一个PHP开发者总结的九条建议

浪人

　　原文：https://jellybool.com/post/9-things-that-php-developer-should-know-about
　　本文只是个人从实际开发经验中总结的一些东西，并不是什么名言警句，写出来有两个目的：一是时刻提醒自己要按照这些知识点来写自己代码，二是为了分享，说不定对你有用呢？万一，是吧。。。
　　1、首要意识：安全
　　大多数时候，我们开发的Web程序都是需要跟数据库打交道的，所以这里几乎可以说SQL注入是一个怎么也无法避免要拿出来讨论一下的问题。而且近年来像XSS和CSRF***也变得大行其道，使得"***"们貌似又有了一把把利器，而我们总是处于被动的状态。不过我们要记得是下面这两个原则：
　　1. 永远不要相信用户输入的东西。（老话了，但这是真的）
　　2. 将自己需要输出的数据进行转义。
　　简单来说就是：filter input , escape output
　　如果你是新手，不要再使用类似以下的查询语句了：
　　SELECT FROM users WHERE username = $_POST['username'] AND password = $_POST['password'];
　　还有就是，使用PDO或Mysqli吧，不要再使用老式的mysql操作了。
　　而对于，CSRF的解决方案，目前接触的都是给每一次的表单提交都设置一个token值，然后在表单提交的时候校验之即可。
　　
　　
　　2.明确地知道各个比较操作符的差别
　　PHP的比较操作符,这其实可以说是一个很小的注意点，但是在某些时候真的很重要。比如说很多时候我们得考虑清楚，该用==还是===，如果你使用过strpos()这个函数，下面的代码可能会给你一个直观的感受：