1、目錄1、編寫目的42、整體要求53、安全規(guī)范63.1、 包含文件63.1.1、 命名規(guī)則63.1.2、 存放規(guī)則63.2、 安全規(guī)則73.3、 一些針對PHP的規(guī)貝U83.4、 其它處理規(guī)則83.4.1、 輸入?yún)?shù)處理83.4.2、 操作大HTML文本84、編碼規(guī)范94.1、 命名規(guī)范94.1.1、 變量命名94.1.2、 類命名1.Q.4.1.3、 方法或函數(shù)、 縮寫詞.5、 數(shù)據(jù)庫表名、 數(shù)據(jù)庫字段11.4.2、 書寫規(guī)則、 代碼縮進.2、 大括號()書寫規(guī)則.3、 小括號()和函數(shù)、關鍵詞等13.4

2、.2.4、 =符號書寫.5、 ifelseswithforwhile等書寫.6、 類的構造函數(shù).7、 語句斷行.8、 數(shù)字、 判斷0、 避免嵌入賦值1、 錯誤返回檢測規(guī)則、 程序注釋、 程序頭注釋塊.2、 類的注釋.3、 函數(shù)和方法的注釋、 變量或者語句注釋.18.4.4、 其它規(guī)范、 PHP代碼標記.2、 程序文件名、目錄名.3、 PHP項目通常的文件目錄結構

3、.4、 PHP和HTML代碼的分離問題、 PHP項目開發(fā)中的程序邏輯結構20.5、特定環(huán)境下PHP編碼特殊規(guī)范21.5.1、 變量定義21.5.2、 引用的使用21.5.3、 變量的輸入輸出22.1、編寫目的為了更好的提高技術部的工作效率，保證開發(fā)的有效性和合理性，并可最大程度的提高程序代碼的可讀性和可重復利用性，指定此規(guī)范。開發(fā)團隊根據(jù)自己的實際情況，可以對本規(guī)范進行補充或裁減。1、程序員可以了解任何代碼，弄清程序的狀況；2、新人可以很快的適應環(huán)境；3、防止新接觸PHP的人出于節(jié)省時間的需要，自創(chuàng)一套風格并養(yǎng)成終生的習慣;4、防止新接觸PHP的人一次次的犯同樣的錯誤；5、在一

4、致的環(huán)境下，人們可以減少犯錯的機會；6、程序員們有了一致的敵人；2、整體要求技術部php開發(fā)規(guī)范將參照PEAR的規(guī)范，基本采用PEAR指定的規(guī)范，在其基礎上增加、修改或刪除部分適合具體開發(fā)環(huán)境的規(guī)范。本規(guī)范只針對PHP開發(fā)過程中編碼的規(guī)范，對于PHP開發(fā)項目中文件、目錄、數(shù)據(jù)庫等方面的規(guī)范，將不重點涉及。本規(guī)范包含了PHP開發(fā)時程序編碼中命名規(guī)范、代碼縮進規(guī)則、控制結構、函數(shù)調(diào)用、函數(shù)定義、注釋、包含代碼、PHP標記、文件頭的注釋塊、CVS標記、URL樣例、常量命名等方面的規(guī)則。3、安全規(guī)范當我們嘗試編碼時，很多時候不知道如何去讓自己的代碼變得安全一點，因為我們?nèi)狈Π踩ＷR，安全常識的規(guī)范可以

5、幫你杜絕一些日常的菜鳥黑客的攻擊，卻不能阻止骨灰級專家們的凌厲攻勢，所以更高深的安全我們還得從其他途徑學習。3.1、 包含文件PHP文件的包含在通過PHP的函數(shù)引入文件時，由于傳入的文件名沒有經(jīng)過合理的校驗，從而操作了預想之外的文件，就可能導致意外的文件泄露甚至惡意的代碼注入。3.1.1、 命名規(guī)則提取出來具有通用函數(shù)的包含文件，文件后綴以.inc來命名，表明這是一個包含文件。如果有多個.inc文件需要包含多頁面，請把所有.inc文件封裝在一個文件里面，具體到頁面只需要包換一個.inc文件就可以了。如：xxx_session.inc、xxx_comm.inc、xxx_setting.inf、m

