pembangunan bahagian belakang
tutorial php
Lebih banyak petua untuk pengaturcaraan pertahanan dalam php
Lebih banyak petua untuk pengaturcaraan pertahanan dalam php
Feb 16, 2025 am 10:34 AM
Bina Aplikasi PHP yang mantap: Strategi Pengaturcaraan Pertahanan
Artikel ini menerangkan kepentingan pengaturcaraan pertahanan dalam pembangunan PHP dan menyediakan beberapa strategi utama untuk meningkatkan keteguhan dan kecekapan aplikasi. Pengaturcaraan pertahanan bukan untuk mengelakkan perkembangan yang didorong oleh ujian, tetapi untuk meramalkan dan mengelakkan titik kegagalan yang berpotensi sebelum masalah berlaku.
mata teras:
- Pengaturcaraan pertahanan direka untuk meramalkan titik kegagalan yang berpotensi dan mengambil langkah -langkah untuk mengelakkan mereka sebelum berlaku.
- "Kegagalan cepat, laporkan ralat dengan kuat" adalah kaedah pengaturcaraan pertahanan yang berkesan. Kesilapan harus muncul awal dan memberi amaran kepada mereka, terutamanya apabila memproses input pengguna atau input dari sistem luaran seperti API.
- Pengesahan input, mencegah tugasan yang tidak dijangka dalam perbandingan, cuba/menangkap pengendalian pengecualian, dan urus niaga pangkalan data adalah aspek utama pengaturcaraan pertahanan.
Definisi pengaturcaraan pertahanan:
Pengaturcaraan pertahanan, hanya meletakkan, adalah untuk program untuk meramalkan titik kegagalan yang berpotensi. Matlamatnya adalah untuk mengelakkan masalah ini sebelum berlaku.
Ramai orang menentang pengaturcaraan pertahanan, tetapi ini sering disebabkan oleh beberapa kaedah pengaturcaraan pertahanan yang mereka lihat. Pengaturcaraan pertahanan tidak boleh dilihat sebagai cara untuk mengelakkan pembangunan yang didorong oleh ujian atau hanya untuk menetapkan kegagalan.
"Kegagalan cepat" tidak boleh dianggap bertentangan dengan pengaturcaraan pertahanan. Kedua -duanya tergolong dalam kategori yang sama. Apakah kaedah ini jika tidak meramalkan kemungkinan kegagalan program dan untuk mencegah atau mengendalikan kegagalan ini dengan betul?
Cepat dengan cepat, laporkan ralat dengan kuat
hanya meletakkan, "gagal dengan cepat, melaporkan kesilapan dengan kuat" bermaksud bahawa apabila ralat berlaku, ia akan berlaku seawal mungkin dan memberi amaran kepada orang yang berkenaan, dan bukannya diam -diam terus berjalan dalam keadaan ralat, yang boleh menyebabkan lebih banyak masalah.Kaedah ini paling berguna apabila memproses input pengguna atau input dari skrip, modul, atau di luar sistem (mis. Melalui API). Satu senario aplikasi adalah untuk memeriksa nilai atau jenis data yang tidak sah yang diserahkan kepada fungsi.
function thisTestFunction($testInt) {
if (!is_int($testInt)) {
// 執(zhí)行某些操作
}
} Salah satu kesilapan bahawa sesetengah pengaturcara menggunakan kaedah "kegagalan cepat" hanya membuang pengecualian dan kesilapan kepada pengguna tanpa mempersiapkan dengan betul untuk mengendalikannya. Anda tidak mahu pengguna purata bimbang atau keliru dengan mesej ralat anda. Lebih penting lagi, anda tidak mahu pengguna jahat mempelajari apa -apa dari maklumat yang dipaparkan kepada mereka. Tunjukkan pengguna mesej yang berguna, log ralat anda, dan lakukan tugas -tugas lain yang perlu disebabkan oleh pengecualian itu. Anda tidak mahu hanya kegagalan cepat, anda juga perlu kuat pengendalian menyebabkan lebih banyak masalah keselamatan).
