Запитання, на які повинен відповідати кожен хороший розробник PHP [закрито]

Я переглядав питання кожного хорошого розробника .Net, маючи можливість відповісти, і був вражений змістом та підходом до цього питання, і тому в тому ж дусі я задаю це питання розробнику PHP.

Як ви думаєте, на які питання повинен відповісти хороший програміст PHP?

РЕДАГУВАТИ : Я позначаю це питання як wiki-спільноту, оскільки воно не є специфічним для користувача і воно спрямоване на служіння спільноті програмістів у цілому.

Чекаємо дивовижних відповідей.

ПРИМІТКА . Будь ласка, дайте відповіді на запитання, як пропонується в коментарях, щоб люди також могли дізнатися щось нове щодо мови.

Щоправда, я вкрав це питання звідкись ще (не пам’ятаю, де я його вже читав), але вважав це смішним:

Q: Що таке T_PAAMAYIM_NEKUDOTAYIM?
В: Оператор роздільної здатності (подвійне двокрап’я)

Досвідчений PHP'er відразу знає, що це означає. Менш досвідчені (і не єврейські) розробники можуть захотіти прочитати це .

Але більш серйозні питання зараз:

З: Що є причиною цього попередження: «Попередження: Не вдається змінити інформацію заголовка - заголовки вже надіслані», і яка хороша практика для запобігання цьому?
В: Причина: дані тіла були надіслані, що спричинило надсилання заголовків.
Запобігання. Перш ніж виводити будь-які дані тіла, спочатку виконайте певний код заголовка. Переконайтеся, що ви випадково не розіслали пробіли чи будь-які інші символи.

З: Що неправильно з цим запитом "SELECT * FROM table WHERE id = $_POST[ 'id' ]":?
В: 1. Це вразливо для введення SQL. Ніколи не використовуйте введення даних користувача безпосередньо у запитах. Спочатку продезінфікуйте. Переважно використовувати підготовлені твердження ( PDO ) 2. Не виділяйте всі стовпці (*), а вказуйте кожен окремий стовпець. Це головним чином для запобігання запитам, що призводять до збільшення пам’яті, коли, наприклад, у певний момент додається стовпець BLOB.

З: Що поганого в цьому, якщо твердження if( !strpos( $haystack, $needle ) ...:?
A: strpos повертає індексну позицію місця, де він вперше знайшов $ голку, яка могла б бути 0. Оскільки 0також вирішує falseрішення полягає у використанні суворого порівняння:if( false !== strpos( $haystack, $needle )...

З: Який найкращий спосіб написати це твердження if, і чому?
if( 5 == $someVar )або if( $someVar == 5 )
A: Перший, оскільки він запобігає випадковому присвоєнню 5 до $ someVar, коли ви забудете використовувати 2 рівнознаки ( $someVar = 5), і спричинить помилку, другий - ні.

Q: Враховуючи цей код:

function doSomething( &$arg )
{
    $return = $arg;
    $arg += 1;
    return $return;
}

$a = 3;
$b = doSomething( $a );

... яке значення $aі $bпісля виклику функції і чому?
В: $a є 4і $bє 3. Перший, оскільки $ arg передається за посиланням, другий, оскільки повернене значення функції є копією (а не посиланням на) початкового значення аргументу.

ООП специфічний

Питання: В чому різниця між public, protectedі privateу визначенні класу?
В: public робить учасника класу доступним для всіх, protectedробить учасника класу доступним лише для себе та похідних класів, privateробить учасника класу доступним лише для самого класу.

З: Що не так із цим кодом:

class SomeClass
{
    protected $_someMember;

    public function __construct()
    {
        $this->_someMember = 1;
    }

    public static function getSomethingStatic()
    {
        return $this->_someMember * 5; // here's the catch
    }
}

В: Статичні методи не мають доступу до $ this, оскільки статичні методи можна виконувати без створення класу.

З: У чому різниця між інтерфейсом та абстрактним класом?
В: Інтерфейс визначає контракт між реалізовуючим класом і об'єктом, який викликає інтерфейс. Абстрактний клас заздалегідь визначає певну поведінку класів, які його розширюватимуть. До певної міри це також можна вважати контрактом, оскільки він гарантує існування певних методів.

З: Що поганого в класах, які переважно визначають геттери та сетери, які відображають прямо до своїх внутрішніх членів, фактично не маючи методів, які виконують поведінку?
В: Це може бути запах коду, оскільки об’єкт діє як облагороджений масив без особливого використання.

З: Чому реалізація PHP використання інтерфейсів неоптимальна?
В: PHP не дозволяє визначити очікуваний тип повернення методу, що по суті робить інтерфейси досить марними. :-P

Остаточно питання безпеки!

(прості відповіді в цій публікації, звичайно, захист веб-програм php набагато складніший)

• як боротися з ін'єкцією SQL?

mysql_real_escape_string () для початку з MySQL. Потім спробуйте навчитися PDO, щоб скористатися підготовленими виписками та переносимістю серед постачальників баз даних.

• як боротися з CSRF (підробка між запитами між сайтами)?

Додайте маркер до кожного важливого запиту, щоб захистити важливі операції (користувач повинен бачити форму перед відправкою важливого запиту).

• як мати справу з XSS (міжсайтовими сценаріями), відображеним та збереженим?

htmlentities () - це добре для початку.

• варіант ін’єкцій XXX: ін’єкція LDAP, ін’єкція XPath тощо ...?

