@原文url:摘录自微擎开发文档 http://www.kancloud.cn/donknap/we7/136556
* 星号表示重点遵守的
前言
请调整您的编辑器文件编码为 UTF-8,并关闭 UTF-8 BOM((Byte Order Mark))的功能。切记请不要使用windows自带的记事本编辑项目文件。
注意:请确认你的编辑器不会有意或无意的保存文件为 UTF-8 BOM 格式, 否则可能造成微擎系统通信不正常。
缩进
每个缩进的单位约定是一个Tab(禁止设置为空格替代,Tab宽度应表示为4个空白字符宽度),需每个参与项目的开发人员在编辑器
(UltraEdit、EditPlus、ZendStudio等)中进行强制设定,以防在编写代码时遗忘而造成格式上的不规范。
代码标记
PHP程序需使用 <?php ?> 来界定 PHP 代码,在HTML页面中嵌入纯变量时,可以使用 <?php echo $variablename;?> 这样的形式。
注意:为了使代码规范化和标准化,微擎开发中禁止使用 <? ?> 和 <?=$variablename?> 这种速记形式。
注释
注释是对于那些容易忘记作用的代码添加简短的介绍性内容。请使用 C 样式的注释“/* */”和标准 C++ 注释“//”。
* //debug
开发留下的临时代码和调试代码必须添加注释,以免日后遗忘。所有临时性、调试性、试验性的代码,必须添加统一的注释标记“//debug”并后跟完整的注释信息,
这样可以方便在程序发布和最终调试前批量检查程序中是否还存在有疑问的代码。
例如:
$num = 1;
$flag = TRUE; //debug 这里不能确定是否需要对$flag进行赋值
if(empty($flag)) {
//Statements
}
* 书写规则(即第一个大括号不换行。)
大括号{}、if和switch,首括号与关键词同行,尾括号与关键字同列;
if 结构中,else 和 elseif 与前后两个大括号同行,左右各一个空格。另外,即便 if 后只有一行语句,仍然需要加入大括号,以保证结构清晰;switch 结构
中,通常当一个 case 块处理后,将跳过之后的 case 块处理,因此大多数情况下需要添加 break。break 的位置视程序逻辑,与 case 同在一行,或新起一行均可,
但同一 switch 体中,break 的位置格式应当保持一致。
以下是符合上述规范的例子:
if ($condition) {
//Statements
} else {
switch ($str) {
case 'abc':
$result = 'abc';
break;
default:
$result = 'unknown';
break;
}
}
* 运算符、小括号、空格、关键词和函数
每个运算符与两边参与运算的值或表达式中间要有一个空格; 正确:x + y ,错误:x+y
左括号“(” 应和函数关键词紧贴在一起,除此以外应当使用空格将“(”同前面内容分开; 正确:function(),$test = ( x + y ) 错误:function () ,$test=(x+y)
右括号“)”除后面是“)”,其他一律用空格隔开它们; 正确:)) $test = str( x ) . $str; 错误:) ) $test=str(x).$str;
除字符串中特意需要,一般情况下,在程序以及HTML中不出现两个连续的空格;
任何情况下,PHP程序中不能出现空白的带有TAB或空格的行,即:这类空白行应当不包含任何TAB或空格。同时,任何程序行尾也不能出现多余的TAB或空格;
每段较大的程序体,上、下应当加入空白行,两个程序块之间只使用1个空行,禁止使用多行。
程序块划分尽量合理,过大或者过小的分割都会影响他人对代码的阅读和理解。一般可以以较大函数定义、逻辑结构、功能结构来进行划分。少于15行的程序块,可不加上下空白行;
说明或显示部分中,内容如含有中文、数字、英文单词混杂,应当在数字或者英文单词的前后加入空格。
$result = (($a + 1) * 3 / 2 + $num)) . 'Test';
$condition ? func1($var) : func2($var);
$condition ? $long_statement : $another_long_statement;
if ($flag) {
//Statements
//More than 15 lines
}
showmessage('请使用 restore.php 工具恢复数据。');
函数定义
参数的名字和变量的命名规范一致;
函数定义中的左小括号,与函数名紧挨,中间无需空格;
