狠狠色丁香婷婷综合尤物/久久精品综合一区二区三区/中国有色金属学报/国产日韩欧美在线观看 - 国产一区二区三区四区五区tv

LOGO OA教程 ERP教程 模切知識交流 PMS教程 CRM教程 開發(fā)文檔 其他文檔  
 
網(wǎng)站管理員

五大受損, 全面解析PHP的糟糕設(shè)計

admin
2012年4月18日 22:7 本文熱度 2733

譯者注:這篇文章很長,而且可能讀起來很亂,很難懂

前言


    我的脾氣古怪. 我會抱怨很多東西. 這個星球上大多數(shù)技術(shù)我都不喜歡.


    PHP不僅使用起來尷尬, 還有要嘛我想要的不適合, 要嘛不是最令人滿意, 要嘛違背我的信仰. 我可以告訴你關(guān)于一門語言, 所有我想避免的好方式, 所有我喜歡的壞方式. 來吧, 問吧! 談話會很有趣!


    php是唯一的例外. 幾乎php抽象的所有東西都是支離破碎的. 包括語言, 框架, 整個生態(tài)系統(tǒng)都一塌糊涂. 我?guī)缀醪荒軉为毩谐鲋淞R的事情, 因為它全身都壞了. 每次我打算編輯一堆雜亂如麻的php抱怨清單的時候, 我都被一些瑣事打亂, 越深入就越會發(fā)現(xiàn)其它令人震驚的事情.


    php讓人難堪. 它是如此的破碎, 但那些被培訓的業(yè)余愛好者, 卻對它稱贊不已. php在做一些徽不足道的挽回措施, 但我選擇忘記它.


    不過我得讓我的系統(tǒng)擺脫這些東西, 也就這樣了, 這是最后一次嘗試.


打個比喻




我只是隨口和 Mel 抱怨下, 而她卻堅決讓我發(fā)表出來.


    我甚至說不出來PHP到底怎么了, 因為 -- 還好. 想想你有一個, 嗯, 工具箱吧. 一堆工具. 看起來還好, 有標準的東西.


    你拔除螺絲釘, 它怪異的有三個頭.  OK, 好吧, 這對你不太有用, 但你猜遲早有天會有用.


    你拿出榔頭, 被震住了, 兩邊都有是尖爪. 但它仍然能用, 我的意思是, 你可以用兩頭的中部斜著敲.


    你拿出老虎鉗, 但它們沒有鋸齒面. 表面平而光滑. 這沒多大用, 但依然能用, 沒什么.


    你可以繼續(xù). 工具箱的東西都是怪異和琢磨不定的, 但又不能說毫無價值. 整體看沒什么大問題; 它的工具都齊全.


    現(xiàn)在, 想象有很多使用這些工具的木匠, 它們和你說:"這些工具有什么問題呢? 我們都用過, 它們工作都很好啊!". 工匠們給你展示他們建的房子,每個門都是五邊形的而屋頂是癲倒的. 你敲前門, 它向內(nèi)倒榻了, 而他們卻抱怨你打破了他們的門.


    這就是PHP的問題. 


立場




我認為下面的特質(zhì)對于一門語言的生產(chǎn)力和可用性是重要的, 而PHP在大范圍破壞它們. 如果你不同意這些, 好吧, 我無法想像, 我們永遠不會達成一致.


    >>    一門語言必須是可預見的. 它是將人類的思想反映給計算機執(zhí)行的媒介, 因此它的關(guān)鍵是, 人類對程序的理解實際要正確.


    >>    語言必須一致. 相似的東西就要看起來相似, 不同的就是不同. 學習了語言的部分知識, 就應(yīng)能很容易理解剩下的部分.


    >>    語言必須簡潔. 新語言應(yīng)該減少繼承舊語言的不好的形式. (我們也可以寫機器碼.) 新語言當然應(yīng)努力避免織入新的特有的形式.


    >>    語言必須是可靠的. 語言是解決問題的工具; 應(yīng)盡量避免引入新問題. 任何"陷阱"都會大量的分散注意力.


    >>    語言必須是可調(diào)試的. 當出錯的時候, 程序員必須修正它, 我們需要獲得我們想要的幫助.


我的立場是:


    >>    PHP到處處充滿驚奇: mysql_real_escape_string, E_ACTUALLY_ALL


    >>    PHP不一致: strpos, str_rot13


    >>    PHP需要特別形式: error-checking around C API calls, ===


    >>    PHP古怪: ==. for($foo as &$bar)


    >>    PHP晦澀: 默認無棧跟蹤或fatals, 復雜的錯誤報告


我不能就單個問題解釋為什么它歸為這些類, 否則將會沒完沒了. 我相信讀者自己會思考.


不要再和我扯這些東西了




我知道很多有利的論點. 我也聽到很多反駁的論點. 這些都只能讓談話立即停止. 不要再跟我扯這些東西了, 求你了. :(



    >>    不要和我說"好的開發(fā)者能用任何語言寫出好的代碼", 或者壞開發(fā)者.. 吧啦吧啦. 這毫無意義. 好的工匠可以用石頭或錘子駕馭釘子, 但你見過有多少工匠用石頭的? 成為一個好開發(fā)者的標準之一就是善于選擇工具.


    >>    不要和我說熟記上千個例外和古怪行為是開發(fā)者的職責. 是的, 這在任何系統(tǒng)中都是必要的, 因為電腦是傻的. 這不意味著, 系統(tǒng)能瘋狂的接受而沒有上限. PHP有的只是異常, 這是不行的, 一旦和語言摔角決斗, 你實際編寫程序就要花費更多的努力. 我的工具不能為我創(chuàng)建應(yīng)用產(chǎn)生積極作用.


    >>    不要和我說 "那就是C API 的工作方式". 這星球上高級語言存在的目的是什么, 它們能提供的一切僅僅是一些字符串助手函數(shù)和一堆C的包裝器? 如果是這樣, 那就用C! 這里, 甚至還有為它準備的CGI庫.


    >>    不要和我扯 "搞出奇怪的事, 是你活該". 如果存在兩個特性, 總有一天, 某些人會找到一起使用它們的理由. 再次強調(diào), 這不是C; 這里沒有規(guī)范, 這里不需要 "未定義行為".


    >>    不要再和我扯 Facebook 和 Wikipedia 就用的PHP.  我早知道了! 它們也能用 Brainfuck 寫, 但只要他們足夠陪明, 不斷折騰這些事情, 他們總能克服平臺的問題. 眾所周知, 如果使用其它語言編寫, 開發(fā)時間可能會減少一半或加倍; 單獨拿出這些數(shù)據(jù)毫無意義.


上帝保佑, 不要再和我扯任何東西了!  如果列出的沒有傷害你的PHP的觀點, 無所謂, 因此請停止在網(wǎng)上做無意義的爭論, 繼續(xù)開發(fā)高帥富酷的站點來證明我是錯的 :).


偷偷告訴你: 我非常喜歡Python. 我也很樂意對它說些你不愛聽的話, 如果你真想的話. 我并不要求它完美; 我只是想揚長避短, 總結(jié)我想要的最佳東西.




PHP


語言核心




CPAN被稱為 "Perl的標準庫". 這并沒有對Perl的標準庫做過多說明, 但它蘊含了健壯的核心可以構(gòu)建強大的東西的思想.


