插件制作的基本思路是:(初学者适用)
1.形成插件思路
2.制作插件界面
3.构架程序模块
4.搭建存储数据
5.填充功能语句
6.检查应用错误
7.完善插件功能
前言:为方便互联网数万Discuz!爱好者,更加深入了解Discuz!软件,本人在熟悉Discuz!过程中,顺便将个人经验写给大家。本贴内容由本人定期更新。本贴只介绍Discuz!中部分技术点,本贴紧属个人观点,不足之处,请各位多多指教,在下先此谢过!。“Discuz!”在下文中简称“DZ”。要弄DZ二次开发,必须至少具备如下技能:
1) 能够理很好理解MVC构架的原理(虽然DZ不是MVC架构的)
2) 扎实的PHP基础,熟悉结构化程序,OOP程序的写法及应用
3) 熟悉MYSQL就用,掌握SQL语言,懂SQL优化者更佳
4) 熟悉使用Discuz!的各项功能
一) Discuz!的文件系统目录
注:想搞DZ开发,就得弄懂DZ中每个文件的功能。
a) Admin:后台管理功能模块
b) Api:DZ系统与其它系统之间接口程序
c) Archiver:DZ中,用以搜索引擎优化的无图版
d) Attachments:DZ中 ,用户上传附件的存放目录
e) Customavatars:DZ中,用户自定义头像的目录
f) Forumdata:DZ缓存数据的存放目录
g) Images:DZ模板中的图片存放目录
h) Include:DZ常用函数库,基本功能模块目录
i) Ipdata:DZ统计IP来路用的数据
j) Plugins:DZ插件信息的存放目录
k) Templates:DZ模板文件的存放目录
l) Wap:DZ无线,Wap程序处理目录
二) 必须记熟Discuz!数据库设计的每个表的功能,每个表中每个字段的功能。
关于DZ数据库设计文档,请参阅DZ相关的项目文档(请从本贴附件中下载)
三) Discuz!的流程控制
a) 后台流程控:DZ后台所有的功能,均需要注册到admincp.php文件,每个功能都至少有一个或一个以上的Action(动作),在admincp.php中,可以定义Action的执行权限,分别为:“admin==1”管理员,或“admin==2 || admin==3”超级版主和版主,每个Action对应一个脚本文件,脚本文件的命名为action.inc.php(*.inc.php),并存放在admin目录下,如执行:admincp.php?action=dodo,相当于执行admin目录下的dodo.inc.php文件
b) 前台流程控制:前台的流程控制比较简单:流程是自由的,如:
首页:index.php
会员注册:register.php;
会员登录:logging.php
发贴程序:post.php
会员信息:member.php
论坛内容:forumdisplay.php
查看贴子:viewthread.php
…大部分功能,此处不一一列出…
c) DZ根目下的config.inc.php属于整个DZ系统的配置文件
四) Discuz!的数据处理过程
a) DZ对mysql的数据库操作处理全部封装在dbstuff(db_mysql.class.php)类中
b) 所在的外部数据均通过“daddslashes()”初步过滤,然后再过滤,再根据需要处理
五) Discuz!的显示控制(网站多样式风格输出)
a) 显示层就是大家通常所看到的网站风格了。DZ中每套风络分别在templates及images下对应一个风格文件的存放目录。网站风格的制作,请参阅详细的DZ风格制作文档
b) DZ网站风格文件处理的原理:其实很简单,DZ使用template.func.php中的parse_template()以PHP正则运算把htm模文件中的模板标签,转换成了PHP代码,并根据styleid保存在forumdata/templates下,这个有点像Smarty中的技术。
六) DZ中的语言处理
a) DZ前台及后台中、英语言的实现,均是把语句定义成了语变量,然后在模板输入,语句变量的赋值,均放在模板目录中的*.lang.php文件中,DZ在生成网站风格时就加载了这相应的语言包。
七) DZ如何处理用户信息(存取、计算、更新过程)
新手要做二次开发,都必须掌握这数组中,每个数组元素的意义。
a) DZ的基本信息,如用户信息,Session信息存在如下变量中:
a). $_DCACHE
b). $_COOKIE
c). $_DCOOKIE
d). $_DSESSION
e). $_DPLUGIN
b) 可以通过print_r($GLOBALS),打印全部变量
八) DZ中缓存处理机制
a) DZ中缓存处理过程都放在“cache.func.php”中,DZ的缓存处理比较简单,其原理是把一个数组转换成了PHP代码,并保存在缓存目录下,大家可打开缓存文件查看便知。
b) 使用方法:如果在新开的功能中,需要缓存某部分数据,基本上就是:
1)定义并注册缓存名字。
2)从数据读取相应的数据。
