有很多我們已經認識和了解的東西,有時候又會帶給我們不一樣的感覺,以下是本站小編精心爲大家整理的PHP框架的重新認識,從一個全新的角度來詮釋PHP框架。更多內容請關注應屆畢業生網!
有人認爲,PHP是每次請求都要初始化資源,這個開銷非常大。由此,PHP不適合使用開發框架。對於PHP,確實沒有類的持久化,使得每次請求都要初始化資源,但是,這並不是開銷的主要問題所在。最主要的問題,是在於開發PHP框架的人,對PHP本身的特性瞭解多少。最簡單的,MVC需要檢測UA,如果使用PHP自帶的get_browser函數,那肯定是死定了。因爲,使用上的方便與簡單,導致的是性能的開銷。 認爲不可使用PHP開發框架的,還有的觀點是:由於需要每次請求的時候初始化整個框架。其實,這也是一種誤解。如果好好看看PHP源碼,就會了解,PHP是按請求加載需要運行的文件,並不是整個框架。所以,對於框架本身,哪一種框架內核代碼時越小,性能越好。
還有觀點:由於PHP這種每請求初始化資源的機制,也造成了PHP添加跨請求的高級特性相當困難。其實,跨請求本身,要看在哪一個層面。PHP提供了各類加速的緩存機制。雖然PHP的類是由於目前序列化函數仍有限制,不能持久化,但數據緩存對PHP的加速是相當快的。所以,認爲由於這一限制,就使得PHP 只能是一個保持在一個比較簡單的web語言上面,這無疑更是錯誤的。PHP不乏大型的高速與高效的網站。並不是這些網站底層就沒有框架。
另外,還有輕信什麼測試的結果。對於測試結果,我覺得,沒有一絲一毫的可信度。我們無法相信這些測試結果,主要原因有這麼幾個方面。其一,PHP環境配置,是不是最優化配置?第二,測試結果中所選框架,是不是最優框架?僅拿CI與CAKE兩者來說,CI的日誌,沒有多種輸出,只有文件輸出。這對於大型網站的管理是極不方便的。但是,如果將其改用LOG4PHP,那性能上的損失將會是多少,是不可想象的。原因在於,LOG4PHP是完全照抄的Java。至於CAKE,更是完全照抄RAILS。完全不顧及PHP的性能與語言本身的特性。比如最簡單的,大量靜態方法的使用。勢必造成以空間換時間。CAKE中無處不在的靜態方法,導致了內存中堆積大量的類。這種以空間換時間,是速度加快了,還是性能損失了,有多少人真正系統測試過?CAKE讓RUBY的人瞭解PHP是對PHP的一個促進,同時,RAILS框架,也使得PHP框架得以注入新的血液,增加了新的開發思路。但,完全照抄是 PHP目前最大的悲劇。這個當中的經典之作:CAKE:RUBY ON RAILS, SMARTY: Java STRRUTS LOG4PHP:JAVA LOG4J,可悲的是,寫這些抄襲之作的作者,都是對PHP不太瞭解,大量照搬RUBY,JAVA中的.算法與函數,有些可以算是翻譯,比如, LOG4PHP中的PROPERTIIES文件的處理就是這樣,不必再舉更多的實例了。爲什麼不能把JSF,或TYPESTRY也抄到PHP中,這是因爲,如果沒有很好的PHP功底,這幾乎是不可能的。因爲,這兩個東西,如果也是照抄過來,勢必慢如蝸牛。
再有,夢想不用PHP框架開發大型網站,肯定是錯上加錯。WORDPRESS,DISCUZ這類無框架,無架構的極端糟糕的代碼,網上已屢見不鮮。
要訪問數據庫,最小的需求,也要把數據庫訪問封裝成一個類吧?要進行錯誤與異常管理,也需要一個類吧?如果是大型的網站,總要有錯誤日誌輸出,以方便調視與運行監視吧。所以這些,拼一下,也算是PHP開發框架呀。
看樣子,否認PHP應當有框架的人,肯定也就認定,PHP做不了大網站。或者說,認定,PHP做大網站,也是垃圾架構。這可能是太武斷了。
凡認爲PHP是反框架的,實際上,是不瞭解PHP語言的一些瓶頸在何處,無法寫出高效的框架,所以,才這樣認爲的。
【拓展閱讀】 PHP 安全編程建議
簡介
要提供互聯網服務,當你在開發代碼的時候必須時刻保持安全意識。可能大部分 PHP 腳本都對安全問題都不在意,這很大程度上是因爲有大量的無經驗程序員在使用這門語言。但是,沒有理由讓你因爲對你的代碼的不確定性而導致不一致的安全策略。當你在服務器上放任何涉及到錢的東西時,就有可能會有人嘗試破解它。創建一個論壇程序或者任何形式的購物車,被攻擊的可能性就上升到了無窮大。
背景
爲了確保你的 web 內容安全,這裏有一些常規的安全準則:
別相信表單
攻擊表單很簡單。通過使用一個簡單的 JavaScript 技巧,你可以限制你的表單只允許在評分域中填寫 1 到 5 的數字。如果有人關閉了他們瀏覽器的 JavaScript 功能或者提交自定義的表單數據,你客戶端的驗證就失敗了。
用戶主要通過表單參數和你的腳本交互,因此他們是最大的安全風險。你應該學到什麼呢?在 PHP 腳本中,總是要驗證 傳遞給任何 PHP 腳本的數據。在本文中,我們向你演示瞭如何分析和防範跨站腳本(XSS)攻擊,它可能會劫持用戶憑據(甚至更嚴重)。你也會看到如何防止會玷污或毀壞你數據的 MySQL 注入攻擊。
