這些年來多從事Linux下PHP和C相關的開發,帶過很多專案和團隊,下面是根據經驗整理的PHP編碼規範,可以用作給大家的範例和參考,根據需要進行取捨和修改!
(可能最新的一些php5的規範不夠完整,今後有機會保持更新!)
目錄
1 編寫目的
2 整體要求
3 安全規範
3.1 包含檔案
3.1.1 命名規則
3.1.2 存放規則
3.2 安全規則
3.3 一些針對PHP的規則
3.4 其它處理規則
3.4.1 對輸入引數值進行轉義處理
3.4.2 操作大HTML文字
4 編碼規範
4.1 命名規範
4.1.1 變數命名
4.1.2 類
4.1.3 方法或函式
4.1.4 縮寫詞
4.1.5 資料庫表名
4.1.6 資料庫欄位
4.2 書寫規則
4.2.1 程式碼縮排
4.2.2 大括號{ }書寫規則
4.2.3 小括號( )和函式、關鍵詞等
4.2.4 =符號書寫
4.2.5 if else swith for while等書寫
4.2.6 類的建構函式
4.2.7 語句斷行, 每行控制在80個字元以內
4.2.8 不要不可思議的數字
4.2.9 true/false和0/1判斷
4.2.10 避免嵌入式賦值
4.2.11 錯誤返回檢測規則
4.3 程式註釋
4.3.1 程式頭註釋塊
4.3.2 類的註釋
4.3.3 函式和方法的註釋
4.3.4 變數或者語句註釋
4.4 其他規範(建議)
4.4.1 php程式碼標記
4.4.2 程式檔名、目錄名
4.4.3 PHP專案通常的檔案目錄結構
4.4.4 PHP和HTML程式碼的分離問題
4.4.5 PHP專案開發中的程式邏輯結構
5 特定環境下PHP編碼特殊規範
5.1 變數定義
5.2 引用的使用
5.3 變數的輸入輸出
1 編寫目的
為了更好的提高技術部的工作效率,保證開發的有效性和合理性,並可最大程度的提高程式程式碼的可讀性和可重複利用性,指定此規範。開發團隊根據自己的實際情況,可以對本規範進行補充或裁減。
2 整體要求
技術部php開發規範將參照PEAR的規範,基本採用PEAR指定的規範,在其基礎上增加、修改或刪除部分適合具體開發環境的規範。本規範只針對PHP開發過程中編碼的規範,對於PHP開發專案中檔案、目錄、資料庫等方面的規範,將不重點涉及。
本規範包含了PHP開發時程式編碼中命名規範、程式碼縮排規則、控制結構、函式呼叫、函式定義、註釋、包含程式碼、PHP標記、檔案頭的註釋塊、CVS標記、URL樣例、常量命名等方面的規則。
3 安全規範
3.1 包含檔案
3.1.1 命名規則
提取出來具有通用函式的包含檔案,檔案字尾以.inc來命名,表明這是一個包含檔案。
如果有多個.inc檔案需要包含多頁面,請把所有.inc檔案封裝在一個檔案裡面,具體到頁面只需要包換一個.inc檔案就可以了
如:xxx_session.inc
xxx_comm..inc
xxx_setting.inc
mysql_db.inc
把以上檔案以一下方式,封裝在xxx.basic.inc檔案裡面
require_once(”xxx_session.inc”);
require_once(”xxx_comm.inc”);
require_once(”xxx_setting.inc”);
require_once(”mysql_db.inc”);
注:是否需要封裝到一個檔案,視情況而定,如果每個inc的功能是分散到不同的頁面使用的話,就不建議封裝。
3.1.2 存放規則
一般包含檔案不需要直接暴露給使用者,所以應該放在 Web Server訪問不到的目錄,避免因為配置問題而洩露設定資訊。
3.2 安全規則
請參考產品安全檢查表。
輸入和輸出
檢查是否做了HTML程式碼的過濾
可能出現的問題:如果有人輸入惡意的HTML程式碼,會導致竊取cookie, 產生惡意登入表單,和破壞網站
檢查變數做資料庫操作之前是否做了escape
可能出現的問題:如果一個要寫入查詢語句的字串變數包含了某些特殊的字元,比如引號(’ ,”)或者分號(;) 可能造成執行了預期之外的操作。
建議採用的方法:使用mysql_escape_string() 或實現類似功能的函式。
檢查輸入數值的合法性
可能出現的問題:異常的數值會造成問題。如果對輸入的數值不做檢查會造成不合法的或者錯誤的資料存入UDB、存入其它的資料庫或者導致意料之外的程式操作發生。
舉例:
如果程式以使用者輸入的引數值做為檔名,進行檔案操作,惡意輸入系統檔名會造成系統損毀。
核實對cookie的使用以及對使用者資料的處理
可能出現的問題:不正確的cookie使用可能造成使用者資料洩漏
訪問控制
對內部使用的產品或者供合作方使用的產品,要考慮增加訪問控制
logs
確保使用者的保密資訊沒有記在log中(例如:使用者的密碼)
確保對關鍵的使用者操作儲存了完整的使用者訪問記錄
https
