PHP 開發(fā)規(guī)范.doc

目錄1、編寫目的32、整體要求43、安全規(guī)范53.1、包含文件53.1.1、命名規(guī)則53.1.2、存放規(guī)則53.2、安全規(guī)則53.3、一些針對PHP的規(guī)則53.4、其它處理規(guī)則53.4.1、輸入?yún)?shù)處理53.4.2、操作大HTML文本54、編碼規(guī)范64.1、命名規(guī)范64.1.1、變量命名64.1.2、類命名64.1.3、方法或函數(shù)64.1.4、縮寫詞64.1.5、數(shù)據(jù)庫表名64.1.6、數(shù)據(jù)庫字段64.2、書寫規(guī)則64.2.1、代碼縮進64.2.2、大括號書寫規(guī)則64.2.3、小括號()和函數(shù)、關(guān)鍵詞等64.2.4、=符號書寫64.2.5、if else swith for while等書寫64.2.6、類的構(gòu)造函數(shù)64.2.7、語句斷行64.2.8、數(shù)字64.2.9、判斷64.2.10、避免嵌入賦值64.2.11、錯誤返回檢測規(guī)則64.3、程序注釋64.3.1、程序頭注釋塊64.3.2、類的注釋64.3.3、函數(shù)和方法的注釋64.3.4、變量或者語句注釋64.4、其它規(guī)范64.4.1、PHP代碼標記64.4.2、程序文件名、目錄名64.4.3、PHP項目通常的文件目錄結(jié)構(gòu)64.4.4、PHP和HTML代碼的分離問題64.4.5、PHP項目開發(fā)中的程序邏輯結(jié)構(gòu)65、特定環(huán)境下PHP編碼特殊規(guī)范75.1、變量定義75.2、引用的使用75.3、變量的輸入輸出71、編寫目的為了更好的提高技術(shù)部的工作效率，保證開發(fā)的有效性和合理性，并可最大程度的提高程序代碼的可讀性和可重復利用性，指定此規(guī)范。開發(fā)團隊根據(jù)自己的實際情況，可以對本規(guī)范進行補充或裁減。1、程序員可以了解任何代碼，弄清程序的狀況；2、新人可以很快的適應環(huán)境；3、防止新接觸PHP的人出于節(jié)省時間的需要，自創(chuàng)一套風格并養(yǎng)成終生的習慣；4、防止新接觸PHP的人一次次的犯同樣的錯誤；5、在一致的環(huán)境下，人們可以減少犯錯的機會；6、程序員們有了一致的敵人； 2、整體要求技術(shù)部php開發(fā)規(guī)范將參照PEAR的規(guī)范，基本采用PEAR指定的規(guī)范，在其基礎(chǔ)上增加、修改或刪除部分適合具體開發(fā)環(huán)境的規(guī)范。本規(guī)范只針對PHP開發(fā)過程中編碼的規(guī)范，對于PHP開發(fā)項目中文件、目錄、數(shù)據(jù)庫等方面的規(guī)范，將不重點涉及。本規(guī)范包含了PHP開發(fā)時程序編碼中命名規(guī)范、代碼縮進規(guī)則、控制結(jié)構(gòu)、函數(shù)調(diào)用、函數(shù)定義、注釋、包含代碼、PHP標記、文件頭的注釋塊、CVS標記、URL樣例、常量命名等方面的規(guī)則。3、安全規(guī)范當我們嘗試編碼時，很多時候不知道如何去讓自己的代碼變得安全一點，因為我們?nèi)狈Π踩ＷR，安全常識的規(guī)范可以幫你杜絕一些日常的菜鳥黑客的攻擊，卻不能阻止骨灰級專家們的凌厲攻勢，所以更高深的安全我們還得從其他途徑學習。3.1、包含文件PHP文件的包含在通過PHP的函數(shù)引入文件時，由于傳入的文件名沒有經(jīng)過合理的校驗，從而操作了預想之外的文件，就可能導致意外的文件泄露甚至惡意的代碼注入。3.1.1、命名規(guī)則提取出來具有通用函數(shù)的包含文件，文件后綴以 .inc 來命名，表明這是一個包含文件。如果有多個 .inc 文件需要包含多頁面，請把所有 .inc 文件封裝在一個文件里面，具體到頁面只需要包換一個 .inc 文件就可以了。如： xxx_session.inc 、 xxx_comm.inc 、 xxx_setting.inf 、 myssql_db.inc 。把以上文件以以下方式，封裝在 xxx.basic.inc 文件里面：require_once(xxx_session.inc);require_once(xxx_comm.inc);require_once(xxx_setting.inc);require_once(mysql_db.inc);注意：是否需要封裝到一個文件，視情況而定，如果每個 inc 的功能是分散到不同的頁面使用的話，就不建議封裝。