基本原則




PHP最初很明確的是為非程序員設(shè)計的(言外之意,  非專業(yè)程序); 根源已經(jīng)很難脫離. 從PHP 2.0 文檔中挑選出來的對話:


    一旦你開始為每個類型區(qū)分不同的操作符, 你就開始使用語言變得復雜了. 例如, 你不能為strings使用 '==', 你現(xiàn)在必須用 'eq'. 我沒看出這點來, 特別是那些類似PHP的腳本語言, 它們大多數(shù)相當簡單而多數(shù)情況下, 作為非程序員, 只想要一門包含少量基本邏輯語法的語言, 而不想付出過多學習曲線.


    >>    PHP 為保持前進不惜代價. 什么都有比沒有好.


    >>    這不是個正確的設(shè)計原則. 早期的PHP受Perl影響; 大量的標準庫參考C使用 "out" 參數(shù); OO部分的設(shè)計像C++和Java.


    >>    PHP從其它語言中引入大量的靈感, 但對那些熟知其它語言的人, 仍然難以理解. (int)看起來像 C, 但是 int 并不存在. 命名空間使用 \. 新的數(shù)組語法使用 [key => value], 不同于任何其它語言定義hash字面量的形式.


    >>    弱類型(例如, 默默的自動在 strings/mumbers/等間轉(zhuǎn)換)是如此的復雜.


    >>    少量的新特性以新語法實現(xiàn); 大多數(shù)工作通過函數(shù)或者看起來像函數(shù)的東西完成. 除了類的支持, 這理所當然的需要新的操作符和關(guān)鍵字.


    >>    本頁列出的問題都有官方解決方案 -- 如果你想資助 Zend 修復它們的開源編程語言的話. 


    >>    路漫漫, 其修遠. 思考下面的代碼, 從PHP文檔的某地方挑出來的. 









1 @fopen('http://example.com/not-existing-file', 'r');



    它將做什么? 


        >>    如果PHP使用 --disable-url-fopen-wrapper編譯, 它將不工作. (文檔沒有說, "不工作"是什么意思; 返回 null, 拋出異常?)


        >>    注意這點已在 PHP 5.2.5 中移除.


        >>    如果 allow_url_fopen 在 php.ini 中禁用, 也將不工作. (為什么? 無從得知.)


        >>    由于 @ , non-existent file 的警告將不打印.


        >>    但如果在php.ini中設(shè)置了scream.enabled, 它又將打印.


        >>    或者如果用 ini_set 手動設(shè)置 scream.enabled. 


        >>    但, 如果 error_reporting 級別沒設(shè)置, 又不同.


        >>    如果打印出來了, 精確去向依賴于 display_errors , 再一次還是在 php.ini. 或者 ini_set中.


    我無法告訴你這個函數(shù)調(diào)用的行為, 如果沒有查看編譯時標志 , 服務(wù)器端配置, 和我的程序中的配置的話. 這些都是內(nèi)建行為.


    >>    該語言充滿了全局和隱似狀態(tài). mbstring 使用全局字符編碼. func_get_arg 之類的看起來像正常的函數(shù), 但是只對當前正在執(zhí)行的函數(shù)操作. Error/exception 處理默認是全局的. register_tick_function 設(shè)置了一個全局函數(shù)去運行每個 tick(鉤子?) ---- 什么?!


    >>    沒有任何線程支持. (不奇怪, 因為上面已給出.) 加之缺乏內(nèi)建的 fork (下面提到), 使得并行編程極其困難.


    >>    PHP的某些部分在實踐中會產(chǎn)生錯誤代碼.


        >>    json_decode 對不正確的輸入返回 null,  盡管 null 也是一個 JSON 解碼的合法對象 -- 該函數(shù)極不可靠, 除非你每次使用后都調(diào)用 json_last_error. 


        >>    如果在位置0處找到, array_search , strpos, 和其它類似的函數(shù)返回0, 但如果都沒有找到的話. 會返回 false


讓我們稍稍展開最后一部分.


    在C中, 函數(shù)如 strpos 返回 -1, 如果未找到. 如果你沒檢查這種情況, 卻試著以下標使用它, 那將可能命中垃圾內(nèi)存, 程序會崩潰. (也許吧, 這是C. 誰泥馬知道. 我確定至少有工具處理它)


    話說, Python中, 等效的 .index 方法將拋出一個異常, 如果元素沒找到的話. 如果你不檢查該情形, 程序?qū)⒈罎?


    在PHP中, 該函數(shù)返回 false. 如果你把 FALSE 作為下標使用, 或者用它做其他事情, PHP會默默的將它轉(zhuǎn)成0, 但除了用于 === 比較. 程序是不會崩潰的; 它將執(zhí)行錯誤的邏輯, 且無任何警告, 除非你記得在每個使用 strpos 和其它類似函數(shù)的地方包含正確的樣版處理代碼.


    這真是糟透了! 編程語言只是工具; 它們是為我服務(wù)的. 這里, PHP給我布下了陷阱, 等著我跳進去, 而我不得不時刻警惕這些無聊的字符串操作和相等比較. PHP是個雷區(qū).


我已經(jīng)聽過很多關(guān)于PHP解析器的故事, 它的開發(fā)者來自世界各地. 有從事PHP核心開發(fā)工作的人, 有調(diào)試PHP核心的人, 也有和核心開發(fā)者交流過的人. 沒有一個故事是贊賞的.


因此不得不在這里插入一句, 因為它值得重復: PHP是個業(yè)余愛好者的社區(qū). 極少數(shù)人設(shè)計, 為它工作, 或極少有人知道他們在做什么. (哦, 親愛的讀者, 你當然是個極品例外!) 那些成長了, 想轉(zhuǎn)投其它平臺的人, 使整個社區(qū)的平均水平下降. 這個, 就是這里, 是PHP的最大問題: 絕對的盲目領(lǐng)導盲目.


好了, 回來面對現(xiàn)實吧.


操作符


     == 不中用.


        >>    "foo" == TRUE , 和 "foo" == 0... 但, 當然 TRUE != 0.


        >>    == 會將兩邊轉(zhuǎn)成數(shù)字, 如果可能的話,  這意味著它將轉(zhuǎn)成 floats 如果可能. 所以大的16進制字符串(如, password hashes) 可能偶然會比較成 true , 盡管它們不一樣. 就連 JavaScript 都不會這樣做.


        >>    由于某些原因, "6" == "6", "4.2" == "4.20", 和 "133" == "0133". 但注意 133 != 0133, 因為 0133 是八進制的.


        >>    === 比較值和類型... 除了對象, 只有兩邊實際上是同一對象才為 true ! 對于對象, == 比較值(或每個屬性)和類型, 這又是 === 比較任何非對象類型的行為. 好玩嗎?


    比較大小也好不到哪去.


        >>    甚至行為都不一致: NULL < -1, 而 NULL == 0. 排序也因此不確定; 它依賴于在排序中比較元素的算法的順序.


        >>    比較操作符嘗試排序數(shù)組, 以兩種不同的方式: 首先按長度, 然后按元素. 如果它們有相同數(shù)量的元素但不同的keys, 它們是不可比的.


        >>    對象比較比其它比較做得更多... 除了那些即不小于也不大于的對象.


        >>    為了類型更安全的 == 比較, 我們有 ===. 為了類型更安全的 < 比較, 我們有... 什么也沒有. "123" < "0124", 通常, 不管你怎么做. 類型轉(zhuǎn)換也無濟于事.


