2 操作大HTML文本

很多時候需要存放一大段HTML文本供頁面使用，象用戶定制頁頭頁腳等。

需要剔除腳本標記，避免執行惡意php代碼。

轉換”《“”》“號，保證代碼完整。

4 編碼規范

4.1 命名規范

制定統一的命名規范對于項目開發來說非常重要，不但可以養成程序員一個良好的開發習慣，還能增加程序的可讀性、可移植性和可重用性，還能很好的提高項目開發的效率。

4.1.1 變量命名

變量命名分為普通變量、靜態變量、局部變量、全局變量、Session變量等方面的命名規則。

4.1.1.1 普通變量

普通變量命名遵循以下規則：

a． 所有字母都使用小寫；

b． 對于一個變量使用多個單詞的，使用’_‘作為每個詞的間隔。

例如：$base_dir、$red_rose_price等

4.1.1.2 靜態變量

靜態變量命名遵循以下規則：

a． 靜態變量使用小寫的s_開頭；

b． 靜態變量所有字母都使用小寫；

c． 多個單詞組成的變量名使用’_’作為每個詞的間隔。

例子：$s_base_dir、$s_red_rose_prise等。

4.1.1.3 局部變量

局部變量命名遵循以下規則：

a． 所有字母使用小寫；

b． 變量使用’_‘開頭；

c． 多個單詞組成的局部變量名使用’_’作為每個詞間的間隔。

例子：$_base_dir、$_red_rose_price等。

4.1.1.4 全局變量

全局變量應該帶前綴’g‘，知道一個變量的作用域是非常重要的。

例如

global $gLOG_LEVEL;

global $gLOG_PATH;

4.1.1.5 全局常量

全局變量命名遵循以下規則：

a． 所有字母使用大寫

b． 全局變量多個單詞間使用’_’作為間隔。

例子：$BASE_DIR、$RED_ROSE_PRICE等。

4.1.1.6 session變量

session變量命名遵循以下規則：

a． 所有字母使用大寫；

b． session變量名使用’S_’開頭；

c． 多個單詞間使用’_‘間隔。

例子：$S_BASE_DIR、$S_RED_ROSE_PRICE等。

4.1.2 類

php中類命名遵循以下規則：

a． 以大寫字母開頭；

b． 多個單詞組成的變量名，單詞之間不用間隔，各個單詞首字母大寫。

例子：class MyClass 或class DbOracle等。

4.1.3 方法或函數

方法或函數命名遵循以下規則：

a． 首字母小寫；

b． 多個單詞間不使用間隔，除第一個單詞外，其他單詞首字母大寫。

例子：function myFunction （）或function myDbOracle （）等。

4.1.4 縮寫詞

當變量名或者其他命名中遇到縮寫詞時，參照具體的命名規則，而不采用縮寫詞原來的全部大寫的方式。

例子：function myPear（不是myPEAR） functio getHtmlSource（不是getHTMLSource）。

4.1.5 數據庫表名

數據庫表名命名遵循以下規范：

a． 表名均使用小寫字母；

b． 對于普通數據表，使用_t結尾；

c． 對于視圖，使用_v結尾；

d． 對于多個單詞組成的表名，使用_間隔；

例子：user_info_t和book_store_v等

4.1.6 數據庫字段

數據庫字段命名遵循以下規范：

a． 全部使用小寫；

b． 多個單詞間使用_間隔。

例子：user_name、rose_price等。

4.2 書寫規則

書寫規則是指在編寫php程序時，代碼書寫的規則，包括縮進、結構控制等方面規范：

4.2.1 代碼縮進

在書寫代碼的時候，必須注意代碼的縮進規則，我們規定代碼縮進規則如下：

a． 使用4個空格作為縮進，而不使用tab縮進（對于ultraedit，可以進行預先設置）

例子：

for （ $i=0;$i《$count;$i++ ）

{

echo “test”;

}

4.2.2 大括號{ }書寫規則

在程序中進行結構控制代碼編寫，如if、for、while、switch等結構，大括號傳統的有兩種書寫習慣，分別如下：

a．{直接跟在控制語句之后，不換行，如

for （$i=0;$i《$count;$i++） {

echo “test”;

