17370845950

PHP编码规范的核心是统一、可读、可维护，强调命名清晰（如$userEmail）、4空格缩进、类型声明、外部输入过滤验证转义。

PHP编码规范的核心是统一、可读、可维护，不是追求绝对正确，而是让团队协作更顺畅、代码审查更高效、后续迭代更省力。

命名要清晰，别玩缩写梗

变量、函数、类名必须见名知意，避免用 $usr、$tmp、$data 这类模糊名称。驼峰命名（camelCase）适合变量和函数，帕斯卡命名（PascalCase）用于类名和接口。

• ✅ 推荐：$userEmail、calculateTotalPrice()、UserRepository
• ❌ 避免：$ue、calc()、usrrepo
• 常量全大写加下划线：MAX_LOGIN_ATTEMPTS，不是 maxLoginAttempts

缩进与空格：4个空格，别用Tab

PHP-FIG（PSR）标准明确要求使用4个空格缩进，禁用Tab字符。IDE里务必设置“Tab键插入4空格”，并开启“显示空格/制表符”辅助检查。

• if、foreach、function 等结构的花括号换行后缩进，左花括号不换行（PSR-2/PSR-12）
• 运算符两侧留空格：$sum = $a + $b;，不是 $sum=$a+$b;
• 数组定义中键与值之间、逗号后加空格：['name' => 'Tom', 'age' => 28]

函数与方法：短小、单一、有类型声明

单个函数最好不超过20行，只做一件事。PHP 7.0+ 强烈建议启用严格模式并添加返回类型和参数类型声明，减少运行时类型错误。

• 开头加 declare(strict_types=1);
• 参数类型写在变量前：public function save(User $user): bool
• 避免超长参数列表，多参数考虑封装成 Value Object 或数组配置（但需文档说明）
• 私有方法命名用小写字母+下划线（如 validate_email_format()）也可接受，但需团队统一

安全与健壮性：永远别信外部输入

$_GET、$_POST、$_COOKIE、文件上传、数据库结果……所有外部数据默认视为不可信。过滤、验证、转义三步不能少。

• 输出到HTML前用 htmlspecialchars($str, ENT_QUOTES, 'UTF-8')
• 数据库操作强制用PDO预处理语句，杜绝拼接SQL
• 文件路径拼接避免用户控制全部路径，用 basename() 或白名单校验文件名
• 敏感操作（如密码重置、支付）加CSRF Token 和权限校验，别只靠前端隐藏按钮

基本上就这些——不需要记住全部PSR条目，但坚持命名清晰、缩进一致、类型明确、输入设防，你的PHP代码就已经比多数项目高出一截。