別相信用戶
假定你網站獲取的每一份數據都充滿了有害的代碼。清理每一部分,即便你相信沒有人會嘗試攻擊你的站點。
關閉全局變量
你可能會有的最大安全漏洞是啓用了 register_globals 配置參數。幸運的是,PHP 4.2 及以後版本默認關閉了這個配置。如果打開了 register_globals,你可以在你的 文件中通過改變 register_globals 變量爲 Off 關閉該功能:
register_globals = Off
新手程序員覺得註冊全局變量很方便,但他們不會意識到這個設置有多麼危險。一個啓用了全局變量的服務器會自動爲全局變量賦任何形式的參數。爲了瞭解它如何工作以及爲什麼有危險,讓我們來看一個例子。
假設你有一個稱爲 的腳本,它會向你的數據庫插入表單數據。初始的表單像下面這樣:
運行 的時候,啓用了註冊全局變量的 PHP 會將該參數賦值到 $username 變量。這會比通過 $_POST['username'] 或 $_GET['username'] 訪問它節省擊鍵次數。不幸的是,這也會給你留下安全問題,因爲 PHP 會設置該變量的值爲通過 GET 或 POST 的參數發送到腳本的任何值,如果你沒有顯示地初始化該變量並且你不希望任何人去操作它,這就會有一個大問題。
看下面的腳本,假如 $authorized 變量的值爲 true,它會給用戶顯示通過驗證的數據。正常情況下,只有當用戶正確通過了這個假想的 authenticated_user() 函數驗證,$authorized 變量的值纔會被設置爲真。但是如果你啓用了 register_globals,任何人都可以發送一個 GET 參數,例如 authorized=1 去覆蓋它:
// Define $authorized = true only if user is authenticated
if (authenticated_user()) {
$authorized = true;
}
?>
這個故事的寓意是,你應該從預定義的服務器變量中獲取表單數據。所有通過 post 表單傳遞到你 web 頁面的數據都會自動保存到一個稱爲 $_POST 的大數組中,所有的 GET 數據都保存在 $_GET 大數組中。文件上傳信息保存在一個稱爲 $_FILES 的特殊數據中。另外,還有一個稱爲 $_REQUEST 的複合變量。
要從一個 POST 方法表單中訪問 username 字段,可以使用 $_POST['username']。如果 username 在 URL 中就使用 $_GET['username']。如果你不確定值來自哪裏,用 $_REQUEST['username']。
$post_value = $_POST['post_value'];
$get_value = $_GET['get_value'];
$some_variable = $_REQUEST['some_value'];
?>
$_REQUEST 是 $_GET、$_POST、和 $_COOKIE 數組的結合。如果你有兩個或多個值有相同的參數名稱,注意 PHP 會使用哪個。默認的順序是 cookie、POST、然後是 GET。
推薦安全配置選項
這裏有幾個會影響安全功能的 PHP 配置設置。下面是一些顯然應該用於生產服務器的:
register_globals 設置爲 off
safe_mode 設置爲 off
error_reporting 設置爲 off。如果出現錯誤了,這會向用戶瀏覽器發送可見的錯誤報告信息。對於生產服務器,使用錯誤日誌代替。開發服務器如果在防火牆後面就可以啓用錯誤日誌。(LCTT 譯註:此處據原文邏輯和常識,應該是“開發服務器如果在防火牆後面就可以啓用錯誤報告,即 on。”)
停用這些函數:system()、exec()、passthru()、shell_exec()、proc_open()、和 popen()。
open_basedir 爲 /tmp(以便保存會話信息)目錄和 web 根目錄,以便腳本不能訪問這些選定區域外的文件。
expose_php 設置爲 off。該功能會向 Apache 頭添加包含版本號的 PHP 簽名。
allow_url_fopen 設置爲 off。如果你能夠注意你代碼中訪問文件的方式-也就是你驗證所有輸入參數,這並不嚴格需要。
allow_url_include 設置爲 off。對於任何人來說,實在沒有明智的理由會想要訪問通過 HTTP 包含的文件。
一般來說,如果你發現想要使用這些功能的代碼,你就不應該相信它。尤其要小心會使用類似 system() 函數的代碼-它幾乎肯定有缺陷。
啓用了這些設置後,讓我們來看看一些特定的攻擊以及能幫助你保護你服務器的方法。
