Passare da un framework a un no-framework [chiuso]

Sviluppo in PHP da circa 8 anni come hobby. Nel 2009 ho acquisito codeigniter e da allora non sono riuscito a sviluppare un solo progetto.

Trovo che mi rallenti cercando di capire come modificarlo per funzionare nel modo desiderato, quando se lavorassi in PHP puro, lo saprei o sarei in grado di trovare rapidamente uno snippet per.

Ho provato CodeIgniter, Kohana e Symfony. Adoro la facilità d'uso (e ho anche iniziato a usare dottrine come ORM che ha velocizzato enormemente il mio lavoro sul database), ma trovo che i progetti mi stiano impiegando 3-4 volte il tempo necessario con PHP puro. Mi annoio e mi sento frustrato quando non riesco a trovare una soluzione a un problema che ho già risolto in PHP puro.

Qualcuno è tornato dall'uso dei framework a un approccio no-framework. Esiste qualcosa di simile a un framework di sicurezza di base (prevenire XSS, filtrare i dati pubblicati, fornire una funzione di pulizia da utilizzare con i database)? Penso che qualcosa del genere mi avvantaggerebbe molto di più di un quadro completo. Penso che imparare a lavorare con i framework mi abbia insegnato molto, ma sarei più felice di lavorare con il mio codice.

Le versioni attuali di PHP5 includono gran parte del framework di sicurezza che stai cercando come parte della libreria standard.

• Usa filter_input_array per disinfettare in modo dichiarativo le cose che arrivano dall'esterno.
• Accedi al tuo database tramite PDO con SQL parametrizzato per prevenire attacchi di SQL injection.
• Utilizza le seguenti impostazioni PHP per rendere il tuo sito più resistente alla fissazione della sessione e al furto di cookie:
  • session.use_only_cookies (Impedisce che il token di sessione penetri nell'URL)
  • session.cookie_httponly o l' httponlyattributo a session_set_cookie_params () (Protegge dagli script che leggono il cookie di sessione nei browser compatibili)
  • Ulteriori suggerimenti e codice di esempio PHP disponibili su Wikipedia .
  • Puoi anche usare l' httponlyattributo con setcookie () .
• Niente di più elaborato del modello di base e dell'impostazione dell'intestazione è richiesto per le nuove funzionalità HTTP e HTML5:
  • HTTP Strict Transport Security (aiuta a proteggere dagli exploit WiFi.)
  • Opzioni X-Frame (limita l'incorporamento delle tue pagine. Utile contro il phishing.)
  • Attributo HTML5 IFrame Sandbox (Sandbox annunci / badge / video di terze parti. Già in WebKit. Probabilmente implementato almeno parzialmente in Firefox 11.)
  • Content Security Policy (il nuovo framework di sicurezza di Firefox 4, complementare all'attributo sandbox. Ora implementato anche in Chrome ).

Se accetti HTML come input, ti consiglio di prendere HTML Purifier e chiamarlo tramite una riga FILTER_CALLBACK nella configurazione filter_input_array. Il suo approccio basato sulla whitelist alla sicurezza dell'input costituisce un'ottima (e molto potente) prima linea di difesa contro XSS.

Per quanto ne so, PHP non è dotato di un meccanismo per la protezione dalla contraffazione delle richieste cross-site , ma sono sicuro che Google può aiutarti con quello. I Cheatsheets di sicurezza OWASP includono una sezione se desideri implementare la tua protezione.

Per curiosità, ho deciso di iniziare a guardare anche i componenti standalone ed ecco cosa ho trovato finora:

Modelli:

• Ereditarietà del modello PHP (normale eredità del modello PHP più)
• RAMOSCELLO ( sintassi in stile Django / Jinja2 / Liquid, inclusi autoescape e sandboxing. Compila in PHP memorizzato nella cache per maggiore velocità.)
• Dwoo (un successore PHP5 più veloce e più ricco di funzionalità di Smarty . Include un sistema di compatibilità per i modelli Smarty esistenti.)

Cose che non ho ancora esaminato correttamente:

• Invio del percorso ( finora sono stati trovati solo RouteMap e Net_URL_Mapper . Grazie, cweiske.)
• ORM (solo nel caso in cui il PDO nudo non faccia per te)

Non credo nei framework ... ho lavorato in molti di essi.

Motivi per odiare i framework MVC:

1) Code bloat, acquisto classi premium che mi aiutano nello sviluppo. Come classi di moduli o classi SQL.

2) Credo che i framework MVC non siano facilmente trasportabili soprattutto quando si utilizzano i gestori delle dipendenze.

3) Credo che tu possa effettivamente scrivere più codice con un framework MVC quindi se dovessi usare un boilerplate con un sacco di classi utili che gestiscono l'autenticazione, ecc.

4) La maggior parte dei framework soddisfa anche solo uno o due database in modo nativo.

Suggerirei di trovare un framework di moduli con autenticazione e editor di testo e un framework sql come madoo + una classe di posta elettronica ...

Il 90% della tua domanda è sempre form, sql e ajax CLASSES - il resto può essere acquisito solo quando necessario

Sono un minimalista e combatto con l'idea di avere codice nella mia applicazione che non fa nulla ... nel caso in cui ne avessi bisogno non funziona per me.

Con tutta questa esperienza alle spalle, devi avere il tuo set di librerie preferite, selezionarle manualmente e inventare il tuo semplice framework. Framework o no framework (e quale a quello) dipende dal tipo di progetto a portata di mano, nessun guanto va bene per tutti. Quindi suggerirei caldamente che se ritieni che i framework esistenti ti stiano rallentando, spendi un po 'di tempo e trova un framework che funzioni secondo le tue esigenze.

Sulla base della tua affermazione che stai usando PHP come hobby, così come della tua dichiarazione del profilo "Ci arrivo lentamente", questo sembra un problema di curva di apprendimento. Non sembri avere la profondità e l'ampiezza di esperienza per a) capire come lavorare all'interno della struttura che il framework impone eb) quindi non sei in grado di beneficiare delle efficienze che il framework consente.

Ti esorto a mantenerlo. Torna all'inizio con i tutorial video. Trova e leggi il codice di altre persone finché non lo capisci. Crea i tuoi progetti dal basso verso l'alto: inizia in modo semplice e aggiungi funzionalità. Segui i forum, cercando di rispondere tu stesso alle domande prima di leggere le risposte.

Ho programmato professionalmente per quasi 20 anni, su una varietà di piattaforme, e mi ci è voluto ancora un po 'per familiarizzare con CI. Ma ora che lo sono, non tornerei al PHP puro (per i miei progetti) a meno che non avessi un sito di dimensioni sufficienti da esporre problemi di prestazioni quantificabili (si pensi a Twitter).

Zend Framework è davvero eccellente per questo. Puoi usarne quanto vuoi. È tutto codificato in php e open source, quindi puoi semplicemente hackerarlo e renderlo tuo. Le diverse componenti non dipendono l'una dall'altra quanto in altri quadri.

Potresti costruirti un semplice framework usando alcuni componenti di Zend senza problemi.

Dai un'occhiata!

So esattamente come ti senti. Ho iniziato 4 ~ 5 anni fa in PHP (vengo da Delphi, lol) e ho iniziato in puro php. Quello che avevo dietro era un "pannello CMS simile" che leggeva tutti i campi delle tabelle e creava il modulo. Dopo un po 'di tempo ho raggiunto in qualche modo la conoscenza di PHP Frameworks, ho provato CakePHP per primo e non mi è piaciuto, dopo, sono entrato in Yii che a mio parere è abbastanza intuitivo e facile da usare (con il suo generatore Gii è praticamente fantastico). Ho provato Symfony, ZF2, Laravel, Yii2-Beta e alcuni framework per RAD, ma ancora non mi sentivo abbastanza veloce come prima dei framework.

È successo che ho sviluppato il mio framework (è stato naturale, non esattamente che un giorno mi sono svegliato e ho detto "Creerò un nuovo framework", è successo con il tempo). So che è una cattiva cattiva pratica e la mossa di "reinvenzione della ruota", MA, ora sviluppo i miei progetti molto più velocemente (più del solo PHP).

Dato che il suo codice è un MESS totale, ho iniziato circa un mese fa a riformulare il mio framework, ora usa composer, segue regole comuni che esistono tra i framework php, è MVC.

Perché sto riformulando? Perché se qualcuno ha bisogno di riparare un mio progetto, non sarà una cosa da un altro mondo.

Quindi ti capisco.

Il mio consiglio è, prepara i tuoi strumenti (chiamalo framework, app preimpostata o come lo chiamano le persone) e usali nel modo in cui ti senti meglio, ma segui comunque alcune regole comuni (come MVC, cose "facili da modulare" che si può sostituire in caso di rottura.

Per la sicurezza di base, utilizzo un metodo di filtro personalizzato che racchiude le mie superglobali . La sua sintassi ha bisogno di un po 'di tempo per abituarsi, ma è più semplice dell'API PHP filter_var () e non ti consente di evitare la disinfezione:

 $_GET->text("inputvar") or $_POST->name["field"]

Permetteva anche l'escape $ _REQUEST-> sql () inline. Ma per il lavoro del database continua a utilizzare SQL parametrizzato o il tuo DAL / ORM preferito.

Ho fatto uno studio di un giorno su ToroPHP e l' ho trovato abbastanza carino. È un framework minimalista destinato alle applicazioni RESTful. Ciò consente di mantenere modulare il codice lato server, senza dover affrontare il sovraccarico di alcun framework.

Non so cosa ti preoccupi ma codeigniter è un ottimo framework, ha una bella documentazione e poiché molte persone usano codeigniter troverai tutto l'aiuto nella sua documentazione, o forum o su stackoverflow. Ho lavorato su molti framework ( Codeigniter, CakePHP, Zend, Spring 3.0, Ruby on Rails), ma devo dire che codeigniter ha la migliore documentazione. Ci sono molte cose in codeigiter che vengono gestite automaticamente e non devi preoccuparti della sicurezza. Lavorare sul core PHP è come reinventare la ruota. Bene, la cosa più importante è che passare da un core a un framework richiederà molto del tuo sforzo una volta che ti sarai abituato, inizierai ad amarlo.Anche Ruby on rails è anche un ottimo framework una volta che conosci i suoi dettagli che puoi hanno doppia velocità.