3.1.2、存放規(guī)則一般包含文件不需要直接暴露給用戶，所以應該放在 Web Server 訪問不到的目錄，避免因為配置問題而泄露設(shè)置信息。3.2、安全規(guī)則請參考產(chǎn)品安全檢查表。輸入和輸出： 檢查是否做了HTML代碼的過濾可能出現(xiàn)的問題：如果有人輸入惡意的HTML代碼，會導致竊取cookie, 產(chǎn)生惡意登錄表單，和破壞網(wǎng)站。檢查變量做數(shù)據(jù)庫操作之前是否做了 escape 可能出現(xiàn)的問題：如果一個要寫入查詢語句的字符串變量包含了某些特殊的字符，比如引號(,)或者分號(;) 可能造成執(zhí)行了預期之外的操作。建議采用的方法：使用 mysql_escape_string() 或?qū)崿F(xiàn)類似功能的函數(shù)。檢查輸入數(shù)值的合法性可能出現(xiàn)的問題：異常的數(shù)值會造成問題。如果對輸入的數(shù)值不做檢查會造成不合法的或者錯誤的數(shù)據(jù)存入UDB、存入其它的數(shù)據(jù)庫或者導致意料之外的程序操作發(fā)生。舉例：如果程序以用戶輸入的參數(shù)值做為文件名，進行文件操作，惡意輸入系統(tǒng)文件名會造成系統(tǒng)損毀。核實對cookie的使用以及對用戶數(shù)據(jù)的處理可能出現(xiàn)的問題：不正確的cookie使用可能造成用戶數(shù)據(jù)泄漏。訪問控制對內(nèi)部使用的產(chǎn)品或者供合作方使用的產(chǎn)品，要考慮增加訪問控制。logs確保用戶的保密信息沒有記在log中(例如：用戶的密碼)；確保對關(guān)鍵的用戶操作保存了完整的用戶訪問記錄。https對敏感數(shù)據(jù)的傳輸要采用https。3.3、一些針對PHP的規(guī)則設(shè)置 register_globals = off ;設(shè)置 error_reporting = E_ALL ，并且要修正所有的 error 和 warning ;將實際的操作放在被引用的文件中。把引用文件放到不可以被直接瀏覽的目錄下。 register_globals 已自 PHP 5.3.0 起廢棄并將自 PHP 5.4.0 起移除。3.4、其它處理規(guī)則其它處理規(guī)則3.4.1、輸入?yún)?shù)處理頁面接到參數(shù)需要SQL操作，這時候需要做轉(zhuǎn)義，尤其需要注意“”。如：$a = Lets go ;$sql = Insert into tmp(col) values($a);這種情況出現(xiàn)錯誤的不確定性。3.4.2、操作大HTML文本很多時候需要存放一大段HTML文本供頁面使用，象用戶定制頁頭頁腳等。需要剔除腳本標記，避免執(zhí)行惡意php代碼。轉(zhuǎn)換“”號，保證代碼完整 HTML 文本。4、編碼規(guī)范對代碼文件及代碼進行規(guī)范化。4.1、命名規(guī)范制定統(tǒng)一的命名規(guī)范對于項目開發(fā)來說非常重要，不但可以養(yǎng)成程序員一個良好的開發(fā)習慣，還能增加程序的可讀性、可移植性和可重用性，還能很好的提高項目開發(fā)的效率。4.1.1、變量命名*變量命名分為普通變量、靜態(tài)變量、局部變量、全局變量、Session變量等方面的命名規(guī)則。1.普通變量普通變量命名遵循以下規(guī)則：a所有字母都使用小寫；b對于一個變量使用多個單詞的，使用 _ 作為每個詞的間隔。 例如： $base_dir 、 $red_rose_price 等。2.靜態(tài)變量靜態(tài)變量命名遵循以下規(guī)則：a靜態(tài)變量使用小寫的 s_ 開頭；b靜態(tài)變量所有字母都使用小寫；c多個單詞組成的變量名使用 _ 作為每個詞的間隔。例子： $s_base_dir 、 $s_red_rose_prise 等。3.局部變量局部變量命名遵循以下規(guī)則：a所有字母使用小寫；b變量使用 _ 開頭；c多個單詞組成的局部變量名使用 _ 作為每個詞間的間隔。例子： $_base_dir 、 $_red_rose_price 等。4.全局變量全局變量應該帶前綴 G_ 且所有字母大寫,知道一個變量的作用域是非常重要的。例如： global $G_LOG_LEVEL;global $G_LOG_PATH;5.全局常量全局變量命名遵循以下規(guī)則：a所有字母使用大寫；b全局變量多個單詞間使用 _ 作為間隔。例子： define(BASE_DIR,/base/dir/);define(RED_ROSE_PRICE,20.0);6.session變量session變量命名遵循以下規(guī)則：a所有字母使用大寫；bsession變量名使用 S_ 開頭；c多個單詞間使用 _ 間隔。