3)数据在写入缓存前作相应处理。
4)最后写入缓存。
具体操作,可以看文件中的代码,做相应的修改即可
九) DZ中模板处理机制
a) DZ独创的模板处理技术,类似于Smarty中的模板处理,只是具体算法,过程不同,Smarty是一种重型模板引擎方案。其原理都是把模板中的变量转换成相应的PHP代码,这个过程实际是模访JAVA中的一次编译,多处运行。
十) DZ中权限处理机制
a) 对于DZ中前台的每相action都有$discuz_action定义,DZ根据用户所在的用户组来判定用户是否具有相应操作$discuz_action的权限。至于后台的权限权验证,则更简单了,依据“admin==1”来确定的
十一) DZ中如何实现URL静态化
a) DZ中的静态有两法,只要懂ReWrite规划的朋友,一看就知。
十二) DZ独创的HTML编辑器,如何截取并使用,如果进行Discuz!代和Html代码的转换
a) 这也算是DZ比较牛的一项技术了,在早期版中,因DZ编辑器的不足,使得很多用户放弃了DZ。实现原理:通过JS把用的一些操作转换成了DZ的bbcode代码。这样子提交了安全性,将带有bbcode代码的内容存入数据,在用户打开页页时,又把bbcode代码转换成html代码
本贴声明:由于时间有限,本贴只有关于DZ部分功能的简短分析。若各位网友,对本文感兴趣并想更为深入了解DZ,请在本贴后回贴!我将尽可能多的DZ技术分析写在本文,不断更新本贴内容。
部分文件说明:
admincp.php 管理
ajax.php ajax功能
announcement.php 公告
attachment 附件
board.php 真正的首页
config.inc.php 这个是配置文件
corpus.php 论坛文集
digest.php 精华帖子
discuz_version.php 论坛版本号
faq.php 问题列表
forumdisplay.php 论坛列表
index.php 跳转页面
loggin.php 认证页面(登录退出)
mail_config.inc.php 邮件配置
member.php 用户操作
memcp.php 个人控制面版
misc.php 零碎功能
my.php 我的帖子
plugin.php 插件
pm.php 短信
post.php 发送帖子
redirect.php 页面重定向
register.php 注册
robots.txt 限制搜索
rss.php rss信息发布
search.php 论坛查询
secode.php 验证码
stats.php 统计
topic.php 首页论坛专题
topicadmin 主题管理
viewpro.php 显示个人信息
viewthread.php 主题显示
文件夹
admin 管理
api 接口
archiver 文档
attachments 附件
customavatars 自定义表情
forumdata 论坛数据包含缓冲数据
images 图片
include 公共文件
install 安装包
ipdata ip地址
plugins 插件
readme 帮助文档
templates 模板
utilities 工具包
wap 手机网站
文件夹include
advertisements.inc.php 广告管理
ajax.js ajax相关
attachment.func.php 附件函数集
bbscode.js 论坛表情
cache.fun.php 缓存函数集
category.inc.php 栏目
chinese.class.php
common.inc.php 最主要的头文件
common.js 最主要的js文件
corpus.func.php 论坛文集函数
counter.inc.php 论坛计数
cron.func.php 计划任务
db_mysql.class.php 数据库
db_mysql_error.inc.php 数据库错误
debug.php 调试信息
discuzcode.func.php 论坛代码
editor.func.php 编辑器
editor.js 编辑器
editpost.inc.php 编辑帖子
floatadv.js 浮动广告
forum.func.php 论坛函数集
global.func.php 全局函数
menu.js 菜单
misc.func.php 其它
newreply.inc.php 新回复
newthread.inc.php 新主题
*pmprompt.inc.php
post.fun.php 发表主题
printable.inc.php 论坛打印
qihoo.js qihoo
relatethreads.inc.php 相关主题
security.inc.php 安全
sendmail.inc.php 邮件
serverbusy.htm 系统繁忙
template.func.php 模板
threadpay.inc.php 购买帖子
为什么文件的命名有inc呢?
