PHP 框架 Codeigniter 的一些优秀实践

最近准备接手改进一个别人用Codeigniter写的项目，虽然之前也有用过CI，但是是完全按着自己的意思写的，没按CI的一些套路。用在公众的项目，最好还是按框架规范来，所以还是总结一下，免得以后别人再接手的时候贻笑大方。

1. 首先是 MVC

如果你还不知道 MVC ，应该尽快的学习，你会很快的体会到在 Model 中数据访问，在 Controller 中进行业务逻辑，在 Views 中编写 HTML 代码的价值。如果你之前没有使用过这种模式写过程序，你也许会皱起额头，不过你应该给自己尝试这样做的机会。

一条实践准则是把更少的东西放进 Controller ，记住 DRY 准则：不要重复造轮子。当在超过一个地方编写相同的代码时，应该根据它的类型来尝试编写一个 library， helper，或 model。比如数据库连接类，用得很频繁，就把它做成 model（系统已提供）。

一旦领悟了 MVC 的精髓，这将会成为一种习惯，你会从 MVC 简洁的代码中受益良多。

一个原则就是：复杂的操作都交给Model。Controller更像个建筑师。 Model是苦工。 View 是粉刷工。Controller 只需要把东西丢进Model里就可以了，不需要在意数据是否异常，然后返回一个标志位以及相应的数据。这样MVC 的 架构就体现出来了。

Model其实就像一个电器如：微波炉一样，使用方法越简单越让人喜欢，(把食物放进去 －按启动 －ok，饭熟了。)接口少的好处是，Model升级代码优化的时候，对外界的耦合度不高。即使你内部写得很烂，接口也很干净，用起来也简单。

2. Application 和 System 路径

最好是把 system 和 application 文件夹放在 webroot 以外的地方，如果 index.php 放在 FTP 服务器的 /public_html/ 路径下，应该尝试把 System 放在根目录下 /system ，这样的话，只能通过 index.php 访问你的PHP文件。

不要忘记在index.php文件中修改 $system_folder 和 $application_folder 的值，$system_folder 的值应该是相对于 index.php 文件，而 $application_folder 的值是相对于 system 目录。

3. 错误报告和调试

常常犯的一个错误是忘记关闭 PHP 错误和数据库错误报告，这样做是有风险的。在任何一个公开的站点，error_reporting 应该设置为0 ，最多只能设置为 E_ERROR，数据库设置 db_debug 应该设置为 false，基于其他安全考虑，设置不显示出错信息 ini_set('display_errors', 'Off');

在你编码和调试时，应该把 error_reporting 设置为 E_ALL ，并且在把应用程序发布前解决每一个注意和警告。

一种简易的方法是在 application/config/database.php 文件设置 db_debug 的值为一个常量 MP_DB_DEBUG，当网站在运行中，如下设置：

ini_set('display_errors', 'Off');
error_reporting(0);
define('MP_DB_DEBUG', false);

在编码和调试中设置为：

ini_set('display_errors', 'On');
error_reporting(E_ALL);
define('MP_DB_DEBUG', true);

4. 安全问题很重要

在接收任何数据到你的程序之前，不管是表单提交的 POST 数据、COOKIE 数据、URI 数据、XML-RPC 数据、还是 SERVER 数组中的数据，我们都推荐你实践下面的三个步骤：

1. 过滤不良数据.
2. 验证数据以确保符合正确的类型, 长度, 大小等. (有时这一步骤也可取代第一步骤)
3. 在提交数据到你的数据库之前将其转换.

