PHP代码的优与劣

简介

一段简单的代码却能有那么多的“考点”，你能答出几个呢？

　　我在SitePoint做面试官的时候一定会问的问题是：你认为PHP代码 的优劣体现在哪里？因为这个问题可以让我大体知道应聘者是哪种类型的程序员，而不是单纯地考察他对PHP函数的掌握程度（这一点Zend的PHP认证做得不错，雅虎的PHP程序员面试题也属于此类）。

　　重要的是，这个问题可以让我知道应聘者是否经历过这样的事情——从一个懒散程序员手中接过一段凌乱的代码 进行重用，或者要帮助团队中的其他成员来处理这类事情。

　　诚然，对于这个问题我自己并没有一个满意的答案，不过我知道哪些答案是我想听到的：

　　优良的PHP代码 应该是结构化的。大段的代码应该被分割整理成一个个函数或方法，而那些不气眼的小段代码则应该加上注释，以便日后清楚它们的用途。而且应该尽可能地把前台代码如HTML、CSS、Javascript等从程序中分离出来。PHP的面向对象编程 特性可以很好地帮助程序员将代码整理有序。

　　优良的PHP代码 应该是规范化的。无论是为变量名和函数名设定命名规则，还是对一些会重复使用的过程如数据库操作和错误处理进行标准化，抑或是简单到规定好代码是怎样缩进的，这些规范化都可以让代码的可读性大大提高。

　　优良的PHP代码 应该是自适应的。PHP有许多特性如magic quotes和short tags，这些特性的打开和关闭会影响到程序的运行。所以，一个好的程序员应该在他的代码中加如适当的语句来使程序能够根据环境进行调整。

　　优良的PHP代码 应该是安全的。虽然PHP是一种高效、灵活的语言，没有固定的框架，但却把安全问题留给了程序员们。对潜在安全漏洞的深刻理解，如跨站脚本攻击（XSS）、跨站请求伪造（CSRF）、代码注入漏洞、字符编码循环漏洞等，对于今天的专业程序员来说是至关重要的。

　　当应聘者在回答这些问题的时候，我就能清楚地知道是否该录用他。当然，有时程序员并不能很好地阐明这个问题，这时我们会让他们做一些PHP测试。测试中的许多问题表面上看起来非常简单，但这也给了应聘者们一个展现自我的机会，因为只要观察得仔细，就能找出问题。

　　下面这一小段“劣质”的PHP代码 是一道简化了的测试题。这种问题就像在问：你该怎样优化这段代码？

<?
echo("<p>Search results for query: " .
    $_GET['query'] . ".</p>");
?>

　　这段代码 的主要问题在于它把用户提交的数据直接显示到了网页上，从而产生XSS漏洞。其实有很多方法可以填补这个漏洞。那么，什么代码是我们想要的呢？

<?
echo("<p>Search results for query: " .
    htmlspecialchars($_GET['query']) . ".</p>");
?>

　　这是最低要求。XSS漏洞用htmlspecialchars函数填补了，从而屏蔽了非法字符。

<?php   
if (isset($_GET['query']))  
{  
  echo '<p>Search results for query: ',  
      htmlspecialchars($_GET['query'], ENT_QUOTES), '.</p>';  
}  
?> 

　　能写出这样代码 的人应该是我想要录用的人了。

• <?被替换成了<?php ，这样更符合XML规范。
• 在输出$_GET['query']的值之前先判断它是否为空。
• echo命令中多余的括号被去掉了。
• 字符串用单引号限定，从而节省了PHP从字符串中搜索可替换的变量的时间。
• 用逗号代替句号，节省了echo的时间。
• 将ENT_QUOTES标识传递给htmlspecialchars函数，从而保证单引号也会被转义。虽然这并是最主要的，但也算是一个良好习惯。

　　可惜的是，能给出这样让人满意答复的程序员少之又少。我们花了3个月的时间才招聘到让我们满意的程序员。

　　那么，你会怎样回答文章开头提出的问题呢？你认为PHP代码 的优劣体现在哪里？你认为一个PHP程序员还应具有哪些品质？