6、yssql_db.inc。把以上文件以以下方式，封裝在xxx.basic.inc文件里面：require_once('xxx_session.inc');require_once('xxx_comm.inc');require_once('xxx_setting.inc');require_once('mysql_db.inc');注意：是否需要封裝到一個文件，視情況而定，如果每個inc的功能是分散到不同的頁面使用的話，就不建議封裝。3.1.2、 存放規(guī)則一般包含文件不需要直接暴露給用戶，所以應該放在WebServer訪問不到的目

7、錄，避免因為配置問題而泄露設置信息。3.2、 安全規(guī)則請參考產(chǎn)品安全檢查表。輸入和輸出：檢查是否做了HTML代碼的過濾可能出現(xiàn)的問題：如果有人輸入惡意的HTML代碼，會導致竊取cookie,產(chǎn)生惡意登錄表單，和破壞網(wǎng)站。檢查變量做數(shù)據(jù)庫操作之前是否做了escape可能出現(xiàn)的問題：如果一個要寫入查詢語句的字符串變量包含了某些特殊的字符，比如引號(',")或者分號(;)可能造成執(zhí)行了預期之外的操作。建議采用的方法：使用mysql_escape_string()或?qū)崿F(xiàn)類似功能的函數(shù)。檢查輸入數(shù)值的合法性可能出現(xiàn)的問題：異常的數(shù)值會造成問題。如果對輸入的數(shù)值不做檢查會造成不合法的或者

8、錯誤的數(shù)據(jù)存入UDB、存入其它的數(shù)據(jù)庫或者導致意料之外的程序操作發(fā)生。舉例：如果程序以用戶輸入的參數(shù)值做為文件名，進行文件操作，惡意輸入系統(tǒng)文件名會造成系統(tǒng)損毀。核實對cookie的使用以及對用戶數(shù)據(jù)的處理可能出現(xiàn)的問題：不正確的cookie使用可能造成用戶數(shù)據(jù)泄漏。訪問控制對內(nèi)部使用的產(chǎn)品或者供合作方使用的產(chǎn)品，要考慮增加訪問控制。logs確保用戶的保密信息沒有記在log中(例如：用戶的密碼)；確保對關鍵的用戶操作保存了完整的用戶訪問記錄。https對敏感數(shù)據(jù)的傳輸要采用https。3.3、 一些針對PHP的規(guī)則設置register_globals=off;設置error_reporting

9、=E_ALL,并且要修正所有的error和warning;將實際的操作放在被引用的文件中。把引用文件放到不可以被直接瀏覽的目錄下。register_globals已自PHP5.3.0起廢棄并將自PHP5.4.0起移除。3.4、 其它處理規(guī)則其它處理規(guī)則3.4.1、 輸入?yún)?shù)處理頁面接到參數(shù)需要SQL操作，這時候需要做轉義，尤其需要注意如:$a='Let'sgo'$sql="Insertintotmp(col)values('$a')"這種情況出現(xiàn)錯誤的不確定性。3.4.2、 操作大HTML文本很多時候需要存放一大段HTML文本供頁面使

10、用，象用戶定制頁頭頁腳等。>”號，保證代碼完整HTML文本轉換需要剔除腳本標記，避免執(zhí)行惡意php代碼。力4、編碼規(guī)范對代碼文件及代碼進行規(guī)范化。4.1、 命名規(guī)范制定統(tǒng)一的命名規(guī)范對于項目開發(fā)來說非常重要，不但可以養(yǎng)成程序員一個良好的開發(fā)習慣，還能增加程序的可讀性、可移植性和可重用性，還能很好的提高項目開發(fā)的效率。4.1.1、 變量命名1 *變量命名分為普通變量、靜態(tài)變量、局部變量、全局變量、Session變量等方面的命名規(guī)則。2 .普通變量普通變量命名遵循以下規(guī)則：a.所有字母都使用小寫；b.對于一個變量使用多個單詞的，使用作為每個詞的間隔。例如：$base_dir、$red_ros

11、e_price等。3 .靜態(tài)變量靜態(tài)變量命名遵循以下規(guī)則：a.靜態(tài)變量使用小寫的s_開頭；b.靜態(tài)變量所有字母都使用小寫；c.多個單詞組成的變量名使用作為每個詞的間隔。例子：$s_base_dir、$s_red_rose_prise等。4 .局部變量局部變量命名遵循以下規(guī)則：a.所有字母使用小寫；b.變量使用開頭；c.多個單詞組成的局部變量名使用作為每個詞間的間隔。例子：$_base_dir、$_red_rose_price等。5 .全局變量全局變量應該帶前綴G_且所有字母大寫，知道一個變量的作用域是非常重要的。例如：global$G_LOG_LEVEL;global$G_LOG_PATH;6