    >>    盡管上面的舉動很瘋狂, 但卻明確拒絕Perl's的字符串 paris 和算術(shù)運行符, PHP沒有重載 +. + 就是通常的 +, 而 . 是通常的連接符.


    >>    [] 下標操作符也可以拼寫成 {}.


    >>    [] 可以用于任何變量, 不光是字符串和數(shù)組. 它返回 null , 無錯誤警告.


    >>    [] 僅能獲取單個元素.


    >>    foo()[0] 是個語法錯誤. (已在 PHP 5.4 中修復)


    >>    不像(從字面上看)任何其它語言都有的類似的操作符, ?: 是左結(jié)合的. 因此:









01 $arg = 'T';






02  






03 $vehicle = ( ( $arg == 'B' ) ? 'bus' :






04  






05              ( $arg == 'A' ) ? 'airplane' :






06  






07              ( $arg == 'T' ) ? 'train' :






08  






09              ( $arg == 'C' ) ? 'car' :






10  






11              ( $arg == 'H' ) ? 'horse' :






12  






13              'feet' );






14  






15 echo $vehicle;


    打印 horse.


變量


>>    無法聲明變量. 當?shù)谝淮问褂脮r, 不存在的變量會被創(chuàng)建為 null 值.


>>    全局變量在使用前, 需要 global 聲明. 這是根據(jù)上面得出的自然結(jié)果, 因此這是個完美的理由, 但, 如果沒有顯示的聲明, 全局變量甚至無法讀取 -- PHP 將悄悄的創(chuàng)建一個局部同名變量取代它. 我還沒見過其它語言使用類似的方法處理范圍問題.


>>    沒有引用. PHP所謂的引用是個真正的別名; 這無疑是一種倒退, 不像 Perl 的引用, 也沒有像 Python 那樣的對象標識傳遞.


>>    沒有明顯的方式檢測和取消引用.


>>    "引用" 使變量在語言中與眾不同. PHP 是動態(tài)類型的, 因此變量通常無類型... 除了引用, 它修飾函數(shù)定義, 變量語法, 和賦值. 一旦變量被引用(可在任何地方發(fā)生), 它就一直是個引用. 沒有明顯的方法探測和解引用需要的變量值.


>>    好吧, 我說謊了. 有些"SPL types" 也作用于變量: $x = new SplBool(true); $x = "foo"; 將失敗. 這有點像靜態(tài)類型, 自己看看.


>>    A reference can be taken to a key that doesn’t exist within an undefined variable (which becomes an array). Using a non-existent array normally issues a notice, but this does not.


>>    通過函數(shù)定義的常量稱為 taking a string; 這之前, 它們不存在. (這可能實際上是復制 Perl 使用常量的行為.)


>>    變量名是大小寫敏感的. 函數(shù)和類名不是. 使得方法使用駝峰式命名會很奇怪. 


結(jié)構(gòu)


>>    array() 和幾個類似的結(jié)構(gòu)不是函數(shù).  $func = "array"; $func(); 不工作.


>>    數(shù)組拆包可以使用 list($a,$b) = .... 操作完成. list() 是類函數(shù)語法, 就像數(shù)組那樣. 我不知道為什么不給一個真正的專用語法, 也不知道為什么名字如些的讓人迷惑.


>>    (int) 很顯然的被設(shè)計成類似C, 但它不是單獨的標記; 在語言中, 沒有東西被稱為 int. 試試看: var_dump(int)不工作, 它會拋出一個解析錯誤, 因為參數(shù)看起來像是強制轉(zhuǎn)操作符.


>>    (integer) 是 (int) 的別名. 也有 (bool)/(boolean)和(float)/(double)/(real).


>>    有個(array)操作符用來轉(zhuǎn)成數(shù)組和 (object) 用來轉(zhuǎn)成對象. 這聽起來很貼心, 但常常有個用例: 你可以用 (array) 使得某個函數(shù)參數(shù), 既可以是單個元素,也可以是列表, 相同對待. 但這樣做不可靠, 因為如果某人傳遞了單個對象,把它轉(zhuǎn)換成數(shù)組將實際上生成了一個包含對象屬性的數(shù)組. (轉(zhuǎn)換成對象執(zhí)行了反轉(zhuǎn)操作.)


>>    include()這類的函數(shù)基本上就是C的#include: 他們將其它的文件源碼轉(zhuǎn)存到你的文件中. 沒有模塊系統(tǒng), 甚至對 PHP 代碼也一樣.


>>    沒有類似嵌套或者局部范圍的函數(shù)或類. 它們都是全局的. include 某文件, 它的變量導入到當前函數(shù)范圍中(給了文件訪問你的變量的能力), 但是函數(shù)和類存入全局范圍中. 


>>    追加數(shù)組使用 $foo[] = $bar.


>>    echo 不是函數(shù).


>>    empty($var) 是如此極端, 對于任何其它東西不表現(xiàn)為函數(shù), 除了變量, e.g. empty($var || $var2), 是個解析錯誤. 為什么地球上有這種東西, 解析器為什么需要了解 empty ?


>>    還有些冗余的語法塊: if (...): ... endif;, 等等.


錯誤處理 


>>    PHP 的一個獨特操作符是 @ (實際上從DOS借用過來的), 它隱藏錯誤.


>>    PHP 錯誤不提供棧軌跡. 你不得不安裝一個處理器生成它們. (但 fatal errors不行 -- 見下文.)


>>    PHP 的解析錯誤通常只拋出解析的狀態(tài), 沒其它東西了, 使得調(diào)試很糟糕.


>>    PHP 的解析器所指的例如.  ::  內(nèi)部作為 T_PAAMAYIM_NEKUDOTAYIM, 而 << 操作符作為 T_SL. 我說 "內(nèi)部的", 但像上面說的, 給程序員顯示的 :: 或 << 出現(xiàn)在了錯誤的位置. 


>>    大多數(shù)錯誤處理打印給服務(wù)器日志打印一行錯誤日志, 沒人看到而一直進行.


>>    E_STRICT看起來像那么回事, 但它實際上沒多少保護, 沒有文檔顯示它實際上是做什么的.


>>    E_ALL包含了所有的錯誤類別 -- 除了 E_STRICT.


>>    關(guān)于什么允許而什么不允許是古怪而不一致的. 我不知道 E_STRICT 是怎樣適用于這里的, 但這些卻是正確的:


        >>    試圖訪問不存在的對象屬性, 如, $foo->x. (warning)


        >>    使用變量做為函數(shù)名, 或者變量名, 或者類名. (silent)


        >>    試圖使用未定義常量. (notice)


        >>    試圖訪問非對象類型的屬性.(notice)


        >>    試圖使用不存在的變量名.(notice)


        >>    2 < "foo" (隱藏)


        >>    foreach (2 as $foo); (warning)


而下面這些不行:


        >>    試圖訪問不存在的類常量, 如 $foo::x. (fatal error)


        >>    使用字符串常量作為函數(shù)名, 或變量名, 或類名. (parse error)


        >>    試圖調(diào)用一個示定義函數(shù). (fatal error)


        >>    Leaving off a semicolon on the last statement in a block or file. (parse error)


        >>    使用 list 和其它準內(nèi)建宏作為方法名. (parse error)


        >>    用下標訪問函數(shù)的返回值, 如: foo()[0]. (parse error; 已在 5.4 中修復)


    在列表的其他地方也有幾個關(guān)于其它怪異解析錯誤的好例子


>>    __toString 方法不能拋出異常. 如果你嘗試, PHP 將 ... 呃, 拋出一個異常. (實際上是個 fatal error, 可以被通過的, 除了...)


