Перехід від фреймворку до безфреймворку [закрито]

Я займаюся PHP близько 8 років як хобі. У 2009 році я взяв програмний код і з тих пір мені не вдалося розробити жодного проекту.

Я вважаю, що це уповільнює мене, намагаючись зрозуміти, як змінити його так, щоб він працював так, як я хочу, коли б я працював у чистому PHP, я б знав, або я міг би швидко знайти фрагмент.

Я спробував CodeIgniter, Kohana та Symfony. Мені подобається простота використання (і я також почав використовувати доктрину як ORM, що масово пришвидшило роботу з моєю базою даних), але я вважаю, що проекти забирають у мене 3-4 рази більше часу, скільки зайняв чистий PHP. Мені стає нудно і засмучується, коли я не можу знайти рішення проблеми, яку я раніше вирішував у чистому PHP.

Хтось повернувся від використання фреймворків до безфреймового підходу. Чи існує щось на зразок базової системи безпеки (запобігти XSS, фільтрувати розміщені дані, забезпечити функцію очищення для використання з базами даних)? Я думаю, що щось подібне принесло б мені користь набагато більше, ніж повномасштабна система. Я думаю, що навчитись працювати з фреймворками навчило мене багато чому, але я був би щасливішим, працюючи зі своїм власним кодом.

Поточні версії PHP5 містять значну частину системи безпеки, яку ви шукаєте як частину стандартної бібліотеки.

• Використовуйте filter_input_array для декларативного очищення речей, що надходять ззовні.
• Доступ до вашої бази даних через PDO з параметризованим SQL для запобігання атакам введення SQL.
• Використовуйте наступні налаштування PHP, щоб зробити ваш сайт більш стійким до фіксації сеансу та крадіжки файлів cookie:
  • session.use_only_cookies (Запобігає витоку маркера сеансу в URL-адресу)
  • session.cookie_httponly або httponlyатрибут session_set_cookie_params () (Захищає від сценаріїв, що читають файли cookie сеансу у сумісних браузерах)
  • Інші пропозиції та приклад коду PHP доступні у Вікіпедії .
  • Ви також можете використовувати httponlyатрибут із setcookie () .
• Для нових функцій HTTP та HTML5 не потрібно нічого вигадливішого, ніж базовий шаблон та налаштування заголовка :
  • Сувора транспортна безпека HTTP (допомагає захистити від експлуатування Wi-Fi.)
  • Параметри X-Frame (Обмежте вбудовування своїх сторінок. Хороше проти фішингу.)
  • Атрибут пісочниці HTML5 IFrame (сторонні рекламні оголошення / значки / відео. Вже у WebKit. Ймовірно, що принаймні частково реалізовано у Firefox 11.)
  • Політика безпеки вмісту (нова система безпеки Firefox 4, яка доповнює атрибут пісочниці. Зараз також впроваджується в Chrome .)

Якщо ви приймаєте HTML як вхід, рекомендую взяти HTML-очищувач і викликати його через рядок FILTER_CALLBACK у налаштуваннях filter_input_array. Його підхід, що ґрунтується на "білих списках", забезпечує чудову (і дуже потужну) першу лінію захисту від XSS.

Наскільки я можу зрозуміти, PHP не має механізму захисту від підробки міжсайтових запитів , але я впевнений, що Google може допомогти вам у цьому. У недоробки безпеки OWASP включити розділ про нього , якщо ви хочете реалізувати свою власну захист.

З цікавості я вирішив також почати розглядати окремі компоненти, і ось що я знайшов на даний момент:

Шаблонування:

• Спадкування шаблону PHP (звичайне успадкування PHP плюс шаблон)
• TWIG ( синтаксис у стилі Django / Jinja2 / Liquid, включаючи автоматичний перехід та пісочницю. Компілюється в кешованому PHP для швидкості.)
• Dwoo (Швидший, більш функціональний, наступник Smarty на PHP5 . Включає систему сумісності для існуючих шаблонів Smarty.)

Матеріали, які я досі не розглядав належним чином:

• Диспетчеризація маршруту ( Наразі знайдено лише RouteMap та Net_URL_Mapper . Дякую, cweiske.)
• ORM (Про всяк випадок, якщо голий PDO - це не твоя річ)

Я не вірю в рамки ... Я працював у багатьох з них.

Причини ненавидіти рамки MVC:

1) Code bloat, я купую преміум-класи, які допомагають мені в розвитку. Такі як класи форм або класи SQL.

2) Я вважаю, що фреймворки MVC нелегко переносити, особливо при використанні менеджерів залежностей.

3) Я вважаю, що ви насправді пишете більше коду з фреймворком MVC, тоді якби вам довелося використовувати шаблон з тонною корисних класів, які обробляють автентифікацію тощо.

4) Більшість фреймворків також обслуговують лише одну або дві бази даних.

Я б запропонував знайти фреймворк форми з автентифікацією та текстовим редактором та фреймворк sql, такий як madoo + клас електронної пошти ...

90% вашої заявки - це завжди форми, sql & ajax КЛАСИ - решту можна просто придбати за потреби

Я мінімаліст, і я борюся з ідеєю наявності коду в моїй програмі, який нічого не робить ... про всяк випадок, коли мені це потрібно, це не працює для мене.

