接上篇,咱們繼續講解PHP基礎
八、標準
PHP組件和框架的數量很多,隨之產生的問題就是:單獨開發的框架沒有考慮到與其他框架的通信。這樣對開發者和框架本身都是不利的。
打破舊局面的PHP-FIG
多位PHP框架的開發者認識到了這個問題,在2009年的 php|tek(一個受歡迎的PHP會議)上談論了這個問題。經過討論後得出:我們需要一個標準,用來提高框架的互操作性。於是這幾位在php|tek意外碰頭的PHP框架開發者組織了PHP Framework Interop Group,簡稱PHP-FIG。
PHP-FIG是框架代表自發組織的,其成員不是選舉產生的,任何人都可以申請加入PHP-FIG,並且能對處於提議階段的推薦規範提交反饋。另外,PHP-FIG發佈的是推薦規範,而不是強制規定。
PSR是什麼?
PSR是PHP Standards Recommendation(PHP推薦標準)的簡稱。截至今日,PHP-FIG發佈了五個推薦規範:
- PSR-1:基本的代碼風格
- PSR-2:嚴格的代碼風格
- PSR-3:日誌記錄器接口
- PSR-4:自動加載
你會發現只有四個,沒錯,因為第一份推薦規範PSR-0廢棄了,新發布的PSR-4替代了。
PSR-1:基本的代碼風格
如果想編寫符合社區標準的PHP代碼,首先要遵守PSR-1。遵守這個標準非常簡單,可能你已經再使用了。標準的細節就不寫啦,點鏈接就能看。
PSR-2:嚴格的代碼風格
PSR-2是在PSR-1的基礎上更進一步的定義PHP代碼規範。這個標準解決了很多世紀問題哈,比如縮進,大括號等等。細節也不多記錄啦。
另外,現在很多IDE(比如,PHPStorm)會有代碼格式化功能,設置代碼格式化的標準,編寫完代碼,然後全部格式化,可以幫助你遵循推薦規範,修復一些換行、縮進、大括號等細節。
PSR-3:日誌記錄器接口
這個推薦規範與前兩個不同,這是一個接口,規定PHP日誌記錄器組件可以實現的方法。符合PSR-3推薦規範的PHP日誌記錄器組件,必須包含一個實現Psr\\Log\\LoggerInterface接口的PHP類。PSR-3接口複用了RFC 5424系統日誌協議,規定要實現的九個方法:
namespace Psr\\Log;
interface LoggerInterface
{
public function emergency($message, array $context = array());
public function alert($message, array $context = array());
public function critical($message, array $context = array());
public function error($message, array $context = array());
public function warning($message, array $context = array());
public function notice($message, array $context = array());
public function info($message, array $context = array());
public function debug($message, array $context = array());
public function log($level, $message, array $context = array());
}
每個方法對應RFC 5424協議的一個日誌級別。
使用PRS-3日誌記錄器
如果你正在編寫自己的PSR-3日誌記錄器,可以停下來了。因為已經有一些十分出色的日誌記錄器組件。比如:monolog/monolog,直接用就可以了。如果不能滿足要求,也建議在此基礎上做擴展。
PSR-4:自動加載器
這個推薦規範描述了一個標準的自動加載器策略。自動加載器策略是指,在運行時按需查找PHP類,接口或性狀,並將其載入PHP解釋器。
為什麼自動加載很重要
在PHP文件的頂部你是不是經常看到類似下面的代碼?
include 'path/to/file1.php';
include 'path/to/file2.php';
include 'path/to/file3.php';
如果只需載入幾個PHP腳本,使用這些函數(include()、include_once()、require()、require_once())能很好的完成工作。可是如果你要引入一千個PHP腳本呢?