>>   PHP 錯誤和 PHP 異常是完全不同的物種. 它們不能相互作用.


        >>    PHP 錯誤 (內(nèi)部, 稱為 trigger_error)不能被 try/catch 捕獲.


        >>    同樣, 異常不能通過 set_error_handler 安裝的錯誤處理器觸發(fā)錯誤.


        >>    作為替代, 有一個單獨的 set_exception_handler 可以處理未捕獲的異常, 因為用 try 塊包裝你程序入口在         mod_pho 模塊中是不可能的.


        >>    Fatal 錯誤 (例如, new ClassDoesntExist()) 不能被任何東西捕獲. 大量的完全無害的操作會拋出 fatal 錯誤, 由 于一些有爭議的原因被迫終結(jié)你的程序. 關(guān)閉函數(shù)仍然運行, 但它們無法獲取棧軌跡(它們運行在上層), 它們很難告知該程序是由一個錯誤還是程序的正常運行結(jié)束.


>>    沒有 finally 結(jié)構(gòu), 使得包裝代碼 (注冊處理器, 運行代碼, 注銷處理器; monkeypatch, 運行測試, unmonkeypatch) 很難看, 很難寫. 盡管 OO 和異常大量的復制了Java的模式, 這是故意的, 因為 finally "在PHP上下文中, 只得其形不得其神".Huh ?


函數(shù)


>>    函數(shù)調(diào)用似乎相當昂貴.


>>    一些內(nèi)建函數(shù)與 reference-returning 函數(shù)交互, 呃, 一種奇怪的方式.


>>    正如在別處提到的, 很多看起來像函數(shù)或者看起來它們應(yīng)該是函數(shù)的東西實際上是語言的構(gòu)成部分, 因此無法像正常函數(shù)一樣的工作.


>>    函數(shù)參數(shù)可以具有 "類型提示", 基本上只是靜態(tài)類型. 你不能要求某個參數(shù)是 int 或是 string 或是 對象 或其它 "核心" 類型, 即使每個內(nèi)建函數(shù)使用這種類型, 可能因為 int 在PHP中不是個東西吧. (查看上面關(guān)于 (int) 的討論). 你也不能使用特殊的被大量內(nèi)建函數(shù)使用的偽類型裝飾: mixed, number, or callback.


>>    因此, 下面:









1 function foo(string $s) {}






2   






3 foo("hello world");


    產(chǎn)生錯誤 the error:


       PHP Catchable fatal error:  Argument 1 passed to foo() must be an instance of string, string given,         called in...


        >>    你可能會注意到 "類型提示" 實際上并不存在; 在程序中沒有 string 類. 如果你試圖使用         ReflectionParameter::getClass() 動態(tài)測試類型提示, 將會得到類型不存在, 使得實際上不可能取得該類型名.


       >>     函數(shù)的返回值不能被推斷


>>    將當前函數(shù)的參數(shù)傳給另一個函數(shù) (分派, 不罕見) 通過 call_user_func_array('other_function', func_get_args())完成. 但 func_get_args 在運行時拋出一個 fatal 錯誤, 抱怨它不能作為函數(shù)參數(shù). 為什么為什么這是個類型錯誤? ( 已在 PHP 5.3 中修復)


>>    閉包需要顯示的命名每個變量為 closed-over. 為什么解析器不想辦法解決? (Okay, it’s because using a variable ever, at all, creates it unless explicitly told otherwise.)


>>    Closed-over 變量, 通過和其它函數(shù)參數(shù)相同的語義"傳遞". 這樣的話, 數(shù)組和字符串等等, 將以傳值方式傳給閉包. 除非使用 &.


>>    因為閉包變量會自動傳遞參數(shù), 沒有嵌套范圍, 閉包不能指向私有方法, 不管是否定義在類中. ( 可能在 5.4 中修復? 不清楚.)


>>    函數(shù)沒有命名參數(shù). 實際上被 devs 顯示拒絕, 因為它 "會導致代碼臭味".


>>    Function arguments with defaults can appear before function arguments without, even though the documentation points out that this is both weird and useless. (So why allow it?)


>>    向函數(shù)傳遞額外的參數(shù)會被忽略 (除了內(nèi)建函數(shù), 會拋出異常). 丟失的參數(shù)被假定為 null.


>>    "可變" 函數(shù)需要 func_num_args, func_get_arg, 和 func_get_args. 這類事情沒有語法.


OO


>>    PHP的函數(shù)部分被設(shè)計成類似C, 但面向?qū)ο?(ho ho) 被設(shè)計成類似 Java. 我不想過分強調(diào)這有多不合諧. 我還沒有發(fā)現(xiàn)一個有大寫字母的全局函數(shù), 重要的內(nèi)建類使用駝峰式方法命名, 并有g(shù)etFoo的Java風格的屬性訪問器. 這是門動態(tài)語言, 對嗎? Perl, Python, 和 Ruby 都有一些 通過代碼訪問"屬性"的概念; PHP 僅僅有笨重的 __get 之類的東西. 類型系統(tǒng)圍繞著低層的 Java語言設(shè)計, Java 和PHP's處一時代, Java 有意的做了更多限制, 照搬Java, 我百思不得其解.


>>    類不是對象. 元編程不得不通過字符串名指向它們, 就像函數(shù)一樣.


>>    內(nèi)建的類型不是對象, (不像Perl) 也無法使得看起來像對象.


>>    instanceof 是個操作符, 盡管很晚才增加進來, 而大多數(shù)語言都建有專門的函數(shù)和語法. 受Java影響嗎? 類不是第一類? (我不知道它們是不是.)


    >>    但有一個 is_a 函數(shù). 它有個可選參數(shù)指定是否允許對象實際是一個字符串命名的類.


    >>    get_class 是函數(shù); 沒有 typeof 操作符. 同樣有 is_subclass_of.


    >>    然而, 這對于內(nèi)建類型無法工作, (再一次, int 不是個東西). 這樣, 你需要 is_int 等等.


    >>    右值必須是變量或字面量; 不能是表達式. 不然會導致... 一個解析錯誤.


>>    clone 是一個操作符?!


>>    OO 的設(shè)計是一只混合 Perl 和 Java 的怪物.


>>    對象屬性通過 $obj->foo, 但類屬性是 $obj::foo. 我沒見過任何其它語言這樣做, 或者這樣做有什么用. 


>>    而, 實例方法仍然能通過靜態(tài)的(Class::method)調(diào)用. 如果從其它方法中這么調(diào)用, 會在當前 $this 上被看成常規(guī)的方法調(diào)用. 我認為吧.


>>    new, private, public, protected, static ,等等. 試圖虜獲 Java 開發(fā)者的芳心? 我知道這更多是個人的品位, 但我不知道為什么這些東西在一門動態(tài)語言中是必要的 -- 在 C++ 中, 它們中的大多數(shù)是有關(guān)匯編和編譯時的命名決議. 


>>    子類不能覆蓋 private 方法. 子類覆蓋的公共方法也不可見, 單獨調(diào)用, 超類的私有方法. 會有問題, 如在測試mocks對象時.


>>    方法無法命名為, 例如 "list" , 因為 list() 是特殊的語法 (不是個函數(shù)) , 而解析器會被搞暈. 如此曖昧的原因無從得知, 而類工作得就很好. ($foo->list() 不是語法錯誤.)