关于SQL注入，XSS，以及 CSRF ，你应该先了解它们，再决定是否采用方法来防止它们。可以参考CI手册上的安全指南 以及 输入和安全类。也许最重要的原则是在把数据提交到数据库或文件系统之前检查所有用户的输入。

• SQL注入。使用 CI 自带的 Active Record 可以解决这个问题。
• XSS (跨站脚本)。通过设置 $config['global_xss_filtering'] = TRUE; 开启自动过滤POST和COOKIE中的跨站脚本攻击，但需要消耗一些资源。也可以在每次处理POST和COOKIE的时候单独使用，把第二个参数设为TRUE，如 $this->input->post('some_data', TRUE); 表单验证类也提供了 XSS 过滤选项，如 $this->form_validation->set_rules('username', 'Username', 'trim|required|xss_clean');
• CSRF (跨站请求伪造)。CI 2.0 将内置 CSRF 检查，在 Google 上搜索 "CSRF tokens" 学习更多关于在保护表单提交和 URL 链接的知识，在 Ajax 应用方面可以搜索 "double cookie submission" 或 "双提交 cookie"。
• SPAM (垃圾留言和恶意注册)。通过保护你的邮件表单，评论表单，以及其他各种免费用户提交的数据来防止垃圾信息，一个简单的方法是只允许一个IP/User客户端在一分钟之内只能提交一次，一个比较好的方式是使用 Captcha ，CI2中内置了一个CAPTCHA的辅助函数。

5. 数据库 和 ORM

CodeIgniter 有一个自带的库 Active Record 能够帮助你在不使用 SQL 语句的情况下写查询语句。这在你不太精通 SQL 语句或不知道怎样防止SQL注入的情况下是一个很好的方法。

当你需要更强大的工具时，你可以考虑使用 Object Relational Mapper ，就是鼎鼎大名的 ORM 了，遗憾的是，CodeIgniter 没有自带 ORM 库，不过也有一些其他很好的选择。

6. 代码实践

编写简洁的代码，并且理解你的代码，不要只是复制粘贴别人的代码，并且不断提高编码能力。手册上的开发规范是一个能学习怎样更好编写代码的地方。

1. DRY。不要总是重复造轮子，把能重用的代码放在它应该在的地方，比如libraries, helpers 或者是 models，而不是controllers，一个经验准则：当你复制代码的时候，也许你已经第二次把它放在了错误的地方。

2. Caching (缓存)。缓存是一个提高性能的很好的方式，尤其是减少数据库的访问。可以参考网页缓存和数据库缓存，或者在论坛上搜索其他的可选方案，比如 MP_Cache 是作者自己的作品。

3. HTTP headers (HTTP头部)。在客户端你能够通过单独发送HTTP头部使浏览器缓存页面来提高性能，当你使用 AJAX 的时候你也需要了解它来禁止浏览器缓存。

一个禁止缓存的例子：

$this->output->set_header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
$this->output->set_header("Cache-Control: no-store, no-cache, must-revalidate");
$this->output->set_header("Cache-Control: post-check=0, pre-check=0", false);
$this->output->set_header("Pragma: no-cache");

一个长时间保持缓存的例子(比如 css, javascript)：

$this->output->set_header('Cache-Control: private, pre-check=0, post-check=0, max-age=2592000');
$this->output->set_header('Expires: ' . gmstrftime("%a, %d %b %Y %H:%M:%S GMT", time() + 2592000));
$this->output->set_header('Last-Modified: ' . gmstrftime("%a, %d %b %Y %H:%M:%S GMT", time() - 20));

7. 模板渲染不必每次都调用 header 与 footer

在 MY_Controller 头部和 __construct 函数中添加以下内容，用于设定默认的模版信息，其中 SITE_NAME 需要自己在 application/config/constants.php 里面自己定义：

class MY_Controller extends CI_Controller {

    protected $_data;    // 模版传值数组
    protected $_tplext;  // 默认模版后缀
    protected $_header;  // 默认头部模版
    protected $_footer;  // 默认底部模版


    public function __construct () {
        parent::__construct();

        $this->_data['title'] = SITE_NAME;
        $this->_tplext = '.php';
        $this->_header = 'templates/header';
        $this->_footer = 'templates/footer';

        // 开发模式下开启性能分析
        if (ENVIRONMENT === 'development') {
            $this->output->enable_profiler(TRUE);
        }
    }