對敏感資料的傳輸要採用https
3.3 一些針對PHP的規則
設定 register_globals = off (Y!PHP 已經禁止了register_globals,如果你使用Y!PHP可以不考慮這項設定)
設定 error_reporting = E_ALL (Y!PHP 的預設設定),並且要修正所有的error和warning
將實際的操作放在被引用的檔案中。把引用檔案放到不可以被直接瀏覽的目錄下
3.4 其它處理規則
3.4.1 對輸入引數值進行轉義處理
頁面接到引數需要SQL操作,這時候需要做轉義,尤其需要注意”;”。
如:$a = ” Let’s go ” ;
$sql = “Insert into tmp(col) values(’$a’)” ;
這種情況出現錯誤的不確定性。
3.4.2 操作大HTML文字
很多時候需要存放一大段HTML文字供頁面使用,象使用者定製頁頭頁尾等。
需要剔除指令碼標記,避免執行惡意php程式碼。
轉換”<"">“號,保證程式碼完整。
4 編碼規範
4.1 命名規範
制定統一的命名規範對於專案開發來說非常重要,不但可以養成程式設計師一個良好的開發習慣,還能增加程式的可讀性、可移植性和可重用性,還能很好的提高專案開發的效率。
4.1.1 變數命名
變數命名分為普通變數、靜態變數、區域性變數、全域性變數、Session變數等方面的命名規則。
4.1.1.1 普通變數
普通變數命名遵循以下規則:
a. 所有字母都使用小寫;
b. 對於一個變數使用多個單詞的,使用’_'作為每個詞的間隔。
例如:$base_dir、$red_rose_price等
4.1.1.2 靜態變數
靜態變數命名遵循以下規則:
a. 靜態變數使用小寫的s_開頭;
b. 靜態變數所有字母都使用小寫;
c. 多個單片語成的變數名使用’_'作為每個詞的間隔。
例子:$s_base_dir、$s_red_rose_prise等。
4.1.1.3 區域性變數
區域性變數命名遵循以下規則:
a. 所有字母使用小寫;
b. 變數使用’_'開頭;
c. 多個單片語成的區域性變數名使用’_'作為每個詞間的間隔。
例子:$_base_dir、$_red_rose_price等。
4.1.1.4 全域性變數
全域性變數應該帶字首’g',知道一個變數的作用域是非常重要的。
例如
global $gLOG_LEVEL;
global $gLOG_PATH;
4.1.1.5 全域性常量
全域性變數命名遵循以下規則:
a. 所有字母使用大寫
b. 全域性變數多個單詞間使用’_'作為間隔。
例子:$BASE_DIR、$RED_ROSE_PRICE等。
4.1.1.6 session變數
session變數命名遵循以下規則:
a. 所有字母使用大寫;
b. session變數名使用’S_’開頭;
c. 多個單詞間使用’_'間隔。
例子:$S_BASE_DIR、$S_RED_ROSE_PRICE等。
4.1.2 類
php中類命名遵循以下規則:
a. 以大寫字母開頭;
b. 多個單片語成的變數名,單詞之間不用間隔,各個單詞首字母大寫。
例子:class MyClass 或class DbOracle等。
4.1.3 方法或函式
方法或函式命名遵循以下規則:
a. 首字母小寫;
b. 多個單詞間不使用間隔,除第一個單詞外,其他單詞首字母大寫。
例子:function myFunction ()或function myDbOracle ()等。
4.1.4 縮寫詞
當變數名或者其他命名中遇到縮寫詞時,參照具體的命名規則,而不採用縮寫詞原來的全部大寫的方式。
例子:function myPear(不是myPEAR) functio getHtmlSource(不是getHTMLSource)。
4.1.5 資料庫表名
資料庫表名命名遵循以下規範:
a. 表名均使用小寫字母;
b. 對於普通資料表,使用_t結尾;
c. 對於檢視,使用_v結尾;
d. 對於多個單片語成的表名,使用_間隔;
例子:user_info_t和book_store_v等
4.1.6 資料庫欄位
資料庫欄位命名遵循以下規範:
a. 全部使用小寫;
b. 多個單詞間使用_間隔。
例子:user_name、rose_price等。
4.2 書寫規則
書寫規則是指在編寫php程式時,程式碼書寫的規則,包括縮排、結構控制等方面規範:
4.2.1 程式碼縮排
在書寫程式碼的時候,必須注意程式碼的縮排規則,我們規定程式碼縮排規則如下:
a. 使用4個空格作為縮排,而不使用tab縮排(對於ultraedit,可以進行預先設定)
例子:
for ( $i=0;$i<$count;$i++ )
{
echo "test";
}
4.2.2 大括號{ }書寫規則
在程式中進行結構控制程式碼編寫,如if、for、while、switch等結構,大括號傳統的有兩種書寫習慣,分別如下:
a.{直接跟在控制語句之後,不換行,如
for ($i=0;$i<$count;$i++) {
echo "test";
}
b.{在控制語句下一行,如
for($i=0;$i<$count;$i++)
{
echo "test";
}
其中,a是PEAR建議的方式,但是從實際書寫中來講,這並不影響程式的規範和影響用phpdoc實現文件,所以可以根據個人習慣來採用上面的兩種方式,但是要求在同一個程式中,只使用其中一種,以免造成閱讀的不方便。
4.2.3 小括號( )和函式、關鍵詞等
小括號、關鍵詞和函式遵循以下規則:
a. 不要把小括號和關鍵詞緊貼在一起,要用一個空格間隔;如if ( $a<$b );
b. 小括號和函式名間沒有空格;如$test = date("ymdhis");
c. 除非必要,不要在Return返回語句中使用小括號。 如Return $a;
4.2.4 =符號書寫
在程式中=符號的書寫遵循以下規則:
a. 在=符號的兩側,均需留出一個空格;如$a = $b 、if ($a = = $b)等;
b. 在一個申明塊,或者實現同樣功能的一個塊中,要求=號儘量上下對其,左邊可以為了保持對齊使用多個空格,而右邊要求空一個空格;如下例:
$testa = $aaa;
$testaa = $bbb;
$testaaa = $ccc;
4.2.5 if else swith for while等書寫
對於控制結構的書寫遵循以下規則:
a. 在if條件判斷中,如果用到常量判斷條件,將常量放在等號或不等號的左邊,例如:
if ( 6 == $errorNum ),因為如果你在等式中漏了一個等號,語法檢查器會為你報錯,可以很快找到錯誤位置,這樣的寫法要多注意;
b. switch結構中必須要有default塊;
c. 在for和wiile的迴圈使用中,要警惕continue、break的使用,避免產生類似goto的問題;
4.2.6 類的建構函式
如果要在類裡面編寫建構函式,必須遵循以下規則:
a. 不能在建構函式中有太多實際操作,頂多用來初始化一些值和變數;
b. 不能在建構函式中因為使用操作而返回false或者錯誤,因為在宣告和例項化一個物件的時候,是不能返回錯誤的;
4.2.7 語句斷行, 每行控制在80個字元以內
在程式碼書寫中,遵循以下原則:
a. 儘量保證程式語句一行就是一句,而不要讓一行語句太長產生折行;
b. 儘量不要使一行的程式碼太長,一般控制在80個字元以內;
c. 如果一行程式碼太長,請使用類似 .= 的方式斷行書寫;
d. 對於執行資料庫的sql語句操作,儘量不要在函式內寫sql語句,而先用變數定義sql語句,然後在執行操作的函式中呼叫定義的變數;
例子:
$sql = "SELECT username,password,address,age,postcode FROM test_t ";
$sql .= " WHERE username='aaa'";
$res = mysql_query($sql);
4.2.8 不要不可思議的數字
一個在原始碼中使用了的赤裸裸的數字是不可思議的數字,因為包括作者,在三個月內,沒人它的含義。例如:
{
start_thermo_nuclear_war();
}
else if (19 == $foo)
{
refund_lotso_money();
}
else
{
cry_cause_im_lost();
}
你應該用define()來給你想表示某樣東西的數值一個真正的名字,而不是採用赤裸裸的數字,例如:
define("WE_GOOFED", "19");
define("THEY_DIDNT_PAY", "16");
if ( PRESIDENT_WENT_CRAZY == $foo)
{
start_thermo_nuclear_war();
}
else if (WE_GOOFED == $foo)
{
refund_lotso_money();
}
else if (THEY_DIDNT_PAY == $foo)
{
infinite_loop();
}
else
{
happy_days_i_know_why_im_here();
}
4.2.9 true/false和0/1判斷
遵循以下規則:
a. 不能使用0/1代替true/false,在PHP中,這是不相等的;
b. 不要使用非零的表示式、變數或者方法直接進行true/false判斷,而必須使用嚴格的完整true/false判斷;
如:不使用if ($a) 或者if (checka()) 而使用if (FALSE != $a)或者 if (FALSE != check())
4.2.10 避免嵌入式賦值
在程式中避免下面例子中的嵌入式賦值:
不使用這樣的方式:
