    PHP文件的包含在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。
- 1、编写目的
- 2、整体要求
- 3、安全规范
- 3.1、包含文件
- 3.1.1、命名规则
- 3.1.2、存放规则
- 3.2、安全规则
- 3.3、一些针对PHP的规则
- 3.4、其它处理规则
- 3.4.1、输入参数处理
- 3.4.2、操作大HTML文本
- 4、编码规范
- 4.1、命名规范
- 4.1.1、变量命名
- 4.1.2、类命名
- 4.1.3、方法或函数
- 4.1.4、缩写词
- 4.1.5、数据库表名
- 4.1.6、数据库字段
- 4.2、书写规则
- 4.2.1、代码缩进
- 4.2.2、大括号{}书写规则
- 4.2.3、小括号()和函数、关键词等
- 4.2.4、=符号书写
- 4.2.5、if else swith for while等书写
- 4.2.6、类的构造函数
- 4.2.7、语句断行
- 4.2.8、数字
- 4.2.9、判断
- 4.2.10、避免嵌入赋值
- 4.2.11、错误返回检测规则
- 4.3、程序注释
- 4.3.1、程序头注释块
- 4.3.2、类的注释
- 4.3.3、函数和方法的注释
- 4.3.4、变量或者语句注释
- 4.4、其它规范
- 4.4.1、PHP代码标记
- 4.4.2、程序文件名、目录名
- 4.4.3、PHP项目通常的文件目录结构
- 4.4.4、PHP和HTML代码的分离问题
- 4.4.5、PHP项目开发中的程序逻辑结构
- 5、特定环境下PHP编码特殊规范
- 5.1、变量定义
- 5.2、引用的使用
- 5.3、变量的输入输出