12、 .全局常量全局變量命名遵循以下規(guī)則：a.所有字母使用大寫；b.全局變量多個單詞間使用作為間隔例子：define('BASE_DIR',7base/dir/');define('RED_ROSE_PRICE',20.0);6.session變量session變量命名遵循以下規(guī)則：a.所有字母使用大寫；b.session變量名使用S_開頭；c.多個單詞間使用間隔。例子：$S_BASE_DIR、$S_RED_ROSE_PRICE等。4.1.2、 類命名PHP中類命名遵循以下規(guī)則：a.以大寫字母開頭；b.多個單詞組成的變量名，單詞之間不用間隔，各個單詞首字母大

13、寫例子：classMyClass或classDbOracle等。方法或函數(shù)命名遵循以下規(guī)則：a.首字母小寫；b.多個單詞間不使用間隔，除第一個單詞外，其他單詞首字母大寫。例子：functionmyFunction()或functionmyDbOracle()等。4.1.4、 縮寫詞當變量名或者其他命名中遇到縮寫詞時，參照具體的命名規(guī)則，而不采用縮寫詞原來的全部大寫的方式。例子：functionmyPear(不是myPEAR)functiogetHtmlSource(不是getHTMLSource)。4.1.5、 數(shù)據(jù)庫表名數(shù)據(jù)庫表名命名遵循以下規(guī)范：a.表名均使用小寫字母；b.對于普通數(shù)據(jù)表，

14、使用_t結尾；c.對于視圖，使用_v結尾；d.對于多個單詞組成的表名，使用間隔；例子：user_info_t和book_store_v等。4.1.6、 數(shù)據(jù)庫字段數(shù)據(jù)庫字段命名遵循以下規(guī)范：a.全部使用小寫；b.多個單詞間使用間隔。例子：user_name、rose_price等。4.2、 書寫規(guī)則書寫規(guī)則是指在編寫PHP程序時，代碼書寫的規(guī)則，包括縮進、結構控制等方面規(guī)范。4.2.1、 代碼縮進在書寫代碼的時候，必須注意代碼的縮進規(guī)則，我們規(guī)定代碼縮進規(guī)則如下：a.使用4個空格作為縮進，而不使用tab縮進(對于ultraedit,可以進行預先設置)。例子：for($i=0;$i<$co

15、unt;$i+)echo'test'4.2.2、 大括號。書寫規(guī)則在程序中進行結構控制代碼編寫，如if、for、while、switch等結構，大括號傳統(tǒng)的有兩種書寫習慣，分別如下：a.直接跟在控制語句之后，不換行，如：for($i=0;$i<$count;$i+)echo'test'b.在控制語句下一行，如：for($i=0;$<$count;$i+)echo'test'其中，a是PEAR建議的方式，但是從實際書寫中來講，這并不影響程序的規(guī)范和影響用phpdoc實現(xiàn)文檔，所以可以根據(jù)個人習慣來采用上面的兩種方式，但是要求在同一個程序

16、中，只使用其中一種，以免造成閱讀的不方便。為了統(tǒng)一書寫，請使用a的書寫方式。4.2.3、 小括號0和函數(shù)、關鍵詞等小括號、關鍵詞和函數(shù)遵循以下規(guī)則：a.不要把小括號和關鍵詞緊貼在一起，要用一個空格間隔；如if($a$b)；b.小括號和函數(shù)名間沒有空格；如$test=date("ymdhis");c.除非必要，不要在Return返回語句中使用小括號。如Return$a4.2.4、 =符號書寫在程序中=符號的書寫遵循以下規(guī)則：a.在=符號的兩側，均需留出一個空格；如$a=$b、$a='test'等；b.在=符號與！、=、等符號相鄰時，不需留一個空格；如if($a