Маючи стільки досвіду за плечима, ви повинні мати власний набір улюблених бібліотек, відбирати їх вручну та створювати власну просту структуру. Структура чи відсутність (і який саме) залежить від типу проекту, жодна рукавичка не підходить для всіх. Тому я настійно рекомендую, якщо ви відчуваєте, що існуючі фреймворки гальмують вас, витратьте час і придумайте структуру, яка працює відповідно до ваших потреб.

Виходячи з вашого твердження про те, що ви використовуєте PHP як своє хобі, а також вашого твердження в профілі "Повільно добиратися", це здається проблемою кривої навчання. Ви, мабуть, не маєте глибини та широти досвіду, щоб а) зрозуміти, як працювати в структурі, яку накладає фреймворк, і б) Ви, таким чином, не можете отримати вигоду від ефективності, яку дає фреймворк.

Я закликаю вас дотримуватися цього. Поверніться на початок із відеоуроками. Знайдіть і читайте код інших людей, поки ви його не зрозумієте. Створюйте свої проекти знизу вгору - починайте просто і додайте функціональність. Слідкуйте за форумами, намагаючись відповісти на запитання самостійно, перш ніж читати відповіді.

Я займаюся програмуванням професійно майже 20 років на різних платформах, і мені все одно знадобився час, щоб почувати себе комфортно з CI. Але тепер, коли я є, я б не повертався до чистого PHP (для власних проектів), якби не мав сайту достатнього масштабу, щоб на ньому висвітлювались вимірювані продуктивністю проблеми (думаю, Twitter).

Zend Framework справді супер для цього. Ви можете використовувати скільки завгодно чи мало. Це все закодовано у php та з відкритим кодом, так що ви можете просто зламати його та зробити своїм власним. Різні компоненти не залежать один від одного настільки сильно, як в інших рамках.

Ви можете створити собі простий фреймворк, використовуючи деякі компоненти від Zend без будь-яких проблем.

Перевірте це!

Я точно знаю, як ти почуваєшся. Я почав 4 ~ 5 років тому в PHP (я прийшов з Delphi, ха-ха), а почав із чистого php. Що у мене було назад, це "Панель керування вмістом", яка просто прочитала всі поля таблиць і створила форму. Через деякий час я якось досягнув знань PHP Frameworks, я спершу спробував CakePHP, і мені не сподобалося, після того, як я потрапив до Yii, який, на мій погляд, досить інтуїтивний та простий у використанні (з його генератором Gii він досить сильно гойдається). Я пробував Symfony, ZF2, Laravel, Yii2-Beta та деякі фреймворки для RAD, але все одно я почувався недостатньо швидко, як до фреймворків.

Було так, що я розробив свою власну структуру (Це було природно, не зовсім так, що колись я прокинувся і сказав: "Я збираюся створити нову структуру", це сталося з часом). Я знаю, що це погана погана погана практика і рух "переосмислення колеса", АЛЕ зараз я розробляю свої проекти набагато швидше (більше, ніж лише PHP).

Оскільки його код - це загальний MESS, я почав приблизно місяць тому переформулювати мій фреймворк, тепер він використовує композитор, дотримується загальних правил, що існують між фреймворками, це MVC.

Чому я переформулюю? Бо якщо комусь потрібно відремонтувати мій проект, це не буде іншою світовою справою.

Тож я вас розумію.

Моя порада - підготуйте свої інструменти (назвіть їх фреймворком, заздалегідь встановленим додатком або як завгодно люди їх називають) і використовуйте їх так, як вам краще, але все одно дотримуйтесь деяких загальних правил (наприклад, MVC, "легко модулювати" речі, які ви можете замінити у випадку поломки.

Для базової безпеки я використовую власний метод фільтрації, який обгортає мої суперглобали . До його синтаксису потрібно трохи звикнути, але він простіший, ніж API PHP filter_var (), і не дозволяє пропустити дезінфекцію:

 $_GET->text("inputvar") or $_POST->name["field"]

Це також дозволило вбудований скрипт $ _REQUEST-> sql (). Але для роботи з базами даних використовуйте параметризований SQL або вибраний вами DAL / ORM.

Я провів одноденне дослідження ToroPHP і виявив це досить приємним. Це мінімалістичний фреймворк, орієнтований на додатки RESTful. Це дозволяє зберегти модульний код на стороні сервера без необхідності мати справу з роздуттям будь-яких фреймворків.

Я не знаю, що вас турбує, але codeigniter - це чудова структура. Він має приємну документацію, і оскільки багато людей використовують codeigniter, ви знайдете всю допомогу в його документації, на форумі або в stackoverflow. Я працював над багатьма фреймворками ( Codeigniter, CakePHP, Zend, Spring 3.0, Ruby on Rails), але я повинен сказати, що codeigniter має найкращу документацію. У codeigiter є багато речей, які обробляються автоматично, і вам не потрібно турбуватися про безпеку. Робота над основним PHP - це все одно, що переробити колесо. Ну і найголовніше, що для переходу від ядра до фреймворку знадобиться багато ваших зусиль, коли ви звикнете до цього, ви почнете це любити. Крім того, Ruby on rails - це також чудовий фреймворк, коли ви дізнаєтесь про його тонкощі та можливості мають подвійну швидкість.