SpeedPHP/安全建议及命名建议

来自站长百科
跳转至: 导航、​ 搜索

SpeedPHP | 快速入门 | 访问交互 | 数据操作 | 框架概述 | 模板引擎 | 优化加速 | 开发指南 | 数据模型 | API参考

安全建议[ ]

在日常开发中,我们需要注意一些PHP的开发建议:

过滤[ ]

SpeedPHP框架的数据库功能中,数组作为参数的情况下,输入的值都会经过“防SQL注入”的过滤。而在字符串参数和SQL直接运行的情况下,开发者应该自行使用spModel的escape函数进行“防注入”过滤,以保证数据库安全。

建议对由用户输入的,显示在页面的数据,进行XSS过滤。过滤的函数可以使用PHP函数htmlspecialchars、strip_ tags、和str_replace等函数进行过滤和转换。

用户登录[ ]

建议加入验证码机制以保证无法用程序来进行登录口令的枚举。

加入后台日志机制,记录用户的关键操作以供分析。

系统管理[ ]

应定期对系统进行安全检查,检查日志等。

部署时,建议设置“文件夹755、文件644、上传和临时目录设置为777并不可运行程序”。

部署时,启用部署模式,以保证系统调试信息不会出现在浏览器上。

建议使用单一入口,以最大限度保证系统安全。

命名建议[ ]

建议一种在日常开发中较为常用的函数/类命名规则。每个PHP开发团队可以根据此命名规则,制订适合本团队的编程规则。

  • PHP类名小写或以小驼峰式命名(第一个单字以小写字母开始;第二个单字的首字母大写,如myClass)。
  • Controller控制器类名称小写,以字母为主,可辅以数字作为类名,建议不加入“-_”等字符。
  • Model模型类名称小写,以“m_”开头,字母为主(可加数字)
  • 第三方类库名称自定,以“lib_”开头。
  • 函数名称无特殊限制,按PHP函数命名规则。
  • 需要在模板中注册的函数,建议以“tpl_”开头,以示区别。
  • 框架自带核心函数、核心类均以“sp”开头,建议开发者定义的类和函数避免以“sp”开头,以免误解。

以上类名和函数名均要注意:

  • 区分大小写
  • 不能以数字开头

参考来源[ ]

http://speedphp.com/manual.html

SpeedPHP使用手册导航

快速入门

开始使用SpeedPHP | 制作留言本 | 简便的数据表操作 | 用Smarty来显示页面

访问交互

入口文件 | 控制器架构 | 网址生成与PATH_INFO | 获取提交数据 | URLRewrite伪静态 | 自定义伪静态URL | 几种跳转 | 多语言实现 | 权限控制 | session、cookie | Ajax应用

数据操作

编写数据模型类 | 常规操作CRUD | 安全过滤 | 简化操作spDB | 数据变量存储 | 缓存配置

框架概述

单入口应用程序 | 架构设计 | 第三方类库及扩展功能 | UTF8编码与GBK版本 | SAE云计算版

模板引擎

模板引擎配置 | 使用Smarty | Smarty开发教程 | 自动显示模板| speedy教程 | 为什么使用模板其常见问题 | 模板包含文件 | 注册函数 | 全局变量赋值 | CSS和JS的路径

优化加速

生成静态HTML概述 | 生成HTML的使用 | 分页 | 高效函数缓存器| 模板引擎缓存

开发指南

核心函数 | 格式输出变量调试dump | 载入包含文件import | 类实例化函数spClass | 开发流程 | 目录结构、路径设置 | 大规模系统部署 | 用户自定义及全局操作 | 自定义函数库 | 自定义类库 | 自定义404页面 | 程序调试dump变量调试安全建议及命名建议

数据模型

高级数据库操作 | 数据表一对一关联 | 数据表一对多关联 | 数据表多对多关联 | 一表关联多表 | 关联结果的条件限制 | 关联结果在Smarty模板中显示 | 多数据库、数据表 | 多种类型数据库的配置 | 重写CRUD操作| 业务数据封装 | 数据函数复合调用

API参考

spModel数据库操作类 | spPager分页类 | spVerifier数据验证类 | spCache函数数据缓存类 | spLinker数据表关联实现类 | spView视图类 | spHtml静态HTML生成类 | spController控制器类 | spArgs环境参数类 | 配置 | 数据库驱动类 | 模板驱动类 | import载入文件