第一,指定是編碼規範了,統一的編碼規範可以減少註釋,也能增加Code review的速度。
中文版PSR規範:https://psr.phphub.org/
英文版PSR規範:http://www.php-fig.org/psr/
第二,數據驗證,不光是前臺數據做驗證,後端也要驗證,首先前後端的驗證規則應該一致同步,因爲攻擊者很可能不會從你的頁面來攻擊而是通過CURL等手段來反覆提交錯誤數據,所以後端的驗證一定要有而且不能有縮水,一是防止破壞數據庫(丟失數據、產生錯誤數據等),二是防止把Error Message和trace返回給用戶,以及那些等着拿你的報錯信息分析你的文件結構的人。
第三,配置,首先是Apache配置,dev、production、testing三種環境都要配置好,大多數框架裏會有關於調試模式的開關,線上項目一定要關閉這個開關,不要把框架的任何信息暴露給用戶。
第四,儘量不要使用 php的DOM類,DOM本身是一個複雜的,不好處理的東西,會衍生很多問題。
第五,前端在呈現後臺傳過來的數據的處理。所有用戶產生的數據要做escape,即使存入數據庫的時候是沒有問題的,很有可能再從數據庫裏拿出來的時候就出現問題了,但是程序本身產生的數據就不用做escape了比如隨機字符串、時間等等,常用的escape就是htmlspecialchar,防止二次XSS攻擊。
什麼是XSS,什麼是CSRF,如何防止SQL注入……
關於composer:遇到各種類型的composer報錯,先更新一下也許就會好了:
sudo composer self-update