在PSR-4推薦規範之前,PHP組件和框架的作者使用__autoload()和spl_autoload_register()函數註冊自定義的自動加載器策略。可是,每個PHP組件和框架的自動加載器都使用獨特的自動加載器。因此,使用的組件多的時候,也是很麻煩的事情。
推薦使用PSR-4自動加載器規範,就是解決這個問題,促進組件實現互操作性。
PSR-4自動加載器策略
PSR-4推薦規範不要求改變代碼的實現方式,只建議如何使用文件系統目錄結構和PHP命名空間組織代碼。PSR-4的精髓是把命名空間的前綴和文件系統中的目錄對應起來。比如,我可以告訴PHP,\\Oreilly\\ModernPHP命名空間中的類、接口和性狀在物理文件系統的src/目錄中,這樣PHP就知道,前綴為\\Oreilly\\ModernPHP的命名空間中的類、接口和性狀對應的src/目錄裡的目錄和文件。
如何編寫PSR-4自動加載器
如果你在寫自己的PSR-4自動加載器,請停下來。我們可以使用依賴管理器Composer自動生成的PSR-4自動加載器。
九、過濾HTML
使用htmlentities()函數過濾輸入。
$input = '';
echo htmlentities($input, ENT_QUOTES, 'UTF-8');
需要注意的是:默認情況下,htmlentities()函數不會轉義單引號,而且也檢測不出輸入字符串的字符集。正確的使用方式是:
第一個參數輸入字符串;第二個參數設為ENT_QUOTES常量,轉移單引號;第三個參數設為輸入字符串的字符集。更多過濾HTML輸入的方式,可以使用HTML Purifier庫。這個庫強健且安全,缺點:慢,且可能難以配置。
十、SQL查詢
構建SQL查詢不好的方式:
$sql = sprintf(
'UPDATE users SET password = "%s" WHERE id = %s',
$_POST['password'],
$_GET['id']
);
如果 psasword=abc";-- ,則導致修改了整個users表的記錄password都未abc。如果需要在SQL查詢中使用輸入數據,要使用PDO預處理語句。
十一、用戶資料信息
A.過濾用戶資料中的電子郵件地址
這裡會刪除除字符、數字和!#$%&'*+-/=?^_{|}~@.[]`之外的所有其他符號。
$email = '[email protected]';
$emailSafe = filter_var($email, FILTER_SANITIZE_EMAIL);
B.過濾用戶資料中的外國字符
$string = "外國字符";
$safeString = filter_var(
$string,
FILTER_SANITIZE_STRING,
FILTER_FLAG_STRIP_LOW|FILTER_FLAG_ENCODE_HIGH
);
十二、驗證數據
驗證數據與過濾不同,驗證不會從輸入數據中刪除信息,而是隻確認輸入數據是否符合預期。
1、驗證電子郵件地址
我們可以把某個FILTER_VALIDATE_*標誌傳給filter_var()函數,除了電子郵件地址,還可以驗證布爾值、浮點數、整數、IP地址、正則表達式和URL。
$input = '[email protected]';
$isEmail = filter_var($input, FILTER_VALIDAE_EMAIL);
if ($isEmail !== false) {
echo "Success";
} else {
echo "Fail";
}
2、密碼
哈希算法有很多種,例如:MD5、SHA1、bcrypt和scrypt。有些算法的速度很快,用於驗證數據完整性;有些算法速度則很慢,旨在提高安全性。生成密碼和存儲密碼時需要使用速度慢、安全性高的算法。
目前,經同行審查,最安全的哈希算法是bcrypt。與MD5和SHA1不同,bcrypt是故意設計的很慢。bcrypt算法會自動加鹽,防止潛在的彩虹表攻擊。bcrypt算法永不過時,如果計算機的運算速度變快了,我們只需提高工作因子的值。
重新計算密碼的哈希值
下面是登錄用戶的腳本:
session_start();
try {
// 從請求主體中獲取電子郵件地址
$email = filter_input(INPUT_POST, 'email');
// 從請求主體中獲取密碼
$password = filter_input(INPUT_POST, 'password');
// 使用電子郵件地址獲取用戶(注意,這是虛構代碼)
$user = User::findByEmail($email);
// 驗證密碼和賬戶的密碼哈希值是否匹配
if (password_verify($password, $user->password_hash) === false) {
throw new Exception('Invalid password');
}
// 如果需要,重新計算密碼的哈希值
$currentHashAlgorithm = PASSWORD_DEFAULT;
$currentHashOptions = array('cost' => 15);
$passwordNeedRehash = password_needs_rehash(
$user->password_hash,
$currentHashAlgorithm,
$currentHashOptions
);
if ($passwordNeedsRehash === true) {
// 保存新計算得出的密碼哈希值(注意,這是虛構代碼)
$user->password_hash = password_hash(
$password,
$currentHashAlgorithm,
$currentHashOptions
);
$user->save();
}
// 把登錄狀態保存到回話中
...
// 重定向到個人資料頁面
...
} catch (Exception $e) {
//異常處理
...
