关于PHP开发的9条建议

本文只是个人从实际开发经验中总结的一些东西，并不是什么名言警句，写出来有两个目的：一是时刻提醒自己要按照这些知识点来写自己代码，二是为了分享，说不定对你有用呢？万一，是吧。。。

1.首要意识：安全

大多数时候，我们开发的Web程序都是需要跟数据库打交道的，所以这里几乎可以说SQL注入是一个怎么也无法避免要拿出来讨论一下的问题。而且近年来像XSS和CSRF攻击也变得大行其道，使得”黑客”们貌似又有了一把把利器，而我们总是处于被动的状态。不过我们要记得是下面这两个原则：

1. 永远不要相信用户输入的东西。（老话了，但这是真的）

2. 将自己需要输出的数据进行转义。

简单来说就是：filter input , escape output

如果你是新手，不要再使用类似以下的查询语句了：

SELECT FROM users WHERE username = $_POST[username] AND password = $_POST[password];

还有就是，使用PDO或Mysqli吧，不要再使用老式的mysql操作了。

而对于，CSRF的解决方案，目前接触的都是给每一次的表单提交都设置一个token值，然后在表单提交的时候校验之即可。

2.明确地知道各个比较操作符的差别

PHP的比较操作符,这其实可以说是一个很小的注意点，但是在某些时候真的很重要。比如说很多时候我们得考虑清楚，该用==还是===，如果你使用过strpos()这个函数，下面的代码可能会给你一个直观的感受：