文件命名规范
Discuz! 按照如下的规范对程序和模板进行命名,请在设计插件时尽量遵循此命名规范:
1.可以直接通过浏览器访问的普通程序文件,以 .php 后缀命名。
2.被普通程序文件引用的程序文件,以 .inc.php 后缀命名。
3.被普通程序文件,或引用程序文件引用的函数库或类库,以 .func.php(函数库) 或 .class.php(类库) 后缀命名。
4.模板文件,以 .htm 后缀命名,模板文件只存在于 ./templates 目录中。
5.模板语言包文件,以 .lang.php 后缀命名,语言包文件只存放于 ./templates 目录中,与模板文件同级目录。
6.被编译后的模板文件,以 .tpl.php 后缀命名,前面的数字是模板套系的 ID,下划线后面的是模板原名,编译模板文件只存在于 ./forumdata/templates 目录中。
7.动态缓存文件,存放于 ./forumdata/cache 目录中,依据不同的功用进行独立的命名。
8.使用后台数据备份功能生成的备份文件,通常以 .sql 为后缀,存放于 ./forumdata/ 目录中。
9.有些目录中存在内容为空白的 index.htm 文件,此类文件是为了避免 Web 服务器打开 Directory Index 时可能产生的安全问题。
模块类型:
插件模块和自定义菜单:
插件接口默认提供四种可选的模块方式:
1.直接链接(前台菜单):可在前台右上角加入一个菜单项,可自主指派菜单链接的 URL。注意:由于引用外部程序,因此即便设置了模块的使用等级,您的程序如需权限判断,仍需要引用 common.inc.php 和插件相关的缓存文件(将在后面的《参数读取与缓存控制》中详细说明),并自行判断使用等级是否合法;
2.前台调用(前台菜单):与直接链接类似,但其调用的是插件的一个模块,模块文件名指派为“./plugins/插件目录/插件模块名.inc.php”,由 plugin.php 调用此模块,调用 URL 将在后面的《编写插件的原则与注意事项》中详细说明;
3.后台调用(后台菜单):可在后台插件设置中为此插件增添一个管理模块,模块文件名指派为“./plugins/插件目录/插件模块名.inc.php”,由 admincp.php 调用此模块,调用 URL 将在后面的《编写插件的原则与注意事项》中详细说明;
4.包含运行(无菜单):可设置一个在论坛所有页面均包含运行的脚本,此脚本在 ./include/common.inc.php 中加载,脚本文件名指派为“./plugins/插件目录/插件模块名.inc.php”。请注意,为了不导致错误的插件影响论坛运行,在 common.inc.php 加载此模块时,屏蔽了错误信息,因此请务必仔细检查是否存在语法错误,任何微小的语法错误都将不被提示出来,并且导致此模块不被正常加载。如果您配置了不正确的包含脚本而导致论坛系统设置无法使用,删除服务器上相应的脚本文件即可解决。
您可以为每个模块设置不同的使用等级,例如设置为“超级版主”,则超级版主及更高的管理者(例如论坛管理员)可以使用此模块。
看到了应该很简单前台文件、后台文件、调用外部文件、初始化文件!就这四种!那么一般的插件文件当然是前台调用
这里要说明一个调用问题,文中多次说到./include/common.inc.php是否加载,也就是说加载了这个文件,你就可以轻松的得到会员名、会员uid、会员的积分信息、论坛的分类、各级会员组用户组信息,简单说就是汽车加了汽油你可以开了,前后台调用都加载了这个文件;包含运行是把程序写入这个文件;前台链接没有加是需要你另外添加的!
