认识达内从这里开始

认真做教育专心促就业

php中的防御性编程

发布：潍坊达内培训
来源：潍坊达内培训
时间：2016-10-24 11:25

菲纳格动态逆定律：

会出错的，终将会出错 —- 在最糟糕的时刻。

防御性编程是什么意思

防御性编程,简单的说,就是在编程的时候有目的地预测可能的故障点。目的是在那些可能发生的问题发生前解决它们。你看见了问题，对吧?预测意料之外的事情本来就有内在的难度，当你想要预测意料之外的事情并且解决它就更是难上了好几倍。

下面潍坊达内培训小编跟大家看几个实际的例子。

条件语句

这是最容易进行防御性编程的地方之一，也是最容易满足的地方。在用PHP编程的许多情况下你不会需要“else”。

假设，你在写一个函数并且需要一个条件语句。在这里，你只需要为你特定的变量使用三个条件语句如下：

if($var == a){ }

else if($var == b){ }

else if($var == c){ }

没有其他可能性了，你说，并且继续码代码。但是，让我们在这里停一下。我知道你知道这里没有其他可能性了。并且我相信你。但有时候(不可预测的)情况会发生。我们忘掉了一些情况。我们检查错误。我们最终重用了一些代码，超出了原本的预定范围。

潍坊达内培训

突然我们有了泄露错误或者有时候是静默的错误状态，因为我们没有使用catch。使用else代码块。在使用switch时要使用default。用它们来返回或者记录错误，这样你才知道发生了什么(如果发生了的话)。虽然会多用两行代码，但当一些你无法预测的事情发生时，这是值得的。

绝不相信用户输入

你以前有没有听说过这个说法?大多数程序员听过。这有一点含糊，通俗点讲，理所当然。但它是真理。你绝不应该相信用户输入。这不是说你假设所有用户是疯狂的黑客，他们使用一些精心设计的命令来摧毁你的应用。没有必要妄想。

但是，你应该假设用户不知道你的代码，他们不知道你需要填写什么参数，或者参数应该多长。他们不知道什么文件类型或者什么大小能上传(即使应用告诉了他们)。偶尔他们会是机器或者黑客并且他们希望在他们的输入中运行脚本，有时候甚至是在登陆后的输入中。你怎么知道你能相信认证或者验证码能在用户输入之前提供一个安全的堡垒?

答案：绝不。

你绝不相信用户输入。如果你信任的用户输入，那么你永远不会有一个突破。明白了吗?所以总是要评估你的输入，一定要保证你在处理数据尤其是要存入数据库或者要把它展示出来时使用了合适的技术。

因此 – 绝不相信输入，即使来自不是用户的输入的地方 – 输入验证永远是你的朋友。看看Survive the Deep End: PHP Security 并且使用 validation library.吧。

< 上一篇：全国互联网+BRT服务模式创新高峰论坛在金华召开

下一篇：怎样避免session 数据暴露 >