php开发编码规范创新.docVIP

目录1 编写目的2 整体要求3 安全规范3.1 包含文件3.1.1 命名规则3.1.2 存放规则3.2 安全规则3.3 一些针对PHP的规则3.4 其它处理规则3.4.1 对输入参数值进行转义处理3.4.2 操作大HTML文本 4 编码规范4.1 命名规范4.1.1 变量命名4.1.2 类4.1.3 方法或函数4.1.4 缩写词4.1.5 数据库表名4.1.6 数据库字段4.2 书写规则4.2.1 代码缩进4.2.2 大括号{ }书写规则4.2.3 小括号( )和函数、关键词等4.2.4 ＝符号书写4.2.5 if else swith for while等书写4.2.6 类的构造函数4.2.7 语句断行, 每行控制在80个字符以内4.2.8 不要不可思议的数字4.2.9 true/false和0/1判断4.2.10 避免嵌入式赋值4.2.11 错误返回检测规则4.3 程序注释4.3.1 程序头注释块4.3.2 类的注释4.3.3 函数和方法的注释4.3.4 变量或者语句注释4.4 其他规范（建议）4.4.1 php代码标记4.4.2 程序文件名、目录名4.4.3 PHP项目通常的文件目录结构4.4.4 PHP和HTML代码的分离问题4.4.5 PHP项目开发中的程序逻辑结构5 特定环境下PHP编码特殊规范5.1 变量定义5.2 引用的使用5.3 变量的输入输出 1 编写目的为了更好的提高技术部的工作效率，保证开发的有效性和合理性，并可最大程度的提高程序代码的可读性和可重复利用性，指定此规范。开发团队根据自己的实际情况，可以对本规范进行补充或裁减。 2 整体要求技术部php开发规范将参照PEAR的规范，基本采用PEAR指定的规范，在其基础上增加、修改或删除部分适合具体开发环境的规范。本规范只针对PHP开发过程中编码的规范，对于PHP开发项目中文件、目录、数据库等方面的规范，将不重点涉及。本规范包含了PHP开发时程序编码中命名规范、代码缩进规则、控制结构、函数调用、函数定义、注释、包含代码、PHP标记、文件头的注释块、CVS标记、URL样例、常量命名等方面的规则。 3 安全规范 3.1 包含文件 3.1.1 命名规则提取出来具有通用函数的包含文件，文件后缀以.inc来命名，表明这是一个包含文件。如果有多个.inc文件需要包含多页面，请把所有.inc文件封装在一个文件里面，具体到页面只需要包换一个.inc文件就可以了如:xxx_session.incxxx_comm..incxxx_setting.incmysql_db.inc 把以上文件以一下方式，封装在xxx.basic.inc文件里面require_once(”xxx_session.inc”);require_once(”xxx_comm.inc”);require_once(”xxx_setting.inc”);require_once(”mysql_db.inc”); 注：是否需要封装到一个文件，视情况而定，如果每个inc的功能是分散到不同的页面使用的话，就不建议封装。 3.1.2 存放规则一般包含文件不需要直接暴露给用户，所以应该放在 Web Server访问不到的目录，避免因为配置问题而泄露设置信息。 3.2 安全规则请参考产品安全检查表。 输入和输出检查是否做了HTML代码的过滤可能出现的问题：如果有人输入恶意的HTML代码，会导致窃取cookie, 产生恶意登录表单，和破坏网站检查变量做数据库操作之前是否做了escape可能出现的问题：如果一个要写入查询语句的字符串变量包含了某些特殊的字符，比如引号(’ ,”)或者分号(;) 可能造成执行了预期之外的操作。建议采用的方法：使用mysql_escape_string() 或实现类似功能的函数。检查输入数值的合法性可能出现的问题：异常的数值会造成问题。如果对输入的数值不做检查会造成不合法的或者错误的数据存入UDB、存入其它的数据库或者导致意料之外的程序操作发生。举例：如果程序以用户输入的参数值做为文件名，进行文件操作，恶意输入系统文件名会造成系统损毁。核实对cookie的使用以及对用户数据的处理可能出现的问题：不正确的cookie使用可能造成用户数据泄漏访问控制对内部使用的产品或者供合作方使用的产品，要考虑增加访问控制logs确保用户的保密信息没有记在log中(例如：用户的密码)确保对关键的用户操作保存了完整的用户访问记录https对敏感数据的传输要采用https 3.3 一些针对PHP的规则设置 register_globals = off (Y!PHP 已