第四章 Discuz!中常用文件说明
第一节 常用文件说明
DZ程序文件目录含义整理表
https://discuz.dismall.com/thread-329948-1-1.html
请看以上,感谢作者sw08
以下内容版权归原作者sw08哦
最近看见很多人热衷于功能增强型HACK的修改。这种功能增强型HACK和平时所说的插件不一样,插件是单独的文件,一般在后台导入即可使用。但是功能增强型HACK更多是修改程序源代码来实现自己需要的功能,本人做得最多就是这类。可以说功能增强型HACK是插件的前身,想做插件就一定要做熟功能增强型HACK。
功能增强型HACK挺简单,因为代码修改量不多,而且一般以改代码为主;说难,因为一般不好找文件,而且一旦对程序结构不熟悉,马上陷入迷坑。
这里先简单说下Discuz!的所有文件,目前所代表的含义,方便大家修改时候避免找不到改哪个文件。这是个基本功,一定要熟练~熟悉了文件的话,随便做个功能增强型HACK根本就是不费吹灰之力的事情。
先说根文件:
admincp.php——后台系统设置程序文件,一般只处理菜单的显示的访问权限,不处理管理控制。
attachment——附件文件,仅仅处理附件下载的功能。
announcement.php——论坛公告的显示,一般很少改
blog.php——浏览BLOG文章时候会用的,非常容易理解
config.inc.php——配置论坛数据库、密码等信息,这个大家最熟悉了
digest.php——论坛精华区的信息显示,不用多说了吧?
discuz_version.php——论坛版本信息,用来更新用的,没有官方说明绝对不要修改
faq.php——论坛帮助系统,不过我看绝对没人用
forumdisplay.php——很简单,论坛主题列表的显示
index.php——控制首页元素显示
logging.php——登陆系统,判断用户名、密码。
mail_config.inc.php——配置论坛EMAIL功能
member.php——控制会员列表显示,积分策略等等信息显示
memcp.php——会员控制面板
misc.php——控制评分功能、BLOG、论坛界面显示功能等等
plugin.php——论坛插件,这个主要控制论坛插件的菜单的显示,一般极少修改
pm.php——论坛短信息程序,控制短信息发表与浏览
post.php——与viewthread.php相似,但是更多是管理帖子发表、编辑等等信息,也会有权限的控制提示
redirect.php——控制显示论坛的最后发表的主题访问
register.php——注册文件,同时也会控制注册的信息的合法性
rss.php——RSS快速订阅,不用多说了吧?
search.php——处理论坛搜索功能中的信息筛选
seccode.php——论坛注册,生成验证码的程序
stats.php——处理统计中的统计信息
topic.php——一般无法直接访问,控制页面显示,显示主题条数
topicadmin.php——控制的是管理人员的前台管理操作,如精华、置顶、高亮等等
viewpro.php——处理浏览会员信息的内容显示
viewthread.php——处理浏览帖子时候的帖子信息显示,例如信息、标题等等,同时也处理访问帖子的权限,如阅读权限是否足够等等。
接着开始说文件夹里面的文件了,一个个开始:
有人会问,那个空index.htm是干什么用的,我可以回复,那是防止列目录查看文件用的,避免安全问题。
admin=== (管理后台的程序文件,全部在这里,仅能通过admincp.php来访问)
标记红色的文件最好别动,毕竟主程序被加密,而且也是违背官方授权协议的。
home.inc.php——后台首页内容
settings.inc.php——Discuz!选项下的所有小分类
passport.inc.php——一堆通行证的东西
avatarshow.inc.php——天下秀
qihoo.inc.php——奇虎搜索
forums.inc.php——论坛编辑下面所有子分类
members.inc.php——添加用户、编辑用户、合并用户、用户栏目定制
groups.inc.php——分组与级别下所有子分类
announcements.inc.php——只有论坛公告发布的管理
styles.inc.php——风格管理
templates.inc.php——模板在线编辑
moderate.inc.php——一堆审核,审核新用户、审核新主题、审核新回复
recyclebin.inc.php——单独的回收站程序
ecommerce.inc.php——支付宝,不过最好别动
misc.inc.php——勋章编辑、在线列表定制、联盟论坛、计划任务、Discuz! 代码、词语过滤、Smilies 编辑、附件类型尺寸、积分交易记录,管理得真多,甚至连后台的退出功能也归这个文件管。
advertisements.inc.php——广告管理
database.inc.php——资料备份、资料恢复、数据库升级、数据表优化
attachments.inc.php——编辑附件,只有一个
counter.inc.php——更新论坛统计
threads.inc.php——批量主题管理
prune.inc.php——批量删帖、清理短消息
plugins.inc.php——插件设置、插件管理
logs.inc.php——运行记录,除了积分交易记录以外的所有记录
tools.inc.php——管理更新缓存、JS 调用向导、文件权限检查