开始的左大括号与函数定义为同一行,中间加一个空格,不要另起一行;
具有默认值的参数应该位于参数列表的后面;
函数调用与定义的时候参数与参数之间加入一个空格;
必须仔细检查并切实杜绝函数起始缩进位置与结束缩进位置不同的现象;
例如,符合标准的定义:
function message($string, $operation, $key = '') {
if ($flag) {
//Statement
}
//函数体
}
不符合标准的定义:
function authcode($string,$operation,$key = '')
{
//函数体
}
* 引号
由于PHP中单引号和双引号具有不同的含义,因此在使用时有如下原则:
在能使用单引号的情况下,禁止使用双引号。
字符串为固定值,不包含换号、制表等特殊转义时,需使用单引号。
字符串作为数据索引时,需使用单引号。
字符串不需要带入变量,需使用单引号。
数据库SQL语句一律使用双引号,SQL语句中所有数据必须加单引号,无论数值还是字串,以避免可能的注入漏洞和SQL错误。
$sql = "UPDATE " . tablename('members') . " SET adminid='1' WHERE AND adminid='2'";
数据库操作
为保证数据操作安全,数据库操作有以下处理及书写原则:
所有数据库操作时必须使用PDO操作
所有SQL查询关键字大写,方便代码审查
所有SQL对象(表名,字段名,索引名等)必须用反引号(tab上边那个键)包括
所有编码参数查询,必须使用PDO的参数绑定机制处理
不能绑定参数处理的查询(唯一的例外是 IN () 语句),必须处理好变量检测及字符串转义
这是一个完整的数据库操作示例:
$tids = array();
if (!empty($_GPC['select'])) {
foreach ($_GPC['select'] as $t) {
$tids[] = intval($t); //---- 必须将输入参数转换为无安全隐患的格式,数字列必须转换为数字列,字符串列必须使用 addslashes
}
}
if (!empty($tids)) {
$sql = 'SELECT * FROM ' . tablename('trades') . ' WHERE `username`=:username AND `tid` IN (' . implode($tids) . ')';
$pars = array();
$pars[':username'] = $_GPC['username'];
$trades = pdo_fetchall($sql, $pars);
}
* 命名原则
* 变量、函数名
变量、函数名一律为小写格式;
以标准计算机英文为蓝本,杜绝一切拼音、或拼音英文混杂的命名方式;
变量命名只能使用项目中有据可查的英文缩写方式,例如可以使用 $data 而不可使用 $data1、$data2 这样容易产生混淆的形式,应当使用 $trade、$product 这样一目了然容易理解的形式;
可以合理的对过长的命名进行缩写,例如 $bio($biography),$tpp($threadsPerPage),前提是英文中有这样既有的缩写形式,或字母符合英文缩写规范;
必须清楚所使用英文单词的词性,在权限相关的范围内,大多使用 $allowXxx 或 $isXxx 的形式,前者后面接动词,后者后面接形容词。
变量名标识符不应当使用下划线“_”进行分割,函数名根据需要可按照模块单元名称使用下划线添加前缀,以实现命名空间的效果。但每个函数名标识符尽量避免出现三个以上的下划线。
* 类和接口名
类和接口的命名采用混合大小写字母的Pascal命名法
具体描述为:首字母大写,后续的每个单词也需要大写首字母。如:MySQLConnector、CacheProvider。
接口的命名与类相似,但需要以大写字母“I”开头,以作区分。
对象成员的命名则采用混合大小写字母的Camel命名法
具体描述为:公有成员及保护成员应首字母小写,后续的每个单词首字母大写
私有成员除需保持共有成员的命名方式外,还需要以下划线“_”开头,以作区分。
JavaScript代码
JavaScript中类和全局对象应使用混合大小写字母的Pascal命名法
具体描述为:首字母大写,后续的每个单词也需要大写首字母。如:MySQLConnector、CacheProvider。
JavaScript中变量、函数名应采用混合大小写字母的Camel命名法。
具体描述为首字母小写,后续的每个单词首字母大写
常量
常量应该总是全部使用大写字母命名,必要的情况下,可使用划线来分隔单词;
PHP 的内建值 true、false 和null必须全部采用小写字母书写。