}

b．{在控制語句下一行，如

for（$i=0;$i《$count;$i++）

{

echo “test”;

}

其中，a是PEAR建議的方式，但是從實際書寫中來講，這并不影響程序的規范和影響用phpdoc實現文檔，所以可以根據個人習慣來采用上面的兩種方式，但是要求在同一個程序中，只使用其中一種，以免造成閱讀的不方便。

4.2.3 小括號（ ）和函數、關鍵詞等

小括號、關鍵詞和函數遵循以下規則：

a． 不要把小括號和關鍵詞緊貼在一起，要用一個空格間隔；如if （ $a《$b ）；

b． 小括號和函數名間沒有空格；如$test = date（“ymdhis”）；

c． 除非必要，不要在Return返回語句中使用小括號。 如Return $a；

4.2.4 ＝符號書寫

在程序中=符號的書寫遵循以下規則：

a． 在=符號的兩側，均需留出一個空格；如$a = $b 、if （$a = = $b）等；

b． 在一個申明塊，或者實現同樣功能的一個塊中，要求=號盡量上下對其，左邊可以為了保持對齊使用多個空格，而右邊要求空一個空格；如下例：

$testa = $aaa;

$testaa = $bbb;

$testaaa = $ccc;

4.2.5 if else swith for while等書寫

對于控制結構的書寫遵循以下規則：

a． 在if條件判斷中，如果用到常量判斷條件，將常量放在等號或不等號的左邊，例如：

if （ 6 == $errorNum ），因為如果你在等式中漏了一個等號，語法檢查器會為你報錯，可以很快找到錯誤位置，這樣的寫法要多注意；

b． switch結構中必須要有default塊；

c． 在for和wiile的循環使用中，要警惕continue、break的使用，避免產生類似goto的問題；

4.2.6 類的構造函數

如果要在類里面編寫構造函數，必須遵循以下規則：

a． 不能在構造函數中有太多實際操作，頂多用來初始化一些值和變量；

b． 不能在構造函數中因為使用操作而返回false或者錯誤，因為在聲明和實例化一個對象的時候，是不能返回錯誤的；

4.2.7 語句斷行， 每行控制在80個字符以內

在代碼書寫中，遵循以下原則：

a． 盡量保證程序語句一行就是一句，而不要讓一行語句太長產生折行；

b． 盡量不要使一行的代碼太長，一般控制在80個字符以內；

c． 如果一行代碼太長，請使用類似 。= 的方式斷行書寫；

d． 對于執行數據庫的sql語句操作，盡量不要在函數內寫sql語句，而先用變量定義sql語句，然后在執行操作的函數中調用定義的變量；

例子：

$sql = “SELECT username，password，address，age，postcode FROM test_t ”;

$sql 。= “ WHERE username=’aaa‘”;

$res = mysql_query（$sql）;

4.2.8 不要不可思議的數字

一個在源代碼中使用了的赤裸裸的數字是不可思議的數字，因為包括作者，在三個月內，沒人它的含義。例如：

if （22 == $foo）

{

start_thermo_nuclear_war（）;

}

else if （19 == $foo）

{

refund_lotso_money（）;

}

else

{

cry_cause_im_lost（）;

}

你應該用define（）來給你想表示某樣東西的數值一個真正的名字，而不是采用赤裸裸的數字，例如：

define（“PRESIDENT_WENT_CRAZY”， “22”）;

define（“WE_GOOFED”， “19”）;

define（“THEY_DIDNT_PAY”， “16”）;

if （ PRESIDENT_WENT_CRAZY == $foo）

{

start_thermo_nuclear_war（）;

}

else if （WE_GOOFED == $foo）

{

refund_lotso_money（）;

}

else if （THEY_DIDNT_PAY == $foo）

{

infinite_loop（）;

}

else

{

happy_days_i_know_why_im_here（）;