menu.inc.php——后台左边那个好长的导航菜单就是了
Api目录的文件是全部被加密过的,无法修改也不能修改,详情见官方授权协议。
archiver==(特别说明下,因为archiver中的目录的文件没有调用commom.inc.php,所以所有变量、函数都不能直接使用,必须要搜索数据库来进行判断)
index.php archiver首页
include==
thread.inc.php archiver主题显示
index.inc.php 这个是过滤论坛权限和界面显示用的
header.inc.php archiver风格控制
forum.inc.php archiver论坛显示
attachments是论坛附件的存放目录
customavatars是论坛头像的存放目录
forumdata是论坛记录和缓存文件的存放目录,一般这些文件都是自动生成的,所以不要修改。至于有什么用途也说下吧。
cache==(很好用的功能,调用的这里的文件变量是非常快的)
admingroup_X.php 管理组权限
cache_bbcodes.php BBCODE和SMILES
cache_blog.php 所有用户组的权限变量和smilies、bbcode,还有发帖数等级的信息
cache_censor.php 屏蔽信息
cache_crons.php 计划任务
cache_forumdisplay.php 论坛信息与公告
cache_forums.php 同上
cache_index.php 在线列表、联盟论坛、公告
cache_ipbanned.php 封IP段记录
cache_medals.php 勋章信息
cache_post.php smilies、bbcode、icons
cache_profilefields.php 暂时不清楚
cache_settings.php setting表设置的参数变量
cache_viewthread.php 论坛,用户组,smilies、bbcode、icons
plugin_XX.php 插件表
style_XX.php 风格缓存
usergroup_XX.php 用户组缓存
templates==(升成的模板PHP,比较少做插件会用到,忽略)
根部的一些LOG文件就是后台记录文件了。
images是图片目录,忽略过~
include是论坛核心程序目录,非常有必要去了解。
crons==(这里是计划任务文件,你可以增加自己的计划任务,而且可以调用系统变量)
tables==(几个语言文件,很少改,跳过)
serverbusy.htm 系统错误信息
bbcode.js Discuz!代码JS效果文件
common.js 主要是DZ常用的模板函数文件,可以直接用
floatadv.js 广告用的
qihoo.js 奇虎的文件,不改
threadpay.inc.php 出售帖
template.func.php 控制模板缓存生成的文件
sendmail.inc.php 发送EMAIL的程序
security.inc.php 好像是代理一类的,不管
relatethreads.inc.php 应该说是生成相关主题的程序
promotion.inc.php 记录当前用户的IP等信息
printable.inc.php 打印主题用的程序
post.func.php 不错的函数文件,主要是记录信息、更新帖子的函数
pmprompt.inc.php 短信息内容处理
newthread.inc.php 发新话题的信息处理
newreply.inc.php 发回复的信息处理
misc.func.php 又是函数文件,控制管理PM,评分PM,评分记录,附件高亮显示,IP转换为地理位置
global.func.php 丰富的函数库,都是前台用的,如除去HTML、发PM、发EMAIL等等,建议大家研究下。
forum.func.php 处理论坛信息用的函数,如论坛菜单下拉等等
editpost.inc.php 编辑帖子的信息处理
discuzcode.func.php Discuz!代码转换处理程序
db_mysql_error.inc.php 数据库错误汇报
db_mysql.class.php 数据库中心操作程序
cron.func.php 控制计划任务执行的程序
counter.inc.php 记录操作系统与浏览器的统计
common.inc.php 最重要的核心程序,读取COOKIES信息,定义全局系统函数变量
chinese.class.php 处理乱码和字符集用的
category.inc.php 控制帖数,今日发帖数的统计
cache.func.php 控制生成缓存文件的程序
blog.func.php 在BLOG发帖时信息处理会用到
attachment.func.php 识别附件拓展名,控制附件前面显示类别图片的程序, 还有附件大小的记录判断
advertisements.inc.php 处理广告显示用的
ipdata==(IP库文件目录,下面那个wry.dat就是IP库,这个我不会改)
plugins==(插件存放目录)
templates==(模板目录,一般做HACK也要改模板,因此说明下)
default==(默认模板,从这个开始,其它风格以此类推)
announcement.htm 公告
blog.htm BLOG首页
blog_addremove.htm 移除添加BLOG
blog_list.htm BLOG列表
blog_topic.htm BLOG中主题显示