while ($a != ($c = getchar()))
{
process the character
}
4.2.11 錯誤返回檢測規則
檢查所有的系統呼叫的錯誤資訊,除非你要忽略錯誤。
為每條系統錯誤訊息定義好系統錯誤文字,並記錄錯誤LOG。
4.3 程式註釋
每個程式均必須提供必要的註釋,書寫註釋要求規範,參照PEAR提供的註釋要求,為今後利用phpdoc生成php文件做準備。程式註釋的原則如下:
a. 註釋中除了檔案頭的註釋塊外,其他地方都不使用//註釋,而使用/* */的註釋;
b. 註釋內容必須寫在被註釋物件的前面,不寫在一行或者後面;
4.3.1 程式頭註釋塊
每個程式頭部必須有統一的註釋塊,規則如下:
a. 必須包含本程式的描述;
b. 必須包含作者;
c. 必須包含書寫日期;
d. 必須包含版本資訊;
e. 必須包含專案名稱;
f. 必須包含檔案的名稱;
g. 重要的使用說明,如類的呼叫方法、注意事項等;
參考例子如下:
//
// +---------------------------------------------------------+
// | PHP version 4.0 |
// +---------------------------------------------------------+
// | Copyright (c) 1997-2001 The PHP Group |
// +---------------------------------------------------------+
// | This source file is subject to of the PHP license, |
// | that is bundled with this packafile LICENSE, and is |
// | available at through the world-web at |
// | http://www.php.net/license/2_02.txt. |
// | If you did not receive a copy of the and are unable to |
// | obtain it through the world-wide-web,end a note to |
// | license@php.net so we can mail you a immediately. |
// +---------------------------------------------------------+
// | Authors: Stig Bakken <ssb@fast.no> |
// | Tomas V.V.Cox <cox@idecnet.com> |
// | |
// +---------------------------------------------------------+
//
// $Id: Common.php,v 1.8.2.3 2001/11/13 01:26:48 ssb Exp $
4.3.2 類的註釋
類的註釋採用裡面的參考例子方式:
* @ Purpose:
* 訪問資料庫的類,以ODBC作為通用訪問介面
* @Package Name: Database
* @Author: Forrest Gump gump@crtvu.edu.cn
* @Modifications:
* No20020523-100:
* odbc_fetch_into()引數位置第二和第三個位置調換
* John Johnson John@crtvu.edu.cn
* @See: (參照)
*/
class Database
{
……
}
4.3.3 函式和方法的註釋
函式和方法的註釋寫在函式和方法的前面,採用類似下面例子的規則:
* @Purpose:
* 執行一次查詢
* @Method Name: Query()
*
* @Param: string $queryStr SQL查詢字串
* @Param: string $username 使用者名稱
*
* @Author: Michael Lee
*
* @Return: mixed 查詢返回值(結果集物件)
*/
function($queryStr,$username)
{……}
4.3.4 變數或者語句註釋
程式中變數或者語句的註釋遵循以下原則:
a. 寫在變數或者語句的前面一行,而不寫在同行或者後面;
b. 註釋採用/* */的方式;
c. 每個函式前面要包含一個註釋塊。內容包括函式功能簡述,輸入/輸出引數,預期的返回值,出錯程式碼定義。
d. 註釋完整規範。
e. 把已經註釋掉的程式碼刪除,或者註明這些已經註釋掉的程式碼仍然保留在原始碼中的特殊原因。
f.