>>    如果當解析構(gòu)造函數(shù)參數(shù)時拋出異常(如, new Foo(bar()) 而 bar() 拋出), 構(gòu)造函數(shù)不會被調(diào)用, 但析構(gòu)函數(shù)會. (已在PHP 5.3 中修復)


>>    在 __autoload 和解析函數(shù)中的異常會導致 fatal 錯誤.


>>    沒有構(gòu)造器或析構(gòu)器. __construct 是個初始化函數(shù), 像 Python 的 __init__. 無法通過調(diào)用類申請內(nèi)存和創(chuàng)建對象.


>>    沒有默認的初始化函數(shù). 調(diào)用 parent::__construct()的時候, 如果父類沒定義它自己的 __construct 方法會導致 fatal 錯誤.


>>    OO 帶來了個迭代器接口, 是語言規(guī)范的部分(如 ... as ...), 但該接口實際上沒有內(nèi)建實現(xiàn)(如數(shù)組) . 如果你想要個數(shù)組迭代器,你必須用 ArrayIterator 包裝它. 沒有內(nèi)建方式能夠讓迭代器將其作為第一類對像工作.


>>    類可以重載它們轉(zhuǎn)化成字符串的方式,  但不能重載怎樣轉(zhuǎn)換成數(shù)字或任何其它內(nèi)建類型的方式.


>>    字符串, 數(shù)字, 和數(shù)組都有字符串轉(zhuǎn)換方式; 語言很依賴于此. 函數(shù)和類都是字符串. 然而,如果沒定義 __toString , 試圖將換內(nèi)建或自定義對像(甚至于一個閉包) 轉(zhuǎn)換成字符串會導致錯誤, 甚至連 echo 都可能出錯.


>>    無法重載相等或比較操作.


>>    實例方法中的靜態(tài)變量是全局的; 它們的值跨越該類的多個實例共享.


標準庫


    Perl "某些需要匯編". Python 是 "batteries included". PHP 是 "廚房水槽, 它來自加拿大, 但所有的水龍頭用C貼牌".  


概括


>>    沒有類型系統(tǒng). 你可以編譯PHP, 但必須通過 php.ini 指定要加載什么, 選項因擴展部分存在(將它們的內(nèi)容注入到全局名稱空間中)或不存在.


>>    因為名稱空間是最近才有的特性, 標準庫一點沒被打亂. 在全局名稱空間中有上千個函數(shù).


>>    庫的某些部分很不一致. 


    >>    下劃線 對 無下劃線: strpos/str_rot13, php_uname/phpversion, base64_encode/urlencode, gettype/get_class


    >>    “to” 對 2: ascii2ebcdic, bin2hex, deg2rad, strtolower, strtotime


    >>    Object+verb 對 verb+object: base64_decode, str_shuffle, var_dump versus create_function,     recode_string


    >>    參數(shù)順序: array_filter($input, $callback) versus array_map($callback, $input), strpos($haystack, $needle) versus array_search($needle, $haystack)


    >>    前綴混亂: usleep vs microtime


    >>    Case insensitive functions vary on where the i goes in the name.


    >>    大概一半的數(shù)組函數(shù)以 array_ 開頭. 剩下的不是.


>>    廚房水槽. 庫包括:


    >>    綁定 ImageMagick, 綁定 GraphicsMagick (ImageMagick的派生), 少量的幾個函數(shù)能檢測 EXIF 數(shù)據(jù) (其中ImageMagick已經(jīng)可以做到)


    >>    解析 bbcode 的函數(shù), 一些非常特殊的標記, 被幾個少量的論壇包使用.


    >>    太多 XML 包. DOM (OO), DOM XML (not), libxml, SimpleXML, “XML Parser”, XMLReader/XMLWriter, 和一大砣我不能認出的東西就省略了. 當然會有些不同, 你可以自由的弄清晰它們的區(qū)別.


    >>    綁定了兩個特別的信用卡處理器, SPPLUS 和 MCVE. 什么?


    >>    三種訪問 MySQL 數(shù)據(jù)庫的方式:  mysql, mysqli, 和 PDO 抽象的一些東西.


C 影響


    它需要擁有的自己的符號. PHP 是個高層的, 動態(tài)類型的語言. 然后大量的標準庫的部分仍然只是圍繞 C APIS 的薄層封裝, 伴隨著下面的東西: 


>>    "Out" 參數(shù), 盡管 PHP 可以返回 ad-hoc 哈希或毫不費力的返回多參數(shù). 


>>    至少一打的函數(shù)是為了獲取某子系統(tǒng)的最近一次錯誤(見下文), 盡管 PHP 已存存異常處理功能8年了.   


>>     有個 mysql_real_escape_string, 盡管已有個具有相同參數(shù)的 mysql_escape_string, 僅僅因為它是 MySQL C API 的一部分.


>>    全局行為卻是非全局功能的(如 MySQL). 使用多個 MySQL 連接需要顯示的對每個函數(shù)調(diào)用傳遞連接句柄.


>>    包裝器真的, 真的, 真的很薄. 例如, 調(diào)用了 dba_nextkey 而沒調(diào)用 dba_firstkey 將出現(xiàn)段錯誤.


>>    有一堆的 ctype_* 函數(shù) (如 ctype_alnum) 映射類似名稱的 C 字符函數(shù),  而不是如, isupper. 


Genericism


    如果函數(shù)相做兩件略有不同的事, PHP 就搞出兩個函數(shù).


    你怎樣反向排序? 在 Perl 中, 你可以用 { $b <=> $a}. 在 Python 中, 你可能用 .sort(reverse = True). 在 PHP 中, 有個特別的函數(shù)叫 rsort().    


>>    那些看起來像 C error 的函數(shù): curl_error, json_last_error, openssl_error_string, imap_errors, mysql_error, xml_get_error_code, bzerror, date_get_last_errors, 還有其它的嗎?


>>    排序函數(shù): array_multisort, arsort, asort, ksort, krsort, natsort, natcasesort, sort, rsort, uasort, uksort, usort


>>    文本檢索函數(shù): ereg, eregi, mb_ereg, mb_eregi, preg_match, strstr, strchr, stristr, strrchr, strpos, stripos, strrpos, strripos, mb_strpos, mb_strrpos, plus the variations that do replacements


>>    有大量的別名: strstr/strchr, is_int/is_integer/is_long, is_float/is_double, pos/current, sizeof/count, chop/rtrim, implode/join, die/exit, trigger_error/user_error…


>>    scandir 返回一個當前給出目錄的文件列表. 而不是(可能有益)按返回目錄順序返回, 函數(shù)返回一個已排序的文件列表. 有個可選的參數(shù)可以按字母逆順返回. 這些用于排序很顯然很不夠.


>>    str_split 將字符串拆成等長的塊. chunk_split 將字符串拆成等長的塊, 然后用個分隔符連接.


>>    讀取壓縮文件需要一套單獨的函數(shù), 取決于格式. 有六套函數(shù), 它們的 API 都不同, 如 bzip2, LZF, phar, rar, zip, 和gzip/zlib


>>    因為使用參數(shù)數(shù)組調(diào)用函數(shù)是如此的別扭(call_user_func_array), 所以有些配套的像 printf/vprintf 和 sprintf/vsprintf. 它們做相同的事, 但一個帶多個參數(shù), 另一個帶參數(shù)數(shù)組.