例子： $S_BASE_DIR 、 $S_RED_ROSE_PRICE 等。4.1.2、類命名PHP中類命名遵循以下規(guī)則：a以大寫字母開頭；b多個單詞組成的變量名，單詞之間不用間隔，各個單詞首字母大寫。例子： class MyClass 或 class DbOracle 等。4.1.3、方法或函數(shù)方法或函數(shù)命名遵循以下規(guī)則：a首字母小寫；b多個單詞間不使用間隔，除第一個單詞外，其他單詞首字母大寫。例子： function myFunction() 或 function myDbOracle() 等。4.1.4、縮寫詞當變量名或者其他命名中遇到縮寫詞時，參照具體的命名規(guī)則，而不采用縮寫詞原來的全部大寫的方式。例子： function myPear （不是myPEAR） functio getHtmlSource （不是getHTMLSource）。4.1.5、數(shù)據(jù)庫表名數(shù)據(jù)庫表名命名遵循以下規(guī)范：a表名均使用小寫字母；b對于普通數(shù)據(jù)表，使用 _t 結(jié)尾；c對于視圖，使用 _v 結(jié)尾；d對于多個單詞組成的表名，使用 _ 間隔；例子： user_info_t 和 book_store_v 等。4.1.6、數(shù)據(jù)庫字段數(shù)據(jù)庫字段命名遵循以下規(guī)范：a全部使用小寫；b多個單詞間使用 _ 間隔。例子： user_name 、 rose_price 等。4.2、書寫規(guī)則書寫規(guī)則是指在編寫 PHP 程序時，代碼書寫的規(guī)則，包括縮進、結(jié)構(gòu)控制等方面規(guī)范。4.2.1、代碼縮進在書寫代碼的時候，必須注意代碼的縮進規(guī)則，我們規(guī)定代碼縮進規(guī)則如下：a使用4個空格作為縮進，而不使用tab縮進（對于 ultraedit ，可以進行預先設(shè)置）。例子：for ( $i=0;$i$count;$i+ ) echo test;4.2.2、大括號書寫規(guī)則在程序中進行結(jié)構(gòu)控制代碼編寫，如 if 、 for 、 while 、 switch 等結(jié)構(gòu)，大括號傳統(tǒng)的有兩種書寫習慣，分別如下：a 直接跟在控制語句之后，不換行，如：for ( $i=0;$i$count;$i+ ) echo test;b 在控制語句下一行，如： for ( $i=0;$count;$i+ ) echo test;其中，a是 PEAR 建議的方式，但是從實際書寫中來講，這并不影響程序的規(guī)范和影響用 phpdoc 實現(xiàn)文檔，所以可以根據(jù)個人習慣來采用上面的兩種方式，但是要求在同一個程序中，只使用其中一種，以免造成閱讀的不方便。為了統(tǒng)一書寫，請使用 a 的書寫方式。4.2.3、小括號()和函數(shù)、關(guān)鍵詞等小括號、關(guān)鍵詞和函數(shù)遵循以下規(guī)則：a不要把小括號和關(guān)鍵詞緊貼在一起，要用一個空格間隔；如 if ( $a$b ) ；b小括號和函數(shù)名間沒有空格；如 $test = date(ymdhis) ；c除非必要，不要在 Return 返回語句中使用小括號。 如 Return $a ；4.2.4、=符號書寫在程序中 = 符號的書寫遵循以下規(guī)則：a在 = 符號的兩側(cè)，均需留出一個空格；如 $a = $b 、 $a = test 等；b在 = 符號與 ! 、 = 、 等符號相鄰時，不需留一個空格；如 if ( $a = $b ) 、 if ( $a != $b ) 等；c在一個申明塊，或者實現(xiàn)同樣功能的一個塊中，要求 = 號盡量上下對其，左邊可以為了保持對齊使用多個空格，而右邊要求空一個空格；如下例： $testa = $aaa;$testaa = $bbb;$testaaa = $ccc;4.2.5、if else swith for while等書寫對于控制結(jié)構(gòu)的書寫遵循以下規(guī)則：a在 if 條件判斷中，如果用到常量判斷條件，將常量放在等號或不等號的左邊，例如： if ( 6 = $errorNum ) ,因為如果你在等式中漏了一個等號，語法檢查器會為你報錯，可以很快找到錯誤位置，這樣的寫法要注意；b switch 結(jié)構(gòu)中必須要有 default 塊；c在 for 和 wiile 的循環(huán)使用中，要警惕 continue 、 break 的使用，避免產(chǎn)生類似 goto 的問題；4.2.6、類的構(gòu)造函數(shù)如果要在類里面編寫構(gòu)造函數(shù)，必須遵循以下規(guī)則：a不能在構(gòu)造函數(shù)中有太多實際操作，頂多用來初始化一些值和變量；b不能在構(gòu)造函數(shù)中因為使用操作而返回 false 或者錯誤，因為在聲明和實例化一個對象的時候，是不能返回錯誤的；4.2.7、語句斷行在代碼書寫中，遵循以下原則：a盡量保證程序語句一行就是一句，而不要讓一行語句太長產(chǎn)生折行；b盡量不要使一行的代碼太長，一般控制在120個字符以內(nèi)；c如果一行代碼太長，請使用類似 .