* 变量的初始化与逻辑检查
任何变量在进行累加、直接显示或存储前必需进行初使化 ,例如:
$number = 0; // 数值型初始化
$string = ''; // 字符串初始化
$array = array(); // 数组初始化
判断一个无法确定(不知道是否已被赋值)的变量时,可用empty()或isset(),而不要直接使用if($switch)的形式。
empty()和isset()的区别为:请参阅PHP手册。
如果已经使用 unset() 释放了一个变量之后,它将不再是 isset()。若使用 isset() 测试一个被设置成 NULL 的变量,将返回 FALSE。同时要注意的是一个 NULL 字节("\0")并不等同于 PHP 的 NULL 常数。
判断一个变量是否为数组,请使用is_array(),这种判断尤其适用于对数组进行遍历的操作,例如foreach(),因为如果不事先判断,foreach()会对非数组类型的变量报错;
判断一个数组元素是否存在,可使用isset($array['key']),也可使用empty()。
安全性
PHP中的变量不并不像C语言那样需要事先声明,解释器会在第一次使用时自动创建他们,同样类型也不需要指定,解释器会根据上下文环境自动确定。从开发人员的角度来看,这无疑是一种极其方便的处理方法。一个变量被创建了,就可以在程序中的任何地方使用。这导致的结果就是开发人员工经常不注意初始化变量。因此,为了提高程序的安全性,我们不能相信任何没有明确定义的变量。所有的变量在定义使用前要初使化以防止恶意构造提交的变量覆盖程序中使用的变量。
不要相信任何客户端提交的数据是安全的。(包括:$_GET、$_POST、$_COOKIE、$_FILES、$_SERVER、$_REQUEST)
* 其他细节问题
包含调用
包含调用程序文件,请尽量使用require,以保证效率。必要情况下,如难以避免的重复调用时可以使用require_once。
包含调用缓存文件,由于缓存文件无法保证100%正确打开,请使用 include_once 或 include。在必要时,可以使用 @include_once 或 @include 的方式,以忽略错误提示;
包含和调用代码中,须以 IA_ROOT . '/'开头,应避免直接写程序文件名(例如:require_once 'x.php';)的做法;
所有被包含和调用的程序文件,包括但不限于程序、缓存或模板,通常其不能被直接URL请求。程序通过在 IA_ROOT/source/bootstrap.inc.php中定义一个标记性常量IN_IA,来判断程序是否被合法调用。因此,在除了IA_ROOT/source/bootstrap.inc.php以外的任何一个被包含和调用的程序文件中,需要包含以下内容,以使得访问者无法直接通过URL请求该文件:
if (!defined('IN_IA')) {
exit('Access Denied');
}
错误报告级别(这里是微擎的设置)
在软件开发和调试阶段,修改 /data/config.php 中的 $config['setting']['development'] = 1;,打开错误报告以便能够报告程序中所有的错误、警告和提示信息,以帮助开发者检查和核对代码,避免大多数安全性问题和逻辑错误、拼写错误。
在软件发布时,请修改 /data/config.php 中的 $config['setting']['development'] = 0;,来关闭错误报告,以利于用户使用并将无谓错误提示信息降至最低。
其他注意要点
正则表达式操作请使用perl兼容正则表达式,即preg_ 系列的函数。以提升效率。
尽量使用高版本的函数。
本项目(微擎)不使用命名空间,因此需要按照传统的方式使用文件名和文件夹来规划代码结构。
文件命名
所有包含PHP代码的程序文件或半程序文件,应以小写.php作为扩展名,而不要使用.phtml、.php3、.inc、.class等作为扩展名。
目录中如果包含多个词组,用中横线(-)分隔
普通程序
能够被URL直接调用的程序,例如home.php、index.php、forum.php,直接使用程序名+.php的方式命名
函数库和类库程序
分别以小写 xxxx.func.php 和 xxxx.class.php的格式命名书写。函数库和类库程序只能被其他程序引用,而不能独立运行。其中不能包含任何流程性的、不属于任何函数或类的程序代码。
模板源文件
以小写.html作为扩展名。模板源文件按照微擎模板机制编码规则进行编写,不是可以执行的程序,而只能被微擎模板模板编译器所解析。
浙公网安备 33010602011771号