文本


>>    preg_replace 帶 /e (eval) 標志的將用待替換的字符串替換匹配的部分, 然后 eval 它.    


>>    strtok 的設(shè)計顯然是和 C 函數(shù)等效的, 由于很多原因, 已被認為是個壞注意. PHP 可以輕易的返回一個數(shù)組(而這在C中別扭), 很多的hack strtok(3) 用法 (修改字符串某處), 在這里不能使用.


>>    parse_str 解析查詢字符串, 從函數(shù)名看不出任何跡象. 而它會 register_globals 并轉(zhuǎn)存查詢字符串到本地范圍變量中, 除非你傳遞一個數(shù)組來填充. (當然, 什么也不返回)


>>    碰到空分隔符, explode 會拒絕分割. 每個其它的字符串拆分實現(xiàn)采取這種作法的意思應(yīng)該是把字符串應(yīng)拆分成字符; PHP有一個拆分函數(shù), 令人迷惑的稱為 str_split 而卻描述為 "將字符串轉(zhuǎn)成數(shù)組". 


>>    格式化日期, 有 strftime, 像 C API 處理本地語言環(huán)境一樣. 當然也有 date, 完全不同的語法而僅用于 English. 


>>    "gzgetss -- 獲取 gz 文件的行指針并去除 HTML 標記." 知道了這一系列函數(shù)的概念, 讓我去死吧.


>>    mbstring


    >>    都是關(guān)于 "multi-byte", 解決字符集的問題.


    >>    仍然處理的是普通字符串. 有個單一的全局"默認"的字符集. 一些函數(shù)允許指定字符集, 但它依賴于所有的參數(shù)和返回值.


    >>    提供了 ereg_* 函數(shù), 但這些都被廢棄了. preg_* 很幸運, 用一些 PCRE-specific 標記, 它們能理解 UTF-8. 


系統(tǒng)和反射


>>    有一大堆的函數(shù), 聚焦于文本和變量. 壓縮和提取僅是冰山一角. 


>>    有幾種方式讓PHP動態(tài), 咋一看沒有什么明顯的不同或相對好處. 類工具不能修改自定義類; 運行時工具取代了它并能修改自定義的任何東西; Reflection* 類能反射語言的大部分東西; 有很多獨特的函數(shù)是為了報告函數(shù)和類的屬性的. 這些子系統(tǒng)是獨立, 相關(guān), 多余的嗎?


>>    get_class($obj) 返回對象的類名稱. get_class()返回被調(diào)用函數(shù)中的類的名稱. 撇開這些不說, 同一個函數(shù)會做完全不同的事情: get_class(null)... 行為象后者. 因此面對一個隨機的變量, 你不能信任它. 驚訝吧!


>>    stream_* 類允許實現(xiàn)自定義的流對象給fopen和其它的內(nèi)建的類似文件處理的東西使用. 由于幾個內(nèi)部原因, "通知" 不能被實現(xiàn). 


>>    register_tick_function 能接受閉包對象. unregister_tick_function 不行; 相反, 它會拋出錯誤, 抱怨閉包不能轉(zhuǎn)換成字符串.     


>>    php_uname 告知你當前操作系統(tǒng)相關(guān)東西. 


>>    fork 和 exec 不是內(nèi)建的. 它們來自 pcntl 擴展, 但默認不包含. popen 不提供 pid 文件.


>>    session_decode 用于讀取任意的 PHP session 字符串, 但僅當有個活躍的 session 時才工作. 它轉(zhuǎn)存結(jié)果到 $_SESSION 中, 而不是返回它的值.      


雜項 


>>    curl_multi_exec 不改變 curl_error 當出錯的時候, 但它改變 curl_error. 


>>    mktime 的參數(shù)是有順序的: hour, minute, second, month, day, year


數(shù)據(jù)操縱


    程序什么都不是, 除了咀嚼和吐出數(shù)據(jù)以外. 大量的語言圍繞著數(shù)據(jù)操縱設(shè)計, 從 awk 到 Prolog 到 C. 如果語言無法操縱數(shù)據(jù), 它就無法做任何事. 


數(shù)字


>>    Integers 在32位平臺是是有符號32位數(shù). 不像PHP的同時代者, 沒有自動 bigint 提升. 因此你的數(shù)學運算可能會由于CPU體系結(jié)構(gòu)結(jié)果不一樣. 你唯一選擇大整數(shù)的方式是使用 GMP 或 BC 包裝函數(shù). (開發(fā)者可能已經(jīng)建義加入新的, 單獨的,64位類型. 這真是瘋了.)


>>    PHP支持八進制數(shù)語法, 以0開頭, 因此如 012 是10. 然而, 08變成了0. 8(或9)和任何接下來的數(shù)字消失了. 01c是個語法錯誤.


>>    pi 是個函數(shù). 或者有個常量, M_PI. 


>>    沒有冪操作符, 只有 pow 函數(shù).


文本


>>    無Unicode支持. 只有ASCII工作是可靠的, 真的. 有個 mbstring 擴展, 上面提過的, 但會稍被打擊.


>>    這意味著使用內(nèi)建的string函數(shù)處理UTF-8文本會有風險.


>>    相似的, 在ASCII外, 也沒有什么大小寫比較概念. 盡管有擴展版本的大小寫敏感的函數(shù), 但它們不會認為 é 等于 É.


>>    你不能在變量中內(nèi)插keys , 如, "$foo['key']"是個語法錯誤. 你也不能 unquote it (這樣會產(chǎn)生警告, 無論什么地方!), 或使用 ${...}/{$...}


>>    "${foo[0]}"是對的. "${foo[0][0]}"是個語法錯誤. 糟糕的拷貝類似 Perl 的語法 (兩個根本不同的語議)?


數(shù)組


    嘔, 騷年.


>>    這家伙扮演list數(shù)據(jù)類型, 操作hash, 和排序set, 解析 list, 偶爾會有些奇怪的組合. 它是怎樣執(zhí)行的? 以何種方式使用內(nèi)存? 誰知道? 不喜歡, 反正我還有其它的選擇.


>>    => 不是操作符. 它是個特別的結(jié)構(gòu), 僅僅存在于 array(...) 和 foreach 結(jié)構(gòu)中.


>>    負值索引不工作, 盡管 -1 也是個和0一樣的合法鍵值.


>>    盡管這是語言級的數(shù)據(jù)結(jié)構(gòu), 但沒有簡短語法; array(...)是簡短語法. (PHP 5.4 帶來了"literals", [...].) 


>>    => 結(jié)構(gòu)是基于 Perl , Perl允許 foo => 1 而不用引號.  在PHP中, 你這么做會得到警告; 沒有無需引號創(chuàng)建 hash 字符串鍵值的方式.


>>    數(shù)組處理函數(shù)常常讓人迷惑或有不確定行為, 因為它們不得不對 lists, hashes, 或可能兩者的結(jié)合體做運算. 考慮 array 分組, "計算arrays的不同部分". 









1 $first  = array("foo" => 123, "bar" => 456);






2  






3 $second = array("foo" => 456, "bar" => 123);






4  






5 echo var_dump(array_diff($first, $second));


    這段代碼將做什么? 如果 array_diff 將參數(shù)以 hashes 看待, 它們明顯是不同的; 相同的keys有不同的值. 如果以list看待, 它們?nèi)匀皇遣煌? 值的順序不同.


    事實上 array_diff 認為它們相等, 因為它以 sets 對待: 僅僅比較值, 忽略順序.


