SpeedPHP/安全建议及命名建议
|
SpeedPHP | 快速入门 | 访问交互 | 数据操作 | 框架概述 | 模板引擎 | 优化加速 | 开发指南 | 数据模型 | API参考 |
安全建议[ ]
在日常开发中,我们需要注意一些PHP的开发建议:
过滤[ ]
在SpeedPHP框架的数据库功能中,数组作为参数的情况下,输入的值都会经过“防SQL注入”的过滤。而在字符串参数和SQL直接运行的情况下,开发者应该自行使用spModel的escape函数进行“防注入”过滤,以保证数据库安全。
建议对由用户输入的,显示在页面的数据,进行XSS过滤。过滤的函数可以使用PHP函数htmlspecialchars、strip_ tags、和str_replace等函数进行过滤和转换。
用户登录[ ]
建议加入验证码机制以保证无法用程序来进行登录口令的枚举。
加入后台日志机制,记录用户的关键操作以供分析。
系统管理[ ]
应定期对系统进行安全检查,检查日志等。
部署时,建议设置“文件夹755、文件644、上传和临时目录设置为777并不可运行程序”。
部署时,启用部署模式,以保证系统调试信息不会出现在浏览器上。
建议使用单一入口,以最大限度保证系统安全。
命名建议[ ]
建议一种在日常开发中较为常用的函数/类命名规则。每个PHP开发团队可以根据此命名规则,制订适合本团队的编程规则。
- PHP类名小写或以小驼峰式命名(第一个单字以小写字母开始;第二个单字的首字母大写,如myClass)。
- Controller控制器类名称小写,以字母为主,可辅以数字作为类名,建议不加入“-_”等字符。
- Model模型类名称小写,以“m_”开头,字母为主(可加数字)
- 第三方类库名称自定,以“lib_”开头。
- 函数名称无特殊限制,按PHP函数命名规则。
- 需要在模板中注册的函数,建议以“tpl_”开头,以示区别。
- 框架自带核心函数、核心类均以“sp”开头,建议开发者定义的类和函数避免以“sp”开头,以免误解。
以上类名和函数名均要注意:
- 区分大小写
- 不能以数字开头
参考来源[ ]
http://speedphp.com/manual.html
SpeedPHP使用手册导航 | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|