}

4.2.9 true/false和0/1判斷

遵循以下規則：

a． 不能使用0/1代替true/false，在PHP中，這是不相等的；

b． 不要使用非零的表達式、變量或者方法直接進行true/false判斷，而必須使用嚴格的完整true/false判斷；

如：不使用if （$a） 或者if （checka（）） 而使用if （FALSE ！= $a）或者 if （FALSE ！= check（））

4.2.10 避免嵌入式賦值

在程序中避免下面例子中的嵌入式賦值：

不使用這樣的方式：

while （$a ！= （$c = getchar（）））

{

process the character

}

4.2.11 錯誤返回檢測規則

檢查所有的系統調用的錯誤信息，除非你要忽略錯誤。

為每條系統錯誤消息定義好系統錯誤文本，并記錄錯誤LOG。

4.3 程序注釋

每個程序均必須提供必要的注釋，書寫注釋要求規范，參照PEAR提供的注釋要求，為今后利用phpdoc生成php文檔做準備。程序注釋的原則如下：

a． 注釋中除了文件頭的注釋塊外，其他地方都不使用//注釋，而使用/* */的注釋；

b． 注釋內容必須寫在被注釋對象的前面，不寫在一行或者后面；

4.3.1 程序頭注釋塊

每個程序頭部必須有統一的注釋塊，規則如下：

a． 必須包含本程序的描述；

b． 必須包含作者；

c． 必須包含書寫日期；

d． 必須包含版本信息；

e． 必須包含項目名稱；

f． 必須包含文件的名稱；

g． 重要的使用說明，如類的調用方法、注意事項等；

參考例子如下：

《？php

//

// +---------------------------------------------------------+

// | PHP version 4.0 |

// +---------------------------------------------------------+

// | Copyright （c） 1997-2001 The PHP Group |

// +---------------------------------------------------------+

// | This source file is subject to of the PHP license， |

// | that is bundled with this packafile LICENSE， and is |

// | available at through the world-web at |

// | http://www.php.net/license/2_02.txt. |

// | If you did not receive a copy of the and are unable to |

// | obtain it through the world-wide-web，end a note to |

// | license@php.net so we can mail you a immediately. |

// +---------------------------------------------------------+

// | Authors： Stig Bakken 《ssb@fast.no》 |

// | Tomas V.V.Cox 《cox@idecnet.com》 |

// | |

// +---------------------------------------------------------+

//

// $Id： Common.php，v 1.8.2.3 2001/11/13 01:26:48 ssb Exp $

4.3.2 類的注釋

類的注釋采用里面的參考例子方式：

/**

* @ Purpose：

* 訪問數據庫的類，以ODBC作為通用訪問接口

* @Package Name： Database

* @Author： Forrest Gump gump@crtvu.edu.cn

* @Modifications：

* No20020523-100：

* odbc_fetch_into（）參數位置第二和第三個位置調換

* John Johnson John@crtvu.edu.cn

* @See： （參照）

*/

class Database

{

……

}

4.3.3 函數和方法的注釋

函數和方法的注釋寫在函數和方法的前面，采用類似下面例子的規則：

/**

* @Purpose：

* 執行一次查詢

* @Method Name： Query（）

*

* @Param： string $queryStr SQL查詢字符串

* @Param： string $username 用戶名

*

* @Author： Michael Lee

*

* @Return： mixed 查詢返回值（結果集對象）

*/

function（$queryStr，$username）

{……}

4.3.4 變量或者語句注釋

程序中變量或者語句的注釋遵循以下原則：

a． 寫在變量或者語句的前面一行，而不寫在同行或者后面；

b． 注釋采用/* */的方式；

c． 每個函數前面要包含一個注釋塊。內容包括函數功能簡述，輸入/輸出參數，預期的返回值，出錯代碼定義。

d． 注釋完整規范。

e． 把已經注釋掉的代碼刪除，或者注明這些已經注釋掉的代碼仍然保留在源碼中的特殊原因。

f．

例子：

/**

* @Purpose：

* 數據庫連接用戶名

* @Attribute/Variable Name： db_user_name

* @Type： string

*/

var db_user_name;

