優良的PHP程式碼應該是結構化的;優良的PHP程式碼應該是規範化的;優良的PHP程式碼應該是自適應的;優良的PHP程式碼應該是安全的…
我在SitePoint做面試官的時候一定會問的問題是:你認為PHP程式碼的優劣體現在哪裡?因為這個問題可以讓我大致知道應徵者是哪種類型的程式設計師,而不是單純地檢視他對PHP函數的掌握程度(這點Zend的PHP認證做得不錯,雅虎的PHP程式設計師面試題也屬於此類)。
重要的是,這個問題可以讓我知道應徵者是否經歷過這樣的事情——從一個懶散程式設計師手中接過一段凌亂的程式碼進行重用,或者要幫助團隊中的其他成員來處理這類事情。
誠然,對於這個問題我自己並沒有一個滿意的答案,不過我知道哪些答案是我想聽到的:
優良的PHP代碼應該是結構化的。大段的程式碼應該被分割整理成一個個函數或方法,而那些不氣眼的小段程式碼則應該加上註釋,以便日後清楚它們的用途。而且應該盡可能地把前台程式碼如HTML、CSS、Javascript等從程式中分離出來。 PHP的物件導向程式設計特性可以很好地幫助程式設計師將程式碼整理有序。
優良的PHP程式碼應該是規範化的。無論是為變數名稱和函數名稱設定命名規則,或是對一些會重複使用的過程如資料庫操作和錯誤處理進行標準化,抑或是簡單到規定好程式碼是怎樣縮排的,這些規範化都可以讓程式碼的可讀性大大提高。
優良的PHP程式碼應該是自適應的。 PHP有許多特性如magic quotes和short tags,這些特性的開啟和關閉會影響到程式的運作。所以,一個好的程式設計師應該在他的程式碼中加如適當的語句來使程式能夠根據環境進行調整。
優良的PHP程式碼應該是安全的。雖然PHP是一種高效率、靈活的語言,沒有固定的框架,但卻把安全問題留給了程式設計師。對潛在安全漏洞的深刻理解,如跨站腳本攻擊(XSS)、跨站請求偽造(CSRF)、程式碼注入漏洞、字元編碼循環漏洞等,對於今天的專業程式設計師來說是至關重要的。
當應徵者在回答這些問題的時候,我就能清楚知道是否該錄用他。當然,有時程式設計師並不能很好地闡明這個問題,這時我們會讓他們做一些PHP測試。測驗中的許多問題表面上看起來非常簡單,但這也給了應徵者們一個展現自我的機會,因為只要觀察得仔細,就能找出問題。
下面這一小段「劣質」的PHP程式碼是一道簡化了的測試題。這種問題就像在問:你該怎麼優化這段程式碼?
<?
echo("<p>Search results for query: " .
$_GET['query'] . ".</p>");
?>
這段程式碼的主要問題在於它將使用者提交的資料直接顯示到了網頁上,從而產生XSS漏洞。其實有很多方法可以填補這個漏洞。那麼,什麼程式碼是我們想要的呢?
<?
echo("<p>Search results for query: " .
htmlspecialchars($_GET['query']) . ".</p>");
?>
這是最低要求。 XSS漏洞用htmlspecialchars函數填補了,從而屏蔽了非法字元。
<?php
if (isset($_GET['query']))
{
echo '<p>Search results for query: ',
htmlspecialchars($_GET['query'], ENT_QUOTES), '.</p>';
}
?>
能寫出這樣程式碼的人應該是我想要錄用的人了。
<?被替換成了<?php,這樣比較符合XML規範。
在輸出$_GET['query']的值之前先判斷它是否為空。
echo指令中多餘的括號被去掉了。
字串用單引號限定,從而節省了PHP從字串中搜尋可替換的變數的時間。
用逗號代替句號,節省了echo的時間。
將ENT_QUOTES標識傳遞給htmlspecialchars函數,從而確保單引號也會被轉義。雖然這並是最主要的,但也算是個好習慣。
可惜的是,能給出這樣讓人滿意答案的程式設計師少之又少。我們花了3個月的時間才招募到讓我們滿意的程式設計師。
那麼,你會怎麼回答文章開頭提出的問題呢?你認為PHP程式碼的優劣體現在哪裡?你認為PHP程式設計師還應具有哪些品質?
本文取自: http://www.yeeyan.com/articles/view/38585/18736
原文連結: http://www.sitepoint.com/blogs/2007/05/25/good-and-bad-php-code/