>>    同樣, array_rand 隨機選擇keys時, 也有奇怪的行為, 這對大多數(shù)需要從列表中挑出東西的用例沒什么幫助. 


    盡管大量PHP代碼依賴key的順序:









1 array("foo", "bar") != array("bar", "foo")






2  






3 array("foo" => 1, "bar" => 2) == array("bar" => 2, "foo" => 1)


>>    如果兩個數(shù)組混合的話, 會發(fā)生什么? 我留給讀者自己弄清楚. (我不知道)


>>    array_fill 不能創(chuàng)建0長度的數(shù)組; 相反它會發(fā)出警告并返回 false.


>>    所有的(很多的...) 排序函數(shù)就地操作而什么都不返回. 想新建一個已排序數(shù)組的拷貝, 沒門; 你不得不自己拷貝數(shù)組, 然后排序, 然后再使用數(shù)組.


>>    但 array_reverse 返回一個新數(shù)組.


>>    一堆被排序的東西和一些鍵值對聽起來像是個某種強大的處理函數(shù)參數(shù)的方式, 但, 沒門.


非數(shù)組 


>>    標準庫包含 "快速哈希", "特定的強類型"的hash結(jié)構(gòu)OO實現(xiàn). 然, 深入它, 有4類, 每種處理不同的鍵值對類型組合. 不清楚為什么內(nèi)建的數(shù)組實現(xiàn)不能優(yōu)化這些極其普通情況, 也不清楚它相對的性能怎樣.


>>    有個 ArrayObject 類 (實現(xiàn)了4個不同的接口) , 它包裝數(shù)組讓它看起來像對象. 自定義類可以實現(xiàn)同樣的接口. 但只有限的幾個方法, 其中有一半不像內(nèi)建的數(shù)組函數(shù), 而內(nèi)建的數(shù)組函數(shù)不知道怎樣對ArrayObject或其它的類數(shù)組的類型操作. 


函數(shù)


>>    函數(shù)不是數(shù)據(jù). 閉包實際上是對象, 但普通的函數(shù)不是. 你甚至不能通過它們裸名稱引用它們; var_dump(strstr) 會發(fā)出警告并猜測你的意思是字符串字面量, "strstr". 想辨別出字符串還是"函數(shù)"引用, 沒門. 


>>    create_function 基本上是個 eval 的包裝者. 它用普通的名字創(chuàng)建函數(shù)并在全局范圍安裝它(因此永遠不會被垃圾回收---不要在循環(huán)中使用!). 它實際上對當前上下文一無所知, 因為它不是閉包. 名字包含一個 NUL 字節(jié), 因此永遠不會與普通函數(shù)沖突 (因為如果在文件的任何地方有 NUL的話,  PHP 的解析器會失敗).


>>    Declaring a function named __lambda_func will break create_function—the actual implementation is to eval-create the function named __lambda_func, then internally rename it to the broken name. If __lambda_func already exists, the first part will throw a fatal error.


其它 


>>    對 NULL 使用 (++) 生成 1. 對 NULL 用 (--) 生成 NULL. 


>>    沒有生成器.


Web 框架 


執(zhí)行環(huán)境


>>    一個單一共享文件 php.ini, 控制了 PHP 的大部分功能并織入了復雜的針對覆蓋什么與何時覆蓋的規(guī)則. PHP軟件能部署在任意的機器上, 因此必須覆蓋一些設(shè)置使環(huán)境正常, 這在很大程序上會違背像 php.ini 這樣的機制的使用.


>>    PHP基本上以CGI運行. 每次頁面被點擊, PHP 在執(zhí)行前, 重編譯整個環(huán)境. 就連 Python 的玩具框架的開發(fā)環(huán)境都不會這樣.


>>    這就導致了整個 "PHP 加速器" 市場的形成, 僅僅編譯一次, 就能加速PHP, 就像其它的語言一樣. Zend, PHP的幕后公司, 將這個做為它們的商業(yè)模式.


>>    很長時間以來, PHP的錯誤默認輸出給客戶端 -- 我猜是為開發(fā)環(huán)境提供幫助. 我不認為這是真相, 但我仍然看到偶爾會有mysql 錯誤出現(xiàn)在頁面的頂部. 


>>    在 <?php ... ?>標簽外的空白, 甚至在庫中, PHP以文本對待并解析給響應(yīng) (或者導致 "headers already sent" 錯誤). 一個流行的做法是忽略 ?>關(guān)閉標簽.


部署


    部署方式常常被引述為PHP的最高級部分: 直接部署文件就可以了. 是的, 這比需要啟動整個進程的 Python 或 Rury 或 Perl 要容易. 但 PHP 留下了許多待改進的地方.


    我很樂意以應(yīng)用服務(wù)器的方式運行Web應(yīng)用程序并反向代理它們. 這樣的代價最小, 而好處多多: 你可以單獨管理服務(wù)器和應(yīng)用程序, 你可以按機器的多或少運行運行多個或少量應(yīng)用進程, 而不需要多個web服務(wù)器,你可以用不同的用戶運行應(yīng)用, 你可以選擇web服務(wù)器, 你可以拆下應(yīng)用而無需驚動web服務(wù)器, 你可以無縫部署應(yīng)用等等. 將應(yīng)用與web服務(wù)器直接焊接是荒謬的, 沒有什么好的理由支持你這么做.


>>    每個 PHP 應(yīng)用程序都使用 php.ini . 但只有一個 php.ini 文件, 它是全局的; 如果你在一個共享的服務(wù)器上, 需要修改它, 或者如果你運行兩個應(yīng)用需要不同的設(shè)置, 你就不走運了; 你不得不向組織申請所有必須的設(shè)置并放在應(yīng)用程序, 如使用 ini_set 或在 Apache 的配置文件或在 .htaccess設(shè)置. 如果你能做的話. 可能 wow , 你有大量的地方需要檢查以找出怎樣獲取已設(shè)置的值.


>>    類似的, "隔離"PHP應(yīng)用的方法也不容易, 它依賴于系統(tǒng)的其它部分. 想運行兩個應(yīng)用程序,想要不同的庫版本, 或不同的PHP版本本身? 開始構(gòu)建另一人Apache的拷貝吧.


>>    "一堆文件"方案, 除了使路由像只病重的笨驢外, 還意味著你不得不小心處理白名單或黑名單, 以控制什么東西可訪問, 這是因為你的 URL 層次也就是你的代碼樹的層次. 配置文件和其它的"局部模塊"需要C之類的東西守護以避免直接加載. 版本控制系統(tǒng)的文件(如 .svn) 需要保護. 使用 mod_php , 使得文件系統(tǒng)的所有東西都是潛在的入口; 使用應(yīng)用服務(wù)器, 僅有一個入口, 并且僅通過 URL 控制調(diào)用與否.


>>    你不能無縫的升級那堆以 CGI-style 運行的文件, 除非你想要應(yīng)用崩潰和出現(xiàn)未定義行為, 當用戶在升級的間歇期點擊你的站點時.


>>    盡管配置 Apache 運行 PHP 很"簡單", 仍然會有一些陷阱. 而 PHP 文檔建議使用 SetHandler 使得 .php 文件以 PHP方式運行, AddHandler 看起來運行良好, 然而事實上會有問題.