17、=$b)、if($a!=$b)等;c.在一個中明塊，或者實現(xiàn)同樣功能的一個塊中，要求=號盡量上下對其，左邊可以為了保持對齊使用多個空格，而右邊要求空一個空格；如下例：$testa=$aaa;$testaa=$bbb;$testaaa=$ccc;4.2.5、 ifelseswithforwhile等書寫對于控制結構的書寫遵循以下規(guī)則：a.在if條件判斷中，如果用到常量判斷條件，將常量放在等號或不等號的左邊，例如：if(6=$errorNum),因為如果你在等式中漏了一個等號，語法檢查器會為你報錯，可以很快找到錯誤位置，這樣的寫法要注意；b.switch結構中必須要有default塊；c.在for

18、和wiile的循環(huán)使用中，要警惕continue、break的使用，避免產(chǎn)生類似goto的問題；4.2.6、 類的構造函數(shù)如果要在類里面編寫構造函數(shù)，必須遵循以下規(guī)則:a.不能在構造函數(shù)中有太多實際操作，頂多用來初始化一些值和變量；b.不能在構造函數(shù)中因為使用操作而返回false或者錯誤，因為在聲明和實例化一個對象的時候，是不能返回錯誤的；4.2.7、 語句斷行在代碼書寫中，遵循以下原則：a.盡量保證程序語句一行就是一句，而不要讓一行語句太長產(chǎn)生折行；b.盡量不要使一行的代碼太長，一般控制在120個字符以內(nèi)；c.如果一行代碼太長，請使用類似.=的方式斷行書寫；d.對于執(zhí)行數(shù)據(jù)庫的sql語句操作

19、，盡量不要在函數(shù)內(nèi)寫sql語句，而先用變量定義sql語句，然后在執(zhí)行操作的函數(shù)中調(diào)用定義的變量；例子：$sql='SELECTusername,password,address,age,postcodeFROMtest_t'$sql.='WHEREusername='aaa''$res=mysql_query($sql);一個在源代碼中使用了的赤裸裸的數(shù)字是不可思議的數(shù)字，因為包括作者，在三個月內(nèi)，沒人知道它的含義。例如：if(22=$foo)start_thermo_nuclear_war();elseif(19=$foo)refund_lot

20、so_money();elsecry_cause_in_lost();你應該用define()來給你想表示某樣東西的數(shù)值一個真正的名字，而不是采用赤裸裸的數(shù)字，例如：define('PRESIDENT_WENT_CRAZY','22');define('WE_GOOFED','19');define('THEY_DIDNT_PAY','16');if(PRESIDENT_WENT_CRAZY=$foo)start_thermo_nuclear_war();elseif(WE_GOOFED=$foo)

21、refund_lotso_money();elseif(THEY_DIDNT_PAY=$foo)infinite_loop();elsecry_cause_in_lost();4.2.9、 判斷遵循以下規(guī)則：a.不能使用1/0代替true/false,在PHP中，這是不相等的；b.不要使用非零的表達式、變量或者方法直接進行true/false判斷，而必須使用嚴格的完整true/false判斷；如：不使用if($a)或者if(checka()而使用if(FALSE!=$a)或者if(FALSE!=check()。4.2.10、 避免嵌入賦值在程序中避免下面例子中的嵌入式賦值:不使用這樣的方式：w

22、hile($a!=($c=getchar()processthecharacter)4.2.11、 錯誤返回檢測規(guī)則檢查所有的系統(tǒng)調(diào)用的錯誤信息，除非你要忽略錯誤。為每條系統(tǒng)錯誤消息定義好系統(tǒng)錯誤文本，并記錄錯誤LOG。4.3、 程序注釋每個程序均必須提供必要的注釋，書寫注釋要求規(guī)范，參照PEAR提供的注釋要求,為今后利用phpdoc生成PHP文檔做準備。程序注釋的原則如下：a.注釋中除了文件頭的注釋塊外，其他地方都不使用注釋，而使用/*4.3.1、b.注釋內(nèi)容必須寫在被注釋對象的前面，不寫在一行或者后面；4.3.2、 程序頭注釋塊每個程序頭部必須有統(tǒng)一的注釋塊，規(guī)則如下：a,必須包含本程序的