Pengesahan input
Terdapat banyak cara untuk mengesahkan input pengguna dengan selamat.Penukaran jenis adalah cara yang menarik untuk "mengesahkan" input pengguna. Kadang -kadang ia kelihatan seperti ini:
function thisTestFunction($testInt) {
if (!is_int($testInt)) {
// 執(zhí)行某些操作
}
}
Daripada menggunakan kaedah lain untuk mengelakkan serangan skrip lintas tapak, ia hanya menangkap, menaip penukar dan memberikan nilai. Ini hanya berfungsi jika anda mempunyai jenis yang diharapkan dan apa -apa nilai jenis itu selamat (jika tidak, anda juga perlu menyemak nilai integer yang betul). Saya fikir masalah dengan pendekatan ini (dalam kebanyakan kes) adalah bahawa anda tidak benar -benar memeriksa input , tetapi hanya force ia menjadi apa yang sepatutnya. Ini mungkin mempunyai akibat yang tidak diingini. Sebaliknya, pendekatan yang lebih baik mungkin menggunakan untuk memeriksa nilai yang sesuai. filter_input()
$member->property = (int)$_GET['property'];Terdapat banyak manfaat untuk menggunakan fungsi
asli dalam PHP moden, anda boleh mengetahui lebih lanjut dalam artikel di atas atau pada php.net. filter_input
Mencegah tugasan yang tidak dijangka dalam perbandingan
Ini adalah prinsip pengaturcaraan pertahanan yang mudah dan sering dilihat. Membuat perubahan mudah dalam bagaimana anda membandingkan boleh memberi kesan yang besar. Pertimbangkan situasi berikut:
$member->property = filter_input(INPUT_GET, 'property', FILTER_VALIDATE_INT);
if (false === $member->property) {
throw new Exception('Property was not an int');
} Ini adalah perbandingan yang agak normal, bukan? Tetapi apa yang berlaku jika anda secara tidak sengaja menggunakan "=" bukan "==" (atau, dalam kebanyakan kes, lebih baik "==")? Leret jari mudah di papan kekunci? Lupa, mungkin? Tiba -tiba, perbandingan anda selalu, dalam semua kes, benar. Kecuali IDE anda memberi amaran kepada anda ini, berapa lama masa yang diperlukan untuk anda menemuinya? Dalam sesetengah kes, ini boleh menjadi kesilapan senyap untuk seketika. Walau bagaimanapun, terdapat cara yang sangat mudah untuk mencegahnya:
if ($member->property == 12345) {
// 執(zhí)行很酷的操作
} else {
// 不執(zhí)行任何有趣的操作
} Sekarang, jika anda secara tidak sengaja menggunakan tanda yang sama, ralat tidak akan diam. Jelas sekali, ini mungkin tidak sering berlaku, ia boleh dikurangkan oleh ujian anda dan tidak praktikal dalam semua kes, terutamanya apabila melakukan perbandingan yang berubah-ubah. Tetapi jika anda cenderung berlaku, ini masih bukan idea yang buruk.
mengendalikan cuba/menangkap dan pengecualian
Pernyataan Cuba/Catch adalah satu lagi topik hangat di kalangan pemaju PHP. Mari kita lihat dengan cepat apa yang kita sedang berbincang.
if (12345 == $member->property) {
// 執(zhí)行很酷的操作
} else {
// 不執(zhí)行任何有趣的操作
} Alat yang terkenal untuk pengaturcaraan pertahanan adalah pernyataan percubaan/tangkapan dan kelas pengecualian. Apabila digunakan dengan betul, mereka sangat baik untuk menangkap dan menebus kesilapan. Pengaturcara yang baik akan menggunakan pernyataan percubaan/menangkap untuk meramalkan kesilapan atau situasi lain yang boleh menyebabkan gangguan proses normal. Apabila pengecualian ini berlaku, mereka mesti dikendalikan dengan cara yang sesuai. Sekiranya diperlukan, pengguna aplikasi harus menerima mesej ralat yang munasabah sebagai berguna yang mungkin tanpa membocorkan maklumat sensitif. Pentadbir aplikasi harus menerima makluman terperinci dan/atau log. Pengecualian yang tidak diproses atau diabaikan mengabaikan cadangan "melaporkan kesilapan dengan kuat" dan mungkin membenarkan program itu berada dalam keadaan kesilapan senyap untuk tempoh masa yang bersifat, yang tidak baik untuk mana -mana orang yang terlibat.