credits.htm 积分策略
css.htm 做风格用的,不过我不懂
customtopics.htm 首页那个用户专题
digest.htm 精华区主题
emailfriend.htm EMAIL推荐主题
faq.htm FAQ帮助手册,下面都是,只不过显示部分不一样,省略。
footer.htm 论坛底部信息
forumdisplay.htm 论坛主题列表
forumdisplay_subforum.htm 二级论坛列表
getpasswd.htm 取回密码
groupexpiry.htm 公众用户组
header.htm 头部连接
index.htm 首页
login.htm 登录页面
login_secques.htm 登录时安全提问
lostpasswd.htm 取回密码
memberlist.htm 会员列表,上面那个
memcp_credits.htm 控制面板——积分交易
memcp_home.htm 控制面板——首页
memcp_misc.htm 控制面板——好友列表、订阅列表、收藏夹
memcp_navbar.htm 控制面板——上面那个菜单条
memcp_profile.htm 控制面板——编辑个人资料
memcp_usergroups.htm 控制面板——公众用户组
nopermission.htm 关闭论坛显示的提示页
pay.htm 买帖子
pay_view.htm 看帖子被谁买了
pm.htm 短信息左边菜单条
pm_archive.htm 导出短消息
pm_archive_html.htm 导出短消息HTML
pm_folder.htm 好像就是列表而已
pm_ignore.htm 忽略列表
pm_search.htm 搜索短消息
pm_search_result.htm 搜索短消息结果
pm_send.htm 发送短消息
pm_view.htm 浏览短信息,内容更详细
pmprompt.htm 首页新短信提示
post_attachments.htm 发帖子的附件模块
post_bbinsert.htm 一堆BBCODE
post_editpost.htm 编辑帖子
post_newreply.htm 回复主题
post_newthread.htm 发新话题
post_preview.htm 主题回顾
post_seccode.htm 验证码
post_smilies.htm SMILES
post_sminsert.htm 快速发帖栏
rate.htm 评分
rate_view.htm 评分记录浏览
register.htm 注册
reportpost.htm 主题报告
search.htm 搜索主页
search_blog.htm 搜索BLOG列表
search_threads.htm 搜索后的帖子列表
showmessage.htm 系统返回错误信息那个
stats_main.htm 统计首页
stats_misc.htm 管理统计、时间、积分等等一堆
stats_navbar.htm 统计上面那个菜单条
stats_onlinetime.htm 时间统计
stats_team.htm 管理团队
topic.htm 又是QIHOO的随机广告
topicadmin_bump.htm 提升主题
topicadmin_delpost.htm 删除主题
topicadmin_getip.htm 查看IP
topicadmin_merge.htm 合并主题
topicadmin_moderate.htm 高亮、置顶、精华一堆~
topicadmin_move.htm 移动主题
topicadmin_reason.htm 管理理由填写
topicadmin_refund.htm 强制退款
topicadmin_split.htm 分割主题
topicadmin_stick.htm 置顶
viewpro.htm 会员详细信息查看
viewthread.htm 浏览帖子
viewthread_mod.htm 帖子管理记录
viewthread_pay.htm 帖子支付页面
viewthread_poll.htm 投票框
viewthread_printable.htm 打印主题
whosonline.htm 详细的在线动作
actions.lang.php 动作语言包
admincp.lang.php 后台语言包
archiver.lang.php archiver语言包
customfaq.lang.php FAQ手册的语言包
emails.lang.php 一堆EMAIL信息
messages.lang.php 错误信息语言包
misc.lang.php 像最后编辑,由谁管理等等
modactions.lang.php 管理代号
pms.lang.php PM,都是管理理由
templates.lang.php 前台模板的语言包
wap.lang.php wap用的语言包
wap==(WAP支持程序,一般很少改,忽略)
相信看了上面的表来熟悉文件作用,找相应的文件进行修改,做一个功能增强型HACK不是难事。:)
绪论 本文档的说明
伴随着Discuz!的成长,在Discuz!快速发展的同时,Discuz!的插件也日益丰富,在这些插件中存在的不规范问题也是确实存在的,为了插件的规范化标准化进程的进行,也为了方便各位优秀的插件开发人员,更为了Discuz!程序插件的传承,我们特从现在开始进行插件开发标准化手册的编写,促进Discuz!论坛程序的插件开发!