}
值得注意的是:在登錄前,一定要使用password_needs_rehash()函數檢查用戶記錄中現有的密碼哈希值是否過期。如果過期了,要重新計算密碼哈希值。
PHP5.5.0之前的密碼哈希API
如果無法使用PHP5.5.0或以上版本,可以使用安東尼·費拉拉開發的ircmaxell/password-compat組件。這個組件實現了PHP密碼哈希API中的所有函數:
- password_hash()
- password_get_info()
- password_needs_rehash()
- password_verify()
十三、DateTime類
DateTime類提供一個面向對象接口,用於管理日期和時間。
沒有參數,創建的是一個表示當前日期和時間的實例:
$datetime = new DateTime();
傳入參數創建實例:
$datetime = new DateTime('2017-01-28 15:27');
指定格式,靜態構造:
$datetime = DateTime::createFromFormat('M j, Y H:i:s', 'Jan 2, 2017 15:27:30');
十四、DateInterval類
DateInterval實例表示長度固定的時間段(比如,“兩天”),或者相對而言的時間段(比如,“昨天”)。DateInterval實例用於修改DateTime實例。
使用DateInterval類:
// 創建DateTime實例
$datetime = new DateTime();
// 創建長度為兩週的間隔
$interval = new DateInterval('P2W');
// 修改DateTime實例
$datetime->add($interval);
echo $datetime->format('Y-m-d H:i:s');
創建反向的DateInterval實例:
// 過去一天
$interval = new DateInterval('-1 day');
十五、DateTimeZone類
如果應用要迎合國際客戶,可能要和時區鬥爭。
創建、使用時區:
$timezone = new DateTimeZone('America/New_York');
$datetime = new DateTime('2017-01-28', $timezone);
實例化之後,也可以使用setTimeZone()函數設置市區:
$datetime->setTimeZone(new DateTimeZone('Asia/Hong_Kong'));
十六、DatePeriod類
有時我們需要迭代處理一段時間內反覆出現的一系列日期和時間,DatePeriod類可以解決這種問題。DatePeriod類的構造方法接受三個參數,而且都必須提供:
- 一個Datetime實例,表示迭代開始時的日期和時間。
- 一個DateInterval實例,表示到下個日期和時間的間隔。
- 一個整數,表示迭代的總次數。
DatePeriod實例是迭代器,每次迭代時都會產出一個DateTime實例。
使用DatePeriod類:
$start = new DateTime();
$interval = new DateInterval('P2W');
$period = new DatePeriod($start, $interval, 3);
foreach ($period as $nextDateTime) {
echo $nextDateTime->format('Y-m-d H:i:s'), PHP_EOL;
}
十七、流
在現代的PHP特性中,流或許是最出色但最少使用的。雖然PHP4.3.0就引入了流,但很多開發者不知道流的存在,因為很少人提及流,而且流的文檔也匱乏。官方的解釋比較難理解,一句話說就是:流的作用是在出發地和目的地之間傳輸數據。
我把流理解為管道,相當於把水從一個地方引到另一個地方。在水從出發地流到目的地的過程中,我們可以過濾水,可以改變水質,可以添加水,也可以排出水(提示:水是數據的隱喻)。
流封裝協議
流式數據的種類各異,每種類型需要獨特的協議,以便讀寫數據。我們稱這些協議為流封裝協議。比如,我們可以讀寫文件系統,可以通過HTTP、HTTPS或SSH與遠程Web服務器通信,還可以打開並讀寫ZIP、RAR或PHAR壓縮文件。這些通信方式都包含下述相同的過程:
- 開始通信。
- 讀取數據。
- 寫入數據。
- 結束通信。
雖然過程一樣的,但是讀寫文件系統中文件的方式與手法HTTP消息的方式有所不同。流封裝協議的作用是使用通用的幾口封裝這些差異。
每個流都有一個協議和一個目標。格式如下:
<scheme>://<target>
/<target>/<scheme>
說這麼多有點懵,先看例子,使用HTTP流封裝協議與Flickr API通信:
$json = file_get_contents(
'http://api.flickr.com/services/feeds/photos_public.gne?format=json'
);
不要誤以為這是普通的網頁URL,file_get_contents()函數的字符串參數其實是一個流標識符。http協議會讓PHP使用HTTP流封裝協議。看起來像是普通的網頁URL,是因為HTTP流封裝協議就是這樣規定的:)。其他流封裝協議可能不是這樣。
file://流封裝協議
我們使用file_get_contents(),fopen(),fwrite()和fclose()函數讀寫文件系統。因為PHP默認使用的流封裝協議是file://,所以我們很少認為這些函數使用的是PHP流。
隱式使用file://流封裝協議:
$handle = fopen('/etc/hosts', 'rb');
while (feof($handle) !== true) {
echo fgets($handle);
}
fclose($handle);
顯式使用file://流封裝協議:
$handle = fopen('file:///etc/hosts', 'rb');
while (feof($handle) !== true) {
echo fgets($handle);
}
fclose($handle);
流上下文
有些PHP流能接受一些列可選的參數,這些參數叫流上下文,用於定製流的行為。流上下文使用stream_context_create()函數創建。
比如,你知道可以使用file_get_contents()函數發送HTTP POST請求嗎?如果想這麼做,可以使用一個流上下文對象:
$requestBody = '{"username": "beck"}';
$context = stream_context_create(array(
'http' => array(
'method' => 'POST',
'header' => "Content-Type: application/json;charset=utf-8;\\r\\n" .
"Content-Length: " . mb_strlen($requestBody),
"content" => $requestBody
)
));
$response = file_get_contents('https://my-api.com/users', false, $context);
流過濾器
關於PHP的流,其實真正強大的地方在於過濾、轉換、添加或刪除流中傳輸的數據。
注意:PHP內置了幾個流過濾器:string.rot13、string.toupper、string.tolower和string.strp_tags。這些過濾器沒什麼用,我們要使用自定義的過濾器。
若想把過濾器附加到現有的流上,要使用stream_filter_append()函數。比如,想要把文件中的內容轉換成大寫字母,可以使用string.toupper過濾器。書中不建議使用這個過濾器,這裡只是演示如何把過濾器附加到流上:
$handle = fopen('data.txt', 'rb');
stream_filter_append($handle, 'string.toupper');
while (feof($handle) !== true) {
echo fgets($handle); // }
fclose($handle);
使用php://filter流封裝協議把過濾器附加到流上: