在线面试题
00 分钟
2022-10-20

1. PHP的哪些语言特征,在合适的场景可以显著减少程序的内存开销?

  • Generator
  • Trait
  • Type hint
  • SPL
解析
Generator 生成器具体详解可以参考:https://blog.51cto.com/chinalx1/2089327 如果不考虑用Generator来实现协程,那么Generator的一个最大的作用就是为含有大量数据的集合(当前这些数据集是规则的,就像range所返回的那些数据)的遍历节省空间Trait 详细了解参考https://blog.csdn.net/lemony521/article/details/78322652 是一种代码复用技术,为PHP的单继承限制提供了一套灵活的代码复用机制。Type hint 类型提示 从PHP5开始,我们可以使用类型提示来指定定义函数时,函数接收的参数类型。如果在定义函数时,指定了参数的类型,那么当我们调用函数时,如果实参的类型与指定的类型不符,那么PHP会产生一个致命级别的错误(Catchable fatal error)。SPL PHP标准库 SPL,PHP 标准库(Standard PHP Library) ,从 PHP 5.0 起内置的组件和接口,并且从 PHP5.3 已逐渐的成熟。SPL 其实在所有的 PHP5 开发环境中被内置,同时无需任何设置。

2. 对于PHP的自动加载描述正确的是

  • 自动加载函数只支持按Class / Interface / Trait 名加载,不能按 function名加载
  • Composer的自动加载是通过 \_\_autoload 函数实现的
  • 在文件顶部 use 的时候会载入对应的类
  • 现在大多数类库都遵循PSR0 规范
解析:
自动加载的主要实现方式 \_\_autoload 与 SPL 标准库提供的spl\_autoload\register 函数两种,目前主流多是后一种。 两种方式的详解介绍可以参考:https://www.jb51.net/article/166979.htmhttps://www.jb51.net/article/31279.htmspl\_autoload\_register 函数用法就是装载自定义的加载函数,所以自动加载函数能按function名加载。 **Composer的自动加载是通过 \\_autoload 函数实现的**在文件顶部 use 的时候会载入对应的类 这里并不是,只用在具体调用类时才会加载类,lazy loading的意思。 可以参考:https://blog.csdn.net/weixin\\_39610956/article/details/115148899现在大多数类库都遵循PSR0 规范 PSR0实际是对实现自动加载的一种规范标准,PSR4是对PSR0的一些补充,简单说目前大多项目都会使用autoload自动加载机制,那么遵循PSR0规范也是必然的

3. 对于 Trait 描述正确的是

  • 子类中引入的 Trait 里的方法会覆盖父类的方法
  • 在Trait中不可以调用引用类里的方法
  • 一个类无法同时引入两个包含相同方法的 Trait
  • 可以用来减少重复代码
解析:
关于Trait 的介绍在第一题中有链接可以阅读学习下。子类中引入的 Trait 里的方法会覆盖父类的方法 这是正确的,Trait的优先级:自身方法>trait的方法>继承的方法在Trait中不可以调用引用类里的方法这是错误的! 代码如下:
一个类无法同时引入两个包含相同方法的 Trait这是错误的! Trait 可以引入多个, 多个trait中存在同名方法时, 需要指定使用哪个方法,可用 insteadof 指定使用哪个方法替代同名方法或者是 as 取别名 Trait 的使用小细节可以参考:https://blog.csdn.net/xiantianga6883/article/details/118576345可以用来减少重复代码 这是Trait的主要目的,提供了灵活的代码复用机制。