Ви повинні знати, що таке "словниковий запас", який використовується XXX, а потім відняти те, що потрібно для дезінфекції та / або "перевірити та відхилити".

• який перелік розумних функцій?

Функції, які інтерпретують PHP-код (можливо, включений у віддалений файл) або виконують команду у вашій системі. Короткий і неповний список може бути: exec (), passthru (), system (), popen (), eval (), preg_replace () ...

• як боротися з небезпекою включення файлів?
• що таке поперечний шлях?
• які ризики пов'язані із завантаженням файлів?

Потрібна ретельна перевірка параметрів, що використовуються при відкритті файлу або віддалених ресурсів.

• як застосувати конфігурацію вашої конфігурації PHP (тобто чи знаєте ви, що корисно з php.ini)?

Це буде довго, тому я пропускаю відповідь, будь ласка, прочитайте керівництво PHP.

• про фільтрування даних користувачів: у чому різниця між санітарною обробкою та реєстрацією та відмовою ?

Перший перетворює вступ у щось менш вороже. Другий перевіряє, чи правильний впис, і якщо не відмовляє.

"Чому ви не використовуєте щось інше?"

Вибачте, хтось повинен був це сказати :)

Чи є крос-браузер php?

(я знаю, це викликає сміх у багатьох людей, але це питання, яке частіше задається на форумах PHP!)

Думаю, гарним питанням було б: як працює HTTP? Робота з іншими даними HTTP-комунікаціями GETта POSTданими є невід'ємною частиною розробки PHP. Розуміння того, як працює HTTP в ширшому контексті, і те, як PHP реалізує це, дуже далеко.

У чому різниця між == та === і чому ви взагалі хочете використовувати ==?

Поясніть, чому 2.5замість 3:

$a = 012;
echo $a / 4;

Відповідь: Коли перед числом 0у PHP стоїть число, число розглядається як вісімкове число (база-8). Тому вісімкове число 012дорівнює десятковому числу 10.

Це ще ніхто не торкався, але це те, про що кожен розробник PHP повинен мати можливість довго говорити: Чому це register_globalsпогано?

Коли веб-сайт розробляється за допомогою php, і це абсолютно глупо, це:

а) помилка PHP

б) Помилка програмістів

Яка найкраща практика уникати введення даних користувача? (Це питання, схоже, часто виникає)

• При виклику елемента "name" масиву $, що правильно ?:

  • $array[name]
  • $array['name']

  І те, і інше часто спрацьовує, але правильним є лише вказана форма. define('name', 0);і спостерігати, як жуки літають. Я бачив це занадто багато.

• Як можна змусити елементи форми подаватись як масив?

  Додайте порожні дужки до атрибута name: кілька <input type="checkbox" name="checkboxes[]" />елементів будуть перетворені в масив на сервері (наприклад $_POST['checkboxes'][0..n]). Я не думаю, що це на 100% PHP-специфічно, але це, безумовно, перевершує цикл $_POSTдля кожного можливого 'checkboxes'.$iелемента.

• mysql_, mysqli_ або PDO?

  Тут є лише одна справді неправильна відповідь: бібліотека mysql_ не робить підготовлених висловлювань і більше не може виправдовувати свою здатність до зла. Присвоєння функції, яку, як очікується, буде викликано кілька разів за виконаний запит, - mysql_real_escape_string()це просто сіль у рані.

"Який ваш улюблений налагоджувач?"
"Який ваш улюблений профайлер?"

Фактичний додаток / ide / frontend не має великого значення, поки він виходить за рамки "блокнота, ехо та мікрочасу ()". Настільки малоймовірно, що ви наймаєте розробника з мільярдів, який постійно пише ідеальний код, і його / її модульні тести виявляють усі помилки та вузькі місця до того, як вони взагалі трапляються, що ви хочете, щоб хтось міг профайлювати та / або перебирати код і знаходити помилки за скінченний час. (Це стосується, мабуть, усіх мов / платформ, але мені здається, що це недостатньо розвинений набір навичок серед розробників php, суто суб'єктивно)

У Террі Чай є публікація в блозі, яка в основному підсумовує те, що кожен розробник PHP повинен знати та / або, як очікується, відповідатиме якоюсь мірою на співбесіді.

http://terrychay.com/article/php-coders.shtml

Я думаю, це чудовий підсумок.

Я запитав би щось на зразок:

а) як щодо кешування?

б) як можна організувати кеш?

в) Ви впевнені, що не робите зайвих запитів до БД? (У моєму першому матеріалі, який я зробив на PHP, це був mysql_query всередині foreach, щоб отримати імена користувачів, які коментували ... жахливо :))

г) чому register_globals - це зло?

д) чому і як слід розділяти подання з коду?

f) яка головна мета "реалізації"?

Ось питання, які для мене були зовсім не зрозумілі після того, як я прочитав деякі основні книги. Я дізнався все про ін’єкції та CSX, strpos за кілька днів \ тижнів через тисячі поширених запитань в Інтернеті. Але поки я не знайшов відповіді на ці запитання, мій код був справді жахливим :)

Чому ви ніколи не повинні виводити дані користувача безпосередньо!

Друк таких речей, як дані з GET, може призвести до уразливостей міжсайтових сценаріїв (XSS) . Ось чому вам слід спочатку надсилати вхідні дані від клієнта через htmlspecialchars ().

Поясніть різницю

витяг ()

вибухнути ()

імплодувати ()

Що не так із наступним кодом?

$a = 2;
function foo()
{
    $a = 3;
}
foo();
echo $a;