例子:
* @Purpose:
* 資料庫連線使用者名稱
* @Attribute/Variable Name: db_user_name
* @Type: string
*/
var db_user_name;
4.4 其他規範(建議)
4.4.1 php程式碼標記
所有的php程式程式碼塊標記均使用
4.4.2 程式檔名、目錄名
程式檔名和目錄名命名均採用有意義的英文方式命名,不使用拼音或無意義的字母,同時均必須使用小寫字母,多個詞間使用_間隔。
4.4.3 PHP專案通常的檔案目錄結構
建議在開發規範的獨立的PHP專案時,使用規範的檔案目錄結構,這有助於提高專案的邏輯結構合理性,對應擴充套件和合作,以及團隊開發均有好處。
一個完整獨立的PHP專案通常的檔案和目錄結構如下:
/ 專案根目錄
/manage 後臺管理檔案存放目錄
/css css檔案存放目錄
/doc 存放專案文件
/images 所有圖片檔案存放路徑(在裡面根據目錄結構設立子目錄)
/scripts 客戶端js指令碼存放目錄
/tpl 網站所有html的模版檔案存放目錄
/error.php 錯誤處理檔案(可以定義到apache的錯誤處理中)
以上目錄結構是通常的目錄結構,根據具體應用的具體情況,可以考慮不用完全遵循,但是儘量做到規範化。
4.4.4 PHP和HTML程式碼的分離問題
對效能要求不是很高的專案和應用,我們建議不採用PHP和HTML程式碼直接混排的方式書寫程式碼,而採用PHP和HTML程式碼分離的方式,即採用模版的方式處理,這樣一方面對程式邏輯結構更加清晰有利,也有助於開發過程中人員的分工安排,同時還對日後專案的頁面升級該版提供更多便利。
對於一些特殊情況,比如對效能要求很高的應用,可以不採用模版方式。
4.4.5 PHP專案開發中的程式邏輯結構
對於PHP專案開發,儘量採用OOP的思想開發,尤其在PHP5以後,對於物件導向的開發功能大大提高。
在PHP專案中,我們建議將獨立的功能模組儘量寫成函式呼叫,對應一整塊業務邏輯,我們建議封裝成類,既可以提高程式碼可讀性,也可以提高程式碼重用性。比如,我們通常將對資料庫的介面封裝成資料庫類,有利於平臺的移植。
重複的程式碼要做成公共的庫。(除了我們在plug-in產品上遇到的情況,該產品系列有多個相類似的產品,為了儘可能地減少安裝包尺寸,不適合將這些產品共用的所有函式做成公共的庫)
5 特定環境下PHP編碼特殊規範
5.1 變數定義
XXX環境下的php程式碼編寫要求所有的變數均需要先申明後使用,否則會有錯誤資訊,對於陣列,在使用一個不確定的key時,比如先進行isset()的判斷,然後再使用;比如下面的程式碼:
$array = array();
$var = isset($array[3]) ? $array[3] : “”;
5.2 引用的使用
引用在程式中使用比較多,為了公用同一個記憶體,而不需要另外進行復制,XXX環境下的引用使用時,需要注意下面的情況;
在對函式的輸入引數中使用引用時,不能在呼叫的時候在輸入引數前加&來引用,而直接使用該變數即可,同時必須在函式定義的時候說明輸入引數來自引用,比如下面的程式碼:
$a = 1;
function ab(&$var)
{
$var ++;
return $var;
}
$b = ab($a) // 注意,此處不能使用 $b = ab(&$a)的方式;
echo $b.”/n”;
echo $a.”/n”;
此時 $a和$b都是2;
XXX環境下對引用的特殊要求源自php.ini檔案裡面的allow_call_time_pass_reference 項設定, 對外公開的版本是 On ,這樣就可以支援&直接加到呼叫函式時變數前面進行引用,但是這一方法遭到抗議,並可能在將來版本的PHP/Zend裡不再支援。受到鼓勵的指定哪些引數按引用傳遞的方法是在函式宣告裡。你被鼓勵嘗試關閉這一選項(使用 off,XXX的所有執行環境下都是off)並確認你的指令碼仍能正常工作,以保證在將來版本的語言裡它們仍能工作。
5.3 變數的輸入輸出
在XXX環境下,對web通過GET或者POST方法傳遞來的引數均要求進行嚴格的過濾和合法性驗證,不推薦使用直接的$_GET、$_POST或者$_REQUEST獲取,而通過XXX的XXX_yiv模組提供的方法獲取和過濾處理
規範完!
說明:規範中提到的XXX環境是特別指的xx曾經工作的XXX公司特定開發環境!