Perniagaan
Transaksi adalah ciri pangkalan data yang membolehkan pertanyaan dikumpulkan bersama supaya jika satu pertanyaan gagal, semua pertanyaan gagal. Ini adalah pelaksanaan asid, dan anda boleh membaca lebih lanjut mengenainya di sini. Ideanya ialah menggabungkan pelbagai pertanyaan ke dalam satu proses kadang -kadang boleh menjadi penyelesaian yang lebih selamat dan lebih stabil, terutamanya apabila pertanyaan saling bergantung. Pemaju PHP sering mengabaikan urus niaga sepenuhnya, atau menganggap mereka tidak perlu, tetapi beberapa pengaturcaraan pertahanan boleh pergi jauh apabila berinteraksi dengan pangkalan data. Urus niaga dibincangkan dengan lebih mendalam dalam artikel ini, tetapi secara ringkas, urus niaga membolehkan anda menjalankan kemas kini MySQL dan kemudian periksa hasilnya sebelum keputusan yang sebenar. Jika anda menggunakan PDO (anda sepatutnya), anda boleh memulakan urus niaga menggunakan kaedah PDO, melakukan hasilnya, dan melancarkan kembali. Sebagai tambahan kepada ringkasan urus niaga di atas, mereka boleh dikaji selanjutnya melalui panduan mendalam ini.
Kesimpulan
Ini hanya beberapa helah biasa. Jelas sekali, masing -masing mempunyai tujuannya, dan masing -masing mempunyai keadaan yang penting di mana ia tidak terpakai. Tetapi jika anda memasukkan konsep -konsep ini ke dalam rejim pembangunan sehari -hari anda, ia dapat meningkatkan kecekapan kerja anda. Walaupun ini biasanya topik yang lebih sesuai untuk pemaju yang kini belajar PHP, untuk semua orang, ia adalah kajian semula amalan yang baik.Jika hanya ada satu perkara yang diingati, terutamanya untuk pemaju yang lebih baru, ia adalah bahawa anda harus melakukan pengaturcaraan pertahanan - pelan yang mungkin salah. Mengendalikannya dengan betul. Jangan biarkan kesilapan senyap terus berkembang. Gagal dengan cepat. Uji kod anda. Dengan membina aplikasi yang teguh yang menguji dan menyelesaikan masalah, dan meramalkan dan menangani masalah masa depan, anda boleh menjadikan aplikasi anda lebih dipercayai dan diharapkan dapat membantu membuat pengalaman pengguna yang lebih baik di belakang tabir.
Atas ialah kandungan terperinci Lebih banyak petua untuk pengaturcaraan pertahanan dalam php. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Apakah php, dan mengapa ia digunakan untuk pembangunan web?
Jun 23, 2025 am 12:55 AM
Phpbecamepopularforwebdevelopmentduetoitseaseoflearning, seamlessintegrationwithhtml, widespreadhostingsupport, andalargeecosystemincludingframeworkslikelaravelandcmsplatformsLikeWordPress.itexcelsinhandessubmissions
Bagaimanakah saya tetap terkini dengan perkembangan php terkini dan amalan terbaik?
Jun 23, 2025 am 12:56 AM
Tostaycurrentwithphpdevelopmentsandbestpractices, followeyNewsssourcesLikePhp.netandphpweekly, engageWithCommunitiesonforumsandconference, keeptoolingupdatedandgraduallyAdoptNewFeatures, dan readribcoursourcourceSource
Bagaimana cara menetapkan zon waktu php?
Jun 25, 2025 am 01:00 AM
TosetTheRightTimeZoneinPhp, USEDATE_DEFAULT_TIMEZONE_SET () functionAtthestArtAfyourscriptwithavalididentifiersuchas'america/new_york'.1.usedate_default_timeSet ()
Apakah amalan terbaik untuk menulis kod PHP yang bersih dan boleh dipelihara?
