PHP编码规范的核心是统一、可读、可维护,强调命名清晰(如$userEmail)、4空格缩进、类型声明、外部输入过滤验证转义。
4空格缩进、类型声明、外部输入过滤验证转义。PHP编码规范的核心是统一、可读、可维护,不是追求绝对正确,而是让团队协作更顺畅、代码审查更高效、后续迭代更省力。
命名要清晰,别玩缩写梗
变量、函数、类名必须见名知意,避免用 $usr、$tmp、$data 这类模糊名称。驼峰命名(camelCase)适合变量和函数,帕斯卡命名(PascalCase)用于类名和接口。
- ✅ 推荐:
$userEmail、calculateTotalPrice()、UserRepository - ❌ 避免:
$ue、calc()、usrrepo - 常量全大写加下划线:
MAX_LOGIN_ATTEMPTS,不是maxLoginAttempts
缩进与空格:4个空格,别用Tab
PHP-FIG(PSR)标准明确要求使用4个空格缩进,禁用Tab字符。IDE里务必设置“Tab键插入4空格”,并开启“显示空格/制表符”辅助检查。
- if、foreach、function 等结构的花括号换行后缩进,左花括号不换行(PSR-2/PSR-12)
- 运算符两侧留空格:
$sum = $a + $b;,不是$sum=$a+$b; - 数组定义中键与值之间、逗号后加空格:
['name' => 'Tom', 'age' => 28]
函数与方法:短小、单一、有类型声明
单个函数最好不超过20行,只做一件事。PHP 7.0+ 强烈建议启用严格模式并添加返回类型和参数类型声明,减少运行时类型错误。
- 开头加
declare(strict_types=1); - 参数类型写在变量前:
public function save(User $user): bool - 避免超长参数列表,多参数考虑封装成 Value Object 或数组配置(但需文档说明)
- 私有方法命名用小写字母+下划线(如
validate_email_format())也可接受,但需团队统一
安全与健壮性:永远别信外部输入
$_GET、$_POST、$_COOKIE、文件上传、数据库结果……所有外部数据默认视为不可信。过滤、验证、转义三步不能少。
- 输出到HTML前用
htmlspecialchars($str, ENT_QUOTES, 'UTF-8') - 数据库操作强制用PDO预处理语句,杜绝拼接SQL
- 文件路径拼接避免用户控制全部路径,用
basename()或白名单校验文件名 - 敏感操作(如密码重置、支付)加CSRF Token 和权限校验,别只靠前端隐藏按钮
基本上就这些——不需要记住全部PSR条目,但坚持命名清晰、缩进一致、类型明确、输入设防,你的PHP代码就已经比多数项目高出一截。