目前手册正在紧张的制作中,欢迎大家对其中不对的地方进行指正,个人感觉这个手册更新的速度那会是相当的快啊
第一章 插件代码书写规范
第一节 注释标准
在Discuz!插件中我们建议开发人员尽量添加简洁明了的注释语言,以方便后继的插件修改者
以下的几种注释都是支持的,我们建议使用第一种<?php
echo "这是第一种例子。\n"; // 本例是 C++ 语法的注释
/* 本例采用多行的
注释方式 */
echo "这是第两种例子。\n";
echo "这是第三种例子。\n"; # 本例使用 UNIX Shell 语法注释
?>
复制代码
第二节 缩进标准
在Discuz!插件中我们建议开发人员尽量使用缩进来完成整个程序,虽然对于程序没有影响,但是缩进会使代码易于阅读,并且强烈建议使用Tab键来控制缩进的程度,并强制定义其距离是8个空白字符宽度<?php
if($loadctrl && (!defined('CURSCRIPT') || CURSCRIPT != 'wap') && substr(PHP_OS, 0, 3) != 'WIN') {
if($fp = @fopen('/proc/loadavg', 'r')) {
list($loadaverage) = explode(' ', fread($fp, 6));//请注意缩进
fclose($fp);
if($loadaverage > $loadctrl) {
header("HTTP/1.0 503 Service Unavailable");//请注意缩进
include DISCUZ_ROOT.'./include/serverbusy.htm';
exit();
}//请注意缩进
}//请注意缩进
}
?>
复制代码
第三节 命名标准
良好的命名方式会给程序的开放带来很大的便利,同时不良的命名习惯也会给程序开发带来麻烦,所以在Discuz!插件中我们建议开发人员尽量使用规范的命名方式来完成整个程序,仍然以上例为演示,请注意其中变量名称,由于篇幅和时间的关系这里就不再展开叙述,这里给出一个PHP程序开发比较通用的命名习惯(这是一个编程标准文档)PHP 编程标准.总的来说,只有了解系统的程序员才能为系统取出最合适的名字,如果所有的命名都与其自然相适合,则关系清晰,含义可以推导得出,一般人的推想也能在意料之中,如果你发觉你的命名只有少量能和其对应事物相匹配的话, 最好还是重新设计吧<?php
if($loadctrl && (!defined('CURSCRIPT') || CURSCRIPT != 'wap') && substr(PHP_OS, 0, 3) != 'WIN') {
if($fp = @fopen('/proc/loadavg', 'r')) {
list($loadaverage) = explode(' ', fread($fp, 6));
fclose($fp);
if($loadaverage > $loadctrl) {
header("HTTP/1.0 503 Service Unavailable");
include DISCUZ_ROOT.'./include/serverbusy.htm';
exit();
}
}
}
?>
复制代码
第四节 数据库设计标准
对于数据库的设计我们同样由于篇幅和时间的关系我们不再多说,请仔细查看Discuz!中的论坛版块表的设计和命名标准,同样的我们提供给您一份手册给您查看MySQL参考手册
cdb_forums 论坛表
fid smallint 论坛ID
fup smallint 上级论坛ID
type enum 类型
name char 名称
status tinyint 显示状态
displayorder tinyint 显示顺序
styleid smallint 风格ID
threads mediumint 主题数量
posts mediumint 帖子数量
todayposts mediumint 今日发帖数量
lastpost char 最后发表
allowsmilies tinyint 允许使用表情
allowhtml tinyint 允许使用html
allowbbcode tinyint 允许bbcode
allowimgcode tinyint 允许img
allowanonymous tinyint 允许匿名
allowshare tinyint 允许共享到文集和supe
allowpostspecial tinyint 允许发表特殊主题
alloweditrules tinyint 允许版主修改论坛规则
recyclebin tinyint 是否启用回收站
modnewposts tinyint 是否审核发帖
jammer tinyint 是否启用干扰码
disablewatermark tinyint 是否图片附件增加水印
inheritedmod tinyint 本论坛或分类版主的权力继承到下级论坛
autoclose smallint 自动关闭主题
forumcolumns tinyint 增加论坛水平横排设置
threadcaches tinyint 主题缓存功能设置
allowpaytoauthor tinyint 允许直接向作者支付
第二章 插件代码安全规范
第一节 PHP安全信息
总的来说PHP还是相对安全的Web程序,但是由于一些代码在处理方式上的不成熟导致了安全隐患.由于这个议题范围太广,所以推荐PHPCHINA的Essential PHP Security -PHP安全基础一书给大家,希望大家多看看,很不错的一本书哦,更详细的PHP安全信息请登录php.net查找.
