数据库书写规范

为保证数据操作安全,数据库操作有以下处理及书写原则:

所有数据库操作时必须使用PDO操作

所有SQL查询关键字大写,方便代码审查

所有SQL对象(表名,字段名,索引名等)必须用反引号包括

所有编码参数查询,必须使用PDO的参数绑定机制处理

不能绑定参数处理的查询(唯一的例外是 IN () 语句),必须处理好变量检测及字符串转义

这是一个完整的数据库操作示例:

$tids ;= ;array();if(!empty($_GPC['select'])) ;{
foreach($_GPC['select'] ;as ;$t) ;{
$tids[] ;= ;intval($t); ; ;//---- ;必须将输入参数转换为无安全隐患的格式,
数字列必须转换为数字列,字符串列必须使用 ;
addslashes}}if(!empty($tids)) ;{
$sql ;= ;'SELECT ;* ;FROM ;' ;. ;tablename('trades') ;. ;' ;
WHERE ;`username`=:username ;AND ;`tid` ;IN ;(' ;. ;implode($tids) ;. ;')';
$pars ;= ;array();
$pars[':username'] ;= ;$_GPC['username'];
$trades ;= ;pdo_fetchall($sql, ;$pars);}

命名原则

命名是程序规划的核心。古人相信只要知道一个人真正的名字就会获得凌驾于那个人之上的不可思议的力量。只要你给事物想到正确的名字,就会给你以及后来的人带来比代码更强的力量。

名字就是事物在它所处的生态环境中一个长久而深远的结果。总的来说,只有了解系统的程序员才能为系统取出最合适的名字。如果所有的命名都与其自然相适合,则关系清晰,含义可以推导得出,一般人的推想也能在意料之中。

就一般约定而言,类、函数和变量的名字应该总是能够描述让代码阅读者能够容易的知道这些代码的作用。形式越简单、越有规则,就越容易让人感知和理解。应该避免使用模棱两可,晦涩不标准的命名。

变量、函数名

变量、函数名一律为小写格式;

以标准计算机英文为蓝本,杜绝一切拼音、或拼音英文混杂的命名方式;

变量命名只能使用项目中有据可查的英文缩写方式,例如可以使用 $data 而不可使用 $data1、$data2 这样容易产生混淆的形式,应当使用 $trade、$product 这样一目了然容易理解的形式;

可以合理的对过长的命名进行缩写,例如 $bio($biography),$tpp($threadsPerPage),前提是英文中有这样既有的缩写形式,或字母符合英文缩写规范;

必须清楚所使用英文单词的词性,在权限相关的范围内,大多使用 $allowXxx 或 $isXxx 的形式,前者后面接动词,后者后面接形容词。

变量名标识符不应当使用下划线“_”进行分割,函数名根据需要可按照模块单元名称使用下划线添加前缀,以实现命名空间的效果。但每个函数名标识符尽量避免出现三个以上的下划线。


返回

条结果""