4.4 其他規范（建議）

4.4.1 php代碼標記

所有的php程序代碼塊標記均使用

4.4.2 程序文件名、目錄名

程序文件名和目錄名命名均采用有意義的英文方式命名，不使用拼音或無意義的字母，同時均必須使用小寫字母，多個詞間使用_間隔。

4.4.3 PHP項目通常的文件目錄結構

建議在開發規范的獨立的PHP項目時，使用規范的文件目錄結構，這有助于提高項目的邏輯結構合理性，對應擴展和合作，以及團隊開發均有好處。

一個完整獨立的PHP項目通常的文件和目錄結構如下：

/ 項目根目錄

/manage 后臺管理文件存放目錄

/css css文件存放目錄

/doc 存放項目文檔

/images 所有圖片文件存放路徑（在里面根據目錄結構設立子目錄）

/scripts 客戶端js腳本存放目錄

/tpl 網站所有html的模版文件存放目錄

/error.php 錯誤處理文件（可以定義到apache的錯誤處理中）

以上目錄結構是通常的目錄結構，根據具體應用的具體情況，可以考慮不用完全遵循，但是盡量做到規范化。

4.4.4 PHP和HTML代碼的分離問題

對性能要求不是很高的項目和應用，我們建議不采用PHP和HTML代碼直接混排的方式書寫代碼，而采用PHP和HTML代碼分離的方式，即采用模版的方式處理，這樣一方面對程序邏輯結構更加清晰有利，也有助于開發過程中人員的分工安排，同時還對日后項目的頁面升級該版提供更多便利。

對于一些特殊情況，比如對性能要求很高的應用，可以不采用模版方式。

4.4.5 PHP項目開發中的程序邏輯結構

對于PHP項目開發，盡量采用OOP的思想開發，尤其在PHP5以后，對于面向對象的開發功能大大提高。

在PHP項目中，我們建議將獨立的功能模塊盡量寫成函數調用，對應一整塊業務邏輯，我們建議封裝成類，既可以提高代碼可讀性，也可以提高代碼重用性。比如，我們通常將對數據庫的接口封裝成數據庫類，有利于平臺的移植。

重復的代碼要做成公共的庫。（除了我們在plug-in產品上遇到的情況，該產品系列有多個相類似的產品，為了盡可能地減少安裝包尺寸，不適合將這些產品共用的所有函數做成公共的庫）

5 特定環境下PHP編碼特殊規范

5.1 變量定義

XXX環境下的php代碼編寫要求所有的變量均需要先申明后使用，否則會有錯誤信息，對于數組，在使用一個不確定的key時，比如先進行isset（）的判斷，然后再使用；比如下面的代碼：

$array ＝ array（）;

$var ＝ isset（$array［3］） ？ $array［3］ ： “”；

5.2 引用的使用

引用在程序中使用比較多，為了公用同一個內存，而不需要另外進行復制，XXX環境下的引用使用時，需要注意下面的情況；

在對函數的輸入參數中使用引用時，不能在調用的時候在輸入參數前加&來引用，而直接使用該變量即可，同時必須在函數定義的時候說明輸入參數來自引用，比如下面的代碼：

$a ＝ 1；

function ab（&$var）

{

$var ++；

return $var；

}

$b ＝ ab（$a） // 注意，此處不能使用 $b ＝ ab（&$a）的方式；

echo $b.”/n”；

echo $a.”/n”；

此時 $a和$b都是2；

XXX環境下對引用的特殊要求源自php.ini文件里面的allow_call_time_pass_reference 項設置， 對外公開的版本是 On ，這樣就可以支持&直接加到調用函數時變量前面進行引用，但是這一方法遭到抗議，并可能在將來版本的PHP/Zend里不再支持。受到鼓勵的指定哪些參數按引用傳遞的方法是在函數聲明里。你被鼓勵嘗試關閉這一選項（使用 off，XXX的所有運行環境下都是off）并確認你的腳本仍能正常工作，以保證在將來版本的語言里它們仍能工作。

5.3 變量的輸入輸出

在XXX環境下，對web通過GET或者POST方法傳遞來的參數均要求進行嚴格的過濾和合法性驗證，不推薦使用直接的$_GET、$_POST或者$_REQUEST獲取，而通過XXX的XXX_yiv模塊提供的方法獲取和過濾處理