Jun 24, 2025 am 12:53 AM
Kunci untuk menulis kod PHP yang bersih dan mudah dijaga terletak pada penamaan yang jelas, berikutan piawaian, struktur yang munasabah, menggunakan komen dan kesesuaian yang baik. 1. Gunakan pembolehubah, fungsi dan nama kelas yang jelas, seperti $ userData dan calculateToTalPrice (); 2. Ikuti gaya kod bersatu piawai PSR-12; 3. Pecahkan struktur kod mengikut tanggungjawab, dan aturnya menggunakan katalog MVC atau Laravel; 4. Elakkan kod gaya mi dan memecah logik ke dalam fungsi kecil dengan satu tanggungjawab; 5. Tambah komen pada mata utama dan tulis dokumen antara muka untuk menjelaskan parameter, pulangan nilai dan pengecualian; 6. Meningkatkan kebolehlihatan, mengguna pakai suntikan pergantungan, mengurangkan kaedah keadaan global dan statik. Amalan ini meningkatkan kualiti kod, kecekapan kerjasama dan kemudahan pasca penyelenggaraan.
Bagaimana saya melaksanakan pertanyaan SQL menggunakan php?
Jun 24, 2025 am 12:54 AM
Ya, youpanrunsqlqueriesusingphp, danTheProcessinvolveschoosingadatabaseextension, connectingTothedatabase, executingqueriSafely, andclosingconnectionswhendone.todothis, firstChoosebetweBetbeSquLiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpiorpdob
Bagaimana dengan cepat menguji coretan kod PHP?
Jun 25, 2025 am 12:58 AM
Toquicklytestaphpcodesnippet, useanOnlinePhpsandboxlike3v4l.orgorphpize.onlineForInstantExecutionWithoutSetup; runcodelocallywithphpclibycreatinga.phpfileAndexeCuteTerMinal;
Bagaimana untuk menaik taraf versi PHP?
Jun 27, 2025 am 02:14 AM
Menaik taraf versi PHP sebenarnya tidak sukar, tetapi kunci terletak pada langkah -langkah operasi dan langkah berjaga -jaga. Berikut adalah kaedah khusus: 1. Sahkan versi PHP semasa dan persekitaran berjalan, gunakan baris arahan atau fail phpinfo.php untuk dilihat; 2. Pilih versi baru yang sesuai dan pasangnya. Adalah disyorkan untuk memasangnya dengan 8.2 atau 8.1. Pengguna Linux menggunakan pengurus pakej, dan pengguna macOS menggunakan homebrew; 3. Migrasi fail dan sambungan konfigurasi, kemas kini php.ini dan pasang sambungan yang diperlukan; 4. Uji sama ada laman web berjalan secara normal, periksa log ralat untuk memastikan tiada masalah keserasian. Ikuti langkah -langkah ini dan anda boleh berjaya melengkapkan peningkatan dalam kebanyakan situasi.
Bagaimana saya menggunakan caching halaman dalam php?
Jun 24, 2025 am 12:50 AM
PHP Page Caching meningkatkan prestasi laman web dengan mengurangkan beban pelayan dan mempercepatkan beban halaman. 1. Cache fail asas mengelakkan generasi berulang kandungan dinamik dengan menghasilkan fail HTML statik dan menyediakan perkhidmatan semasa tempoh kesahihan; 2. Dayakan Opcache untuk menyusun skrip PHP ke dalam bytecode dan simpannya dalam ingatan, meningkatkan kecekapan pelaksanaan; 3. Bagi halaman dinamik dengan parameter, mereka harus di-cache secara berasingan mengikut parameter URL, dan mengelakkan kandungan khusus pengguna cache; 4. Perpustakaan cache ringan seperti phpfastcache boleh digunakan untuk memudahkan pembangunan dan menyokong pemacu penyimpanan berganda. Menggabungkan kaedah ini secara berkesan dapat mengoptimumkan strategi caching projek PHP.