4. 下列对 Composer 描述正确的是

  • 一般情况下应该把 PHPUnit 包放在 require 段
  • composer.json 不仅可以指定依赖的 PHP 库,还能指定依赖的 PHP 扩展
  • Library 类型的项目,需要把 composer.lock 文件提交到版本库中
  • 拿到一个 Project 类型的项目时,需要通过 composer update 来安装对应的依赖包
解析:
一般情况下应该把 PHPUnit 包放在 require 段这是错误的!
需要运行在应用中或者库中的包都应该被定义在 require (例如: Symfony, Doctrine, Twig, Guzzle, …)中。如果你正在创建一个库, 注意将什么内容定义为 require。因为这个部分的 每个依赖项同时也是使用了该库的应用的依赖。 开发应用程序(或库)所需的包应该定义在require-dev (例如:PHPUnit, PHP\_CodeSniffer, PHPStan)中
composer.json 不仅可以指定依赖的 PHP 库,还能指定依赖的 PHP 扩展 这是可以的。
“require”: { “php”:“>=7.0.0”, “ext-mbstring”: “\”, “ext-pdo\_mysql”: “\”, },
Library 类型的项目,需要把 composer.lock 文件提交到版本库中这是错误的!
开发应用程序要提交 composer.lock 文件到 git 版本库中 开发库要把 composer.lock 文件添加到 .gitignore 文件中
拿到一个 Project 类型的项目时,需要通过 composer update 来安装对应的依赖包这是错误的! 根据这个选项,如果是刚拿到项目时为了安装项目所需的依赖包不推荐使用update,使用install 即可。 update的时候,composer会根据composer.json去拉取符合条件的最新版本的依赖。然后他会把所拉取到的依赖放入vendor目录下,并且把所有拉取的依赖的精确版本号写入composer.lock文件中,等于项目的依赖包都更新了,而如果没有做兼容性测试会使整个项目变得不稳定。 如果本地有一份composer.lock时,composer install会去读取你的composer.lock而非composer.json,并且以此为标准去下载依赖。否则,同composer update 关于composer require/ update/ install 的使用区别及场景可以参考:https://blog.csdn.net/wulove52/article/details/78392663

5. 下列对 JWT 的描述正确的是

  • 有两个部分组成,分别是荷载(payload)和校验段
  • Token不变的情况下,过期后不可以续期
  • 可以不设置过期时间
  • 经常被用于传输加密的数据
解析:
有两个部分组成,分别是荷载(payload)和校验段这是错误的!
JWT 的数据结构 HEADER.PAYLOAD.SIGNATURE 中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的。 Header(头部) Payload(负载) Signature(签名)
Token不变的情况下,过期后不可以续期 可以不设置过期时间 经常被用于传输加密的数据 这三个选项,作者没有找到具体资料说明正确与否,不过通过网上一些示例资料理解。说下作者的看法读者自行理解下。 参考https://www.jianshu.com/p/0ac579e1384c 可以不设置过期时间生成token。 Token不变的情况下,既然会过期那么一定是有过期时间字段参与生成的,这时续期第二次生成的第三部分Signature会不同,也就达不到Token不变完成续期,如果参与生成的字段只有sub对象的话,那么是可以的(测试示例使用的HMAC算法)
以下是 JSON Web 令牌有用的一些场景: 授权:这是使用 JWT 最常见的场景。用户登录后,每个后续请求都将包含 JWT,从而允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销很小并且能够在不同的域中轻松使用。 信息交换:JSON Web 令牌是在各方之间安全传输信息的好方法。因为可以对 JWT 进行签名(例如,使用公钥/私钥对),所以您可以确定发件人就是他们所说的那个人。此外,由于使用标头和有效负载计算签名,您还可以验证内容没有被篡改。
可以用于信息交换传输数据,但是JWT建议放置在请求的头信息的Authorization 字段中,但是受限请求头的大小这点需要注意
请注意,如果您通过 HTTP 标头发送 JWT 令牌,则应尽量防止它们变得太大。某些服务器不接受超过 8 KB 的标头。如果您试图在 JWT 令牌中嵌入太多信息,例如通过包含所有用户的权限,您可能需要替代解决方案,例如Auth0 Fine-Grained Authorization。

6. 如果一个包遵循 Semantic Version,下列哪些版本升级大概率不会出问题:

  • 1.0.0 -> 1.0.1
  • 1.0.0 -> 1.1.0
  • 1.0.0 -> 1.1.1
  • 1.0.0 -> 2.0.0
解析:
语义化版本管理(Semantic Versioning) 详细介绍参考:https://blog.csdn.net/ternence\\_hsu/article/details/1054046601.0.0 -> 1.0.1 1.0.0 -> 1.1.0 1.0.0 -> 1.1.1 修订版本号向下兼容的问题内容修正、次要版本号向下兼容的功能性新增。这两类的升级大概率不会出问题1.0.0 -> 2.0.0 主版本号升级,不兼容的 API 修改。这里相较上面三个版本升级,出问题的概率会大些