23、描述；b.必須包含作者；c.必須包含書寫日期；d.必須包含版本信息；e.必須包含項目名稱；f.必須包含文件的名稱；g.重要的使用說明，如類的調(diào)用方法、注意事項等；參考例子如下：/+/|PHPversion4.0/+/|Copyright(c)1997-2001ThePHPGroup/+/|ThissourcefileissubjecttoofthePHPlicense,/|thatisbundledwiththispackafileLICENSE,andis/|availableatthroughtheworld-webat/|/|Ifyoudidnotreceiveacopyoftheand

24、areunableto/|obtainitthroughtheworld-wide-web,endanoteto/|licensesowecanmailyouaimmediately./+/|Authors:StigBakken/|TomasV.V.Cox/+/$Id:Common.php,v2001/11/1301:26:48ssbExp$4.3.3、 類的注釋類的注釋采用里面的參考例子方式：/* Purpose:* 訪問數(shù)據(jù)庫的類，以ODBC作為通用訪問接口* PackageName:Database* Author:ForrestGumpgump* Modification

25、s:* No20020523-100:* odbc_fetch_into()參數(shù)位置第二和第三個位置調(diào)換* JohnJohnsonJohn* See:(參照)* /classDatabase)4.3.4、 函數(shù)和方法的注釋函數(shù)和方法的注釋寫在函數(shù)和方法的前面，采用類似下面例子的規(guī)則：/* Purpose:* 執(zhí)行一次查詢* MethodName:query()* Param:string$queryStrSQL查詢字符申* Param:string$username用戶名* Author:MichaelLee* Return:mixed查詢返回值(結果集對象)* /functionquery(

26、$queryStr,$username)434、變量或者語句注釋程序中變量或者語句的注釋遵循以下原則：a.寫在變量或者語句的前面一行，而不寫在同行或者后面；b.注釋采用/*/的方式；c.每個函數(shù)前面要包含一個注釋塊。內(nèi)容包括函數(shù)功能簡述，輸入/輸出參數(shù)，預期的返回值，出錯代碼定義；d.注釋完整規(guī)范；e.把已經(jīng)注釋掉的代碼刪除，或者注明這些已經(jīng)注釋掉的代碼仍然保留在源碼中的特殊原因。例子：/* Purpose:* 數(shù)據(jù)庫連接用戶名* Attribute/VariableName:db_user_name* Type:string* /vardb_user_name;4.4、 其它規(guī)范4.4.1、

27、 PHP代碼標記所有的PHP程序代碼塊標記均使用<?php,不使用短標記<?。4.4.2、 程序文件名、目錄名程序文件名和目錄名命名均采用有意義的英文方式命名，不使用拼音或無意義的字母,同時均必須使用小寫字母，多個詞間使用間隔。4.4.3、 PHP項目通常的文件目錄結構建議在開發(fā)規(guī)范的獨立的PHP項目時，使用規(guī)范的文件目錄結構，這有助于提高項目的邏輯結構合理性，對應擴展和合作，以及團隊開發(fā)均有好處。一個完整獨立的PHP項目通常的文件和目錄結構如下：/項目根目錄/manage后臺管理文件存放目錄/csscss文件存放目錄/doc存放項目文檔/images所有圖片文件存放路徑（在里面根

28、據(jù)目錄結構設立子目錄）/scripts客戶端js腳本存放目錄/tpl網(wǎng)站所有html的模版文件存放目錄/error.php錯誤處理文件（可以定義到apache的錯誤處理中）以上目錄結構是通常的目錄結構，根據(jù)具體應用的具體情況，可以考慮不用完全遵循，但是盡量做到規(guī)范化。4.4.4、 PHP和HTML代碼的分離問題對性能要求不是很高的項目和應用，我們建議不采用PHP和HTML代碼直接混排的方式書寫代碼，而采用PHP和HTML代碼分離的方式，即采用模版的方式處理，這樣一方面對程序邏輯結構更加清晰有利，也有助于開發(fā)過程中人員的分工安排，同時還對日后項目的頁面升級該版提供更多便利。對于一些特殊情況，比如對性能要求很高的應用，可以不采用模版方式。4.4.5、 PHP項目開發(fā)中的程序邏輯結構對于PHP項目開發(fā)，盡量采用OOP的思想開發(fā)，尤其在PHP5以后，對于面向?qū)ο蟮拈_發(fā)功能大大提高。在PHP項目中，我們建議將獨立的功能模塊盡量寫成函數(shù)調(diào)用，對應一整塊業(yè)務邏輯，我們建議封