= 的方式斷行書寫；d對于執(zhí)行數(shù)據(jù)庫的 sql 語句操作，盡量不要在函數(shù)內(nèi)寫 sql 語句，而先用變量定義 sql 語句，然后在執(zhí)行操作的函數(shù)中調(diào)用定義的變量；例子：$sql = SELECT username,password,address,age,postcode FROM test_t ;$sql .= WHERE username=aaa;$res = mysql_query($sql);4.2.8、數(shù)字一個在源代碼中使用了的赤裸裸的數(shù)字是不可思議的數(shù)字，因為包括作者，在三個月內(nèi)，沒人知道它的含義。例如： if ( 22 = $foo ) start_thermo_nuclear_war(); elseif ( 19 = $foo) refund_lotso_money(); else cry_cause_in_lost();你應該用 define() 來給你想表示某樣東西的數(shù)值一個真正的名字，而不是采用赤裸裸的數(shù)字，例如： define(PRESIDENT_WENT_CRAZY, 22);define(WE_GOOFED, 19);define(THEY_DIDNT_PAY, 16);if ( PRESIDENT_WENT_CRAZY = $foo ) start_thermo_nuclear_war(); elseif ( WE_GOOFED = $foo) refund_lotso_money(); elseif ( THEY_DIDNT_PAY = $foo ) infinite_loop(); else cry_cause_in_lost();4.2.9、判斷遵循以下規(guī)則：a不能使用 1/0 代替 true/false ，在 PHP 中，這是不相等的；b不要使用非零的表達式、變量或者方法直接進行 true/false 判斷，而必須使用嚴格的完整 true/false 判斷；如：不使用 if ( $a ) 或者 if ( checka() ) 而使用 if ( FALSE != $a ) 或者 if ( FALSE != check() ) 。4.2.10、避免嵌入賦值在程序中避免下面例子中的嵌入式賦值：不使用這樣的方式： while ( $a != ( $c = getchar() ) ) process the character4.2.11、錯誤返回檢測規(guī)則檢查所有的系統(tǒng)調(diào)用的錯誤信息，除非你要忽略錯誤。為每條系統(tǒng)錯誤消息定義好系統(tǒng)錯誤文本，并記錄錯誤 LOG 。4.3、程序注釋每個程序均必須提供必要的注釋，書寫注釋要求規(guī)范，參照 PEAR 提供的注釋要求，為今后利用 phpdoc 生成 PHP 文檔做準備。程序注釋的原則如下：a注釋中除了文件頭的注釋塊外，其他地方都不使用 / 注釋，而使用 /* */ 的注釋；b注釋內(nèi)容必須寫在被注釋對象的前面，不寫在一行或者后面；4.3.1、程序頭注釋塊每個程序頭部必須有統(tǒng)一的注釋塊，規(guī)則如下：a必須包含本程序的描述；b必須包含作者；c必須包含書寫日期；d必須包含版本信息；e必須包含項目名稱；f必須包含文件的名稱；g重要的使用說明，如類的調(diào)用方法、注意事項等；參考例子如下： / +-+/ | PHP version 4.0/ +-+/ | Copyright (c) 1997-2001 The PHP Group/ +-+/ | This source file is subject to of the PHP license,/ | that is bundled with this packafile LICENSE, and is/ | available at through the world-web at/ | /license/2_02.txt./ | If you did not receive