如何安全重构PHP代码,避免动及遗留系统改造策略?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1006个文字,预计阅读时间需要5分钟。
不勤奋,是因为没有养成良好的行为——先写特征测试,再碰任一行逻辑。
为什么一改就炸:全局变量和裸SQL是最大雷区
你看到 $db、$user、$_SESSION 直接在函数里被读写,基本可以判定这代码没有隔离边界。这类变量让函数行为依赖外部状态,单元测试写不出来,重构时改了 A 函数,B 函数悄悄崩掉。
- 所有
global $xxx必须替换成参数传入或依赖注入(哪怕先用简单工厂临时兜底) - 所有
mysql_query或拼接字符串的mysqli_query必须立刻替换为PDO::prepare()+ 占位符,例如:$pdo->prepare("SELECT * FROM orders WHERE status = ?")->execute([$status]) - 不要试图“顺手”把 SQL 拆成模型类——先保证原逻辑 100% 不变,再抽离
怎么写有效的特征测试:不猜意图,只录行为
别写“应该返回 85”,写“它现在确实返回 85”。特征测试不是验收标准,是行为快照。PHPUnit 是最轻量的选择,不需要断言“对不对”,只要断言“跟昨天一样”。
本文共计1006个文字,预计阅读时间需要5分钟。
不勤奋,是因为没有养成良好的行为——先写特征测试,再碰任一行逻辑。
为什么一改就炸:全局变量和裸SQL是最大雷区
你看到 $db、$user、$_SESSION 直接在函数里被读写,基本可以判定这代码没有隔离边界。这类变量让函数行为依赖外部状态,单元测试写不出来,重构时改了 A 函数,B 函数悄悄崩掉。
- 所有
global $xxx必须替换成参数传入或依赖注入(哪怕先用简单工厂临时兜底) - 所有
mysql_query或拼接字符串的mysqli_query必须立刻替换为PDO::prepare()+ 占位符,例如:$pdo->prepare("SELECT * FROM orders WHERE status = ?")->execute([$status]) - 不要试图“顺手”把 SQL 拆成模型类——先保证原逻辑 100% 不变,再抽离
怎么写有效的特征测试:不猜意图,只录行为
别写“应该返回 85”,写“它现在确实返回 85”。特征测试不是验收标准,是行为快照。PHPUnit 是最轻量的选择,不需要断言“对不对”,只要断言“跟昨天一样”。