sanitizeInput() { $numargs = func_num_args(); $arg_list = func_get_args();
for ($i = 0; $i < $numargs; $i++) { if (!is_numeric($arg_list[$i]) || $arg_list[$i] < 0)
errorRedirect("Unexpected variable value", true); } }
8、一个 php 文件处理输入,一个 class.php 文件处理具体功能
不让代码变得混乱的一个重要方法是:获取用户输入后,将其重定向到其它函数来
进行处理。原理非常简单,php 文件获得我们需要的任何输入,然后将其执行重定向到类
“
文件中的一个函数。举例来讲,假设有一个类似 index.php?page=profile&action=display”的
URL。由 profile.php
“
来检索该网址并得到操作是 display”。然后使用一个简单的 switch 函数,
我们来执行真正的显示函数:
require_once PROJECTROOT.'libs/messages.class.php'; $message = new Message();
switch ($action) { case 'display': $message->display(); break; ... 如上
所示,我使用了一个消息类,然后开始进行 switch 检查。$message 只是被类中的调用函数
使用的一个对象。
9、了解你的 SQL 语句,并总是对其审查(Sanitize)
正如我以前所提到的,任何 php 网站中最重要的部分有 99%的可能是数据库。因此,
你需要非常熟悉如何正确的使用 sql。学会关联表和更多高级技术。下面我将展示一个使用
MySQL 的函数示例,并使用本文第 7 条函数进行审查。
private function getSentMessages($id) { $this->util->sanitizeInput($id); $pm_table =
$GLOBALS['config']['privateMsg']; $users = $GLOBALS['config']['users']; $sql =
"SELECT PM.*, USR.username as name_sender FROM $pm_table PM, $users USR
WHERE id_sender = '$id' AND sender_purge = FALSE AND USR.id = PM.id_receiver AND
is_read = TRUE ORDER BY date_sent DESC"; $result = $this->dbQueryAll($sql);
return $result; } 首先,我们对用户输入进行检查(通过一个 GET 变量传递消息
id),然后我们执行我们的 SQL 命令。注意这儿 SQL 的用法。你需要了解如何使用别名和
关联表。
10、当你只需要一个对象时,使用单例模式
在 PHP 中相当常见的一种情形时,我们只需要创建一个对象一次,然后在我们的整
个程序中使用它。一个很好的例子就是 smarty 变量,一旦被初始化后就可以在任何地方使
用。这种情形的一个很好实现方案就是单例模式。示例代码如下:
function smartyObject() { if ($GLOBALS['config']['SmartyObj'] == 0)
{ $smarty = new SmartyGame(); $GLOBALS['config']['SmartyObj'] = $smarty;
} else $smarty = $GLOBALS['config']['SmartyObj']; return $smarty; }
注意,我们拥有一个全局 smarty 变量(该示例中它在 config.php 中被初始化),如果它
的值为 0,我们将创建一个新 smarty 对象。否则,它意味着该对象已经被创建,我们只需
要返回它。