a copy of the and are unable to/ | obtain it through the world-wide-web,end a note to/ | so we can mail you a immediately./ +-+/ | Authors: Stig Bakken/ | Tomas V.V.Cox/ +/ $Id: Common.php,v 2001/11/13 01:26:48 ssb Exp $4.3.2、類的注釋類的注釋采用里面的參考例子方式：/* * Purpose: * 訪問數(shù)據(jù)庫的類，以O(shè)DBC作為通用訪問接口 * Package Name: Database * Author: Forrest Gump * Modifications: * No20020523-100: * odbc_fetch_into()參數(shù)位置第二和第三個位置調(diào)換 * John Johnson J * See: (參照) */class Database .4.3.3、函數(shù)和方法的注釋函數(shù)和方法的注釋寫在函數(shù)和方法的前面，采用類似下面例子的規(guī)則：/* * Purpose: * 執(zhí)行一次查詢 * Method Name: query() * * Param: string $queryStr SQL查詢字符串 * Param: string $username 用戶名 * * Author: Michael Lee * * Return: mixed 查詢返回值（結(jié)果集對象） */function query （ $queryStr, $username ） .4.3.4、變量或者語句注釋程序中變量或者語句的注釋遵循以下原則：a寫在變量或者語句的前面一行，而不寫在同行或者后面；b注釋采用 /* */ 的方式；c每個函數(shù)前面要包含一個注釋塊。內(nèi)容包括函數(shù)功能簡述，輸入/輸出參數(shù)，預期的返回值，出錯代碼定義；d注釋完整規(guī)范；e把已經(jīng)注釋掉的代碼刪除，或者注明這些已經(jīng)注釋掉的代碼仍然保留在源碼中的特殊原因。例子：/* * Purpose: * 數(shù)據(jù)庫連接用戶名 * Attribute/Variable Name: db_user_name * Type: string */var db_user_name;4.4、其它規(guī)范4.4.1、PHP代碼標記所有的PHP程序代碼塊標記均使用 ?php ，不使用短標記 ? 。4.4.2、程序文件名、目錄名程序文件名和目錄名命名均采用有意義的英文方式命名，不使用拼音或無意義的字母，同時均必須使用小寫字母，多個詞間使用 _ 間隔。4.4.3、PHP項目通常的文件目錄結(jié)構(gòu)建議在開發(fā)規(guī)范的獨立的PHP項目時，使用規(guī)范的文件目錄結(jié)構(gòu)，這有助于提高項目的邏輯結(jié)構(gòu)合理性，對應擴展和合作，以及團隊開發(fā)均有好處。一個完整獨立的PHP項目通常的文件和目錄結(jié)構(gòu)如下： / 項目根目錄 /manage 后臺管理文件存放目錄 /css css文件存放目錄 /doc 存放項目文檔 /images 所有圖片文件存放路徑（在里面根據(jù)目錄結(jié)構(gòu)設(shè)立子目錄） /scripts 客戶端js腳本存放目錄 /tpl 網(wǎng)站所有html的模版文件存放目錄 /error.php 錯誤處理文件（可以定義到apache的錯誤處理中）以上目錄結(jié)構(gòu)是通常的目錄結(jié)構(gòu)，根據(jù)具體應用的具體情況，可以考慮不用完全遵循，但是盡量做到規(guī)范化。4.4.4、PHP和HTML代碼的分離問題對性能要求不是很高的項目和應用，我們建議不采用 PHP 和 HTML 代碼直接混排的方式書寫代碼，而采用 PHP 和 HTML 代碼分離的方式，即采用模版的方式處理，這樣一方面對程序邏輯結(jié)構(gòu)更加清晰有利，也有助于開發(fā)過程中人員的分工安排，同時還對日后項目的頁面升級該版提供更多便利。對于一些特殊情況，比如對性能要求很高的應用，可以不采用模版方式。4.4.5、PHP項目開發(fā)中的程序邏輯結(jié)構(gòu)對于 PHP 項目開發(fā)，盡量采用 OOP 的思想開發(fā)，尤其在 PHP5 以后，對于面向?qū)ο蟮拈_發(fā)功能大大提高。在 PHP 項目中，我們建議將獨立的功能模塊盡量寫成函數(shù)調(diào)用，對應一整塊業(yè)務邏輯，我們