    當你使用 AddHandler, 你在告知 Apache "以 php 執(zhí)行它" , 這是一個可能的處理 .php 文件的方式. 但! Apache 對文件的擴展名不這樣認為. 它被設(shè)計為能支持如, index.html.en 這樣的文件. 對于 Apache , 文件可以同時具有任意數(shù)量的擴展名.


    猜想, 你有個文件上傳的表單, 存儲一些文件到公共目錄中. 確保沒人能上傳 PHP 文件, 你僅僅檢查文件不能有.php 擴展名. 所有的攻擊需要做的只是上傳以 foo.php.txt 命名的文件; 你的上傳工具不會看出問題,  Apache 會認為它是個 PHP, 它會很高興的執(zhí)行.


    這里不是 "使用原始文件名" 或 "沒有更好的驗證"導致的問題; 問題是你的web服務(wù)器要被配置用來運行任何舊代碼, 使得PHP "容易部署".  這不是理論上的問題; 我已發(fā)現(xiàn)很多實際的站點有類似的問題了.


缺失的特性


我認為所有這些都是以構(gòu)建一個Web應(yīng)用為中心的. 對PHP看起來很合理, 是它的銷售賣點之一, 它是 "Web語言", 理應(yīng)有它們.


>>    無模塊系統(tǒng). PHP就是模版.


>>    無 XSS 過濾器. htmlspecialchars 不是 XSS 過濾器.  


>>    無 CSRF 保護. 你必須自己做. 


>>    無通用標準的數(shù)據(jù)庫API. 像PDO這類東西不得不包裝每個特定數(shù)據(jù)庫的API, 分別抽象不同部分.


>>    無路由系統(tǒng). 你的站點結(jié)構(gòu)就是你的文件系統(tǒng)結(jié)構(gòu). 


>>    無認證或授權(quán).


>>    無開發(fā)服務(wù)器.


>>    無交互調(diào)試模式.


>>    無一致的部署機制; 僅僅"拷貝所有文件到服務(wù)器中".


安全 


語言邊界


    PHP的蹩腳安全機制可能會放大, 因為它利用某語言拿出數(shù)據(jù), 又把它轉(zhuǎn)存到另一個中. 這是個壞注意. "<script>" 可能在SQL中意味著什么都不是, 但在HTML中就很是了.


    讓情況更糟糕的是通常有人哇哇喊到 "你的輸入要消毒". 那完全錯誤; 你不可能有什么魔法使塊數(shù)據(jù)完全"干靜". 你需要做的就是對語言說: SQL使用占位符, 進程孵化使用參數(shù)列表, 等等.


>>    PHP公然鼓勵 "消毒": 有個數(shù)據(jù)過濾擴展可以做到.


>>    所有的 addslashes, scripslashes, 和其它的 slashes相關(guān)的東西都是廢物, 毫無用處. 


>>    我只能告訴你這么多, 無法安全的孵化進程. 你僅能通過shell執(zhí)行字符串. 你的選擇是瘋狂的轉(zhuǎn)義, 并希望默認的shell使用正確的轉(zhuǎn)義, 或手動的 pcntl_fork_exec 和 pcntl_exec.


>>    所有的轉(zhuǎn)義命令和轉(zhuǎn)義參數(shù)存在大致相同的描述. 注意在Windows中, 轉(zhuǎn)義參數(shù)不工作 (因為它假設(shè)成 Bourne shell 語議), 轉(zhuǎn)義命令僅僅用空格替換一堆標點符號, 因為沒人能搞清楚 Windows 命令轉(zhuǎn)義行為 (它可能默默的破壞你試圖做的任何事情). 


>>    原始的內(nèi)建 MySQL 綁定, 仍然廣泛使用, 它無法創(chuàng)建 prepared statements. 


    直到今天, PHP 文檔關(guān)于SQL注入的建議還是讓人抓狂的做如類型檢查, 使用sprintf 和 is_numeric, 在每個地方手動的使用mysql_real_escape_string , 或在每處手動使用 addslashes (這個"可能更有用"!) 這樣的實踐. 并沒有提到 PDO 或 參數(shù)化, 除了在用戶評論中有點線索.  至少在兩年以前, 我就有具體的向 PHP dev 抱怨過了 , 他被驚動了, 而頁面卻從未變過.


Insecure-by-default


>>    register_globals. 它被默認關(guān)閉的,而在5.4中去除了. 我不在乎. 


>>    include 接受 HTTL URLS. 和上面一樣. 


>>    Magic quotes. So close to secure-by-default, and yet so far from understanding the concept at all.


核心 


    PHP解釋器本身就有一些惱人的安全問題.


>>    2007年的時候, 解析器有個整數(shù)溢出漏洞. 修復始于 if(size > INT_MAX) return NULL; 從那以后就走下坡路了. (對于那些不需要使用C的人: 曾經(jīng), INT_MAX 是適合變量最大整數(shù). 我希望你能從這里搞清楚其余的東西.)


>>    最近, PHP 5.3.7 包括了個 crypt() 函數(shù), 有個漏洞讓任何人可以用任何密碼登錄. 


>>    PHP5.4是容易遭受拒絕服務(wù)攻擊,因為它需要Content-Length頭(任何人都可以設(shè)置),并試圖分配更多內(nèi)存。這是一個壞主意。


    我可以挖掘更多, 但重點不是這有很多X漏洞 -- 是軟件就有bugs, 無論如何都有. 這些自然是令人咋舌. 我并沒有特意尋找這些; 但在過去的幾個月里, 它們自己送上門來了.


總結(jié)


    一些評論會理所當然的指出我沒得出任何結(jié)論. 好吧, 我是沒有結(jié)論. 如果你一路看到了這里, 我假設(shè)一開始你就同意我了 :)


    如果你僅了解PHP而對學習其它東西感興趣, 可以看看 Python 教程, 嘗試 Flask 這個為web準備的家伙. (我不是它的模版語言的鐵桿粉絲, 但它確實很好的完成了這些工作.) 它將你的應(yīng)用分成多個部分, 但它們看起來仍然是一致的. 我可能稍后會寫個關(guān)于這個的貼子; 旋風般的介紹整個語言和不同于這里所說的web堆棧. 


    之后或?qū)τ诟蟮捻椖? 你可能需要 Pyramid, 一個中等規(guī)模的框架, 或者是 Django, 一個構(gòu)建站點的復雜的框架, 如 Django站點.


英文原文 轉(zhuǎn)載請注明出處 OSCHINA.NET


該文章在 2012/4/18 22:07:41 編輯過
關(guān)鍵字查詢
相關(guān)文章
正在查詢...
點晴ERP是一款針對中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國內(nèi)大量中小企業(yè)的青睞。
點晴PMS碼頭管理系統(tǒng)主要針對港口碼頭集裝箱與散貨日常運作、調(diào)度、堆場、車隊、財務(wù)費用、相關(guān)報表等業(yè)務(wù)管理,結(jié)合碼頭的業(yè)務(wù)特點,圍繞調(diào)度、堆場作業(yè)而開發(fā)的。集技術(shù)的先進性、管理的有效性于一體,是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。
點晴WMS倉儲管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質(zhì)期管理,貨位管理,庫位管理,生產(chǎn)管理,WMS管理系統(tǒng),標簽打印,條形碼,二維碼管理,批號管理軟件。
點晴免費OA是一款軟件和通用服務(wù)都免費,不限功能、不限時間、不限用戶的免費OA協(xié)同辦公管理系統(tǒng)。
Copyright 2010-2025 ClickSun All Rights Reserved