}

8. 不必所有的类都继承 CI_Controller

新增的控制器不再继承 CI_Controller，而改继承 MY_Controller：

class Index extends MY_Controller {

    public function __construct () {
        parent::__construct();
    }


    /**
     * 前台首页
     */
    public function index () {
        $this->_data['title'] = '首页';  // 不指定则使用默认标题 SITE_NAME
        $this->_view('index/index');
    }

}

末了，再补充两个：

9. CodeIgniter的文件结构

cache用以存储缓存文件，codeigniter文件夹包含了CI的基类CI_Base，为了兼容php4和php5，CI_Base有两个版本，其中php4版本的CI_Base继承于CI_Loader。libraries里存放了大部分常用的类库，最主要的三个类：Model，View和Cotronller，自己写的任何mvc都要继承于已有的mvc类；helpers里是一些函数（方法）集合，用以辅助其他模块的方便工作。language是一个语言包，用以支持多语言。

application文件夹用以存储您的应用程序，CI已经在内部为您增加了一些子文件，包括models、views、controllers、config、errors、hooks和libraries。其中前三个文件夹是用以创建模型、视图和控制器的。您的大部分工作都应该是创建属于自己的MVC，并可在config里加入配置文件，libraries里加入一些对象和方法，用来辅助您的模型和控制器工作。而hooks也是对CI_Hooks的扩展，具体内容见下面的章节。

10. CodeIgniter的工作过程

当有一个http请求时，如http：//www.google.com/blog/，首先进入CI的引导文件index.php。接下来我们看看index.php里做了哪些事情。

index首先设置了应用程序的文件夹名称为application，系统的文件夹名称为system，然后做了一系列严格的判断并转换为unix风格的服务器绝对文件路径，具体说来定义了两个比较重要的常量，APPPATH，应用程序的文件夹路径，根据分析可知，该路径可以和system同级：htdocs/application/，也可以放到system文件夹里面，作为其子文件夹：htdocs/system/application/，但推荐采用第二种方式，这样显得比较整齐；BASEPATH，网站文档的基本文件路径，写出来大概是htdoc/system/；到最后，index引导文件引入了codeigniter/codeigniter.php里。接下来我们看看codeigniter里做了什么事情。

codeigniter.php一上来就引入了三个文件：Common.php，Compat.php和config/constants.php，其中Common里包含了一些函数，用于载入类库的load_class，记录日志的log_message，和引入错误页面的show_404是几个重要的函数；Compat主要解决了php4和php5中的函数不兼容问题，而constants则定义了一些读写文件权限的常量。

紧接着codeigniter载入了第一个类库，Benchmark，这个类库最简单的一个应用就是计算网页从开始到编译结束所花掉的时间，所以您在编译开始的地方打上一个标记，渲染结束后再打上一个标记，就可以算出其中花费的时间了。

接着载入了第二个类库，Hooks，这个类库和Benchmark一样都是在system\libraries下，这个类库的作用是在程序开始编译之前给您提供一个执行其他事情的机会，Hooks会您执行其他任务提供了大约8个机会，具体参见用户指南。在这里，它导入了第一个钩子。

然后分别载入了Config，URI，Router，Output等类库，接着，检查是否有cache_override的钩子，这个钩子可以允许您调度自己的函数来替代Output类的_display_cache方法，如果没有，直接调用Output的_display_cache，检查是否有缓存内容，如果有，则直接输出缓存，退出；如果没有，则接着往下执行。

此后，继续载入Input，Language，注意此前载入的类库都是一个引用；然后又一个重要的载入，那就是CI_Base对象的载入，首先会判断php的版本，如果是php4版本的，则会首先载入Loader，然后载入Base4，因为Base4中CI_Base继承于CI_Loader,而Base5中，CI_Base与CI_Loader没有继承关系。

下一步，也是真正关键的一步了，这一步开始载入了一个Controller类，这个是个实例，而不是引用；然后通过Router来解析http地址，获得控制器和方法的名字，接着看application\controllers里是否存在这样的控制器和方法，如果没有，则报错；如果有，则开始判断。