第二节 我们该怎么做
对于插件安全究竟我们要做些什么怎么做?建议本内容在看过上节推荐的书之后再看会更好
变量的初始化
这里不讨论magic_quotes_gpc和register_globals的设置情况,大家只要注意不要“无中生有”变量,每个变量的得到都是自己初始化过的
逻辑关系清楚
对于逻辑的判定不是一句话能够说明白的,举个简单的例子,在判断上传文件的时候,我们判断的依据是他的后缀是否在我们允许的后缀里面,如果是允许的就执行上传,反之就提示上传文件后缀不对,但是如果用户上传的文件名是webshell.xxx.mht(允许mht文件上传,mht是一种网页存储格式),于是文件上传了,在apache系统的默认配置下,这个文件是会用PHP来解析的,利用这个算是BUG的问题吧,小版本人就曾伙同PHP安全界知名人士(帮他匿了)对我们学校的服务器完成了入侵,并最终取得了root权限(目前俺们学校的服务器已经修正此问题),举这个例子是为了说明程序处理的重要性,如果当时多一步判断上传的文件,也许这个安全问题就不再存在,其实这个例子来说明逻辑关系并不是很合适,但是程序处理真的是一个非常重要的部分
''与""的区别运用
单引号中,任何变量($var)、特殊转义字符(如“\t \r \n”等)不会被解析,因此PHP的解析速度更快,转义字符仅仅支持“\’”和“\\”这样对单引号和反斜杠本身的转义;
双引号中,变量($var)值会代入字符串中,特殊转义字符也会被解析成特定的单个字符,还有一些专门针对上述两项特性的特殊功能性转义,例如“\$”和“{$array[‘key’]}.这样虽然程序编写更加方便,但同时PHP的解析也很慢;
数组中,如果下标不是整型,而是字符串类型,请务必用单引号将下标括起,正确的写法为$array[‘key’],而不是$array[key],因为不正确的写法会使PHP解析器认为key是一个常量,进而先判断常量是否存在,不存在时才以“key”作为下标带入表达式中,同时出发错误事件,产生一条Notice级错误.
因此,在绝大多数可以使用单引号的场合,禁止使用双引号.依据上述分析,可以或必须使用单引号的情况包括但不限于下述:
字符串为固定值,不包含“\t”等特殊转义字符;
数组的固定下标,例如$array[‘key’];
表达式中不需要带入变量,例如$string = ‘test’;而非$string = “test$var”;
数据的过滤与处理
对于任何得到的数据在不能确定或者不能充分确定其来路的时候一定要进行过滤与处理,在数据进入程序运行处理阶段之前,一定要保证它的准确性和正确性
不要相信任何数据的准确性和正确性
这条视乎是和上面一条雷同,但是即使是从数据库中查出来的数据也一样不能确定,比如生成cache文件,如果用户POST的数据错误不是我们期望的数据,而“恰巧”生成到文件中,于是一个webshell产生了,同样这个例子也不是很合适,我只是希望大家明白这么一点,如果我们没有一个很好的处理数据的方式,那么代码的安全崩溃也就指日可待
不要妄图直接把低版本的Discuz!插件直接运行
由于每个大版本的升级都会带来系统构架的一些变化,可能旧版本的插件仍然可以使用,但是或许一些不可预料的问题正在隐藏中,所以建议任何低版本的Discuz!插件最好是经过仔细研究之后再公告说可以适用新版本Discuz!插件
第三章 Discuz!中常用变量说明
|