7. 按照 RESTful 的规范,修改文章的展示隐藏应该使用哪一种路由

  • Post / article/{id}/hidden
  • Put /article/{id}
  • Patch /article/{id}
  • Put / article/{id}/hidden
解析:
Restful 风格详细了解参考:https://blog.csdn.net/zhoupenghui168/article/details/122884260Put / article/{id}/hidden 严格意义来说应该只有这一个选项符合题意,但是 Patch 请求方式代表更新文章的部分属性,也可以设计为修改文章的展示隐藏,但由于游览器兼容问题一般都推荐使用Put。

8. 通常使用过滤特殊字符的方式来避免SQL注入

  • 正确
  • 错误
解析:
正确,防止SQL注入的有效方法之一就是过滤特殊字符。 参考链接:https://blog.csdn.net/qq\\_44159028/article/details/114325805

9.只要项目中使用 PDO 的 prepare 就能完全避免 SQL 注入

  • 正确
  • 错误
解析:
正确,在使用参数化查询的情况下,数据库服务器不会将参数的内容视为 SQL 语句的一部分来进行处理,而是在数据库完成 SQL 语句的编译之后,才套用参数运行。因此就算参数中含有破坏性的指令,也不会被数据库所运行。 关于sql注入相关知识详细了解参考:https://blog.csdn.net/qq\\_44159028/article/details/114325805

10.CSRF 攻击是因为没有对用户输入进行转义导致的

  • 正确
  • 错误
解析:
错误,这里因为对用户输入没有进行转义可能导致的是XSS攻击,关于CSRF是什么参考:https://blog.csdn.net/weixin\\_40482816/article/details/114301717

11. 使用 Authentication Header 认证的API,用 LocalStorage 存储 Token 的项目不可能出现 CSRF 漏洞

  • 正确
  • 错误
解析:
作者认为是正确的,参考链接:https://tech.meituan.com/2018/10/11/fe-security-csrf.html 但又不绝对,如果自己本身的站点存在xss漏洞,泄漏了token 那么一样会造成CSRF冒用攻击

12. 为了避免 XSS 攻击,需要在写入数据库前对其转义,从数据库读取后反转义

  • 正确
  • 错误
解析:
作者认为是正确的,不过这是一种粗略的说法,因为XSS攻击分多钟类型转义的工作也可能是前端也可能是前后端共同转义。 关于XSS详细了解参考:https://tech.meituan.com/2018/09/27/fe-security.html

13. 允许来自跨域的请求,可以在哪层面设置

  • 浏览器JS
  • Nginx
  • PHP
  • Redis
解析:
浏览器JS 使用JSONP、CORS策略、iframe等操作都可以实现跨域请求(CORS需要后端配合配置)Nginx 直接配置允许跨越域名或者反向代理接口都可以实现跨域请求

14. OAuth 的 AccessToken 过期后只能让用户重新发起授权申请来获得新的 AccessToken

  • 正确
  • 错误
解析:
错误,可以使用逻辑判断直接重制Token的过期时间,实现续签。但是不够安全,如果Token被窃取可能导致这个Token一直可用,使用刷新令牌Refresh Token:认证通过后,颁发访问令牌和刷新令牌,刷新令牌客户端自己保存,当访问令牌过期时,使用刷新令牌再申请一个新的访问令牌,这样就避免了一些安全问题。

15. 下列对 Laravel 的描述正确的是

  • 在业务代码中应该通过 env() 函数读取 .env 文件中的值
  • 路由模型绑定 (Route Model Binding)是中间件实现的
  • Laravel 的 Session 使用的是 PHP 原生的 Session
  • 按关联关系筛选数据可以用 with 或者 whereHas
解析:
在业务代码中应该通过 env() 函数读取 .env 文件中的值
可以这么做,但是不提倡。 env() 函数可以获取.env 环境变量配置。但是官方文档中提倡仅在配置文件中使用env()函数,在业务代码中可以通过 App facade 的 environment 函数获取。 具体原因可以参考:https://learnku.com/docs/laravel/9.x/configuration/12201#environment-configuration
路由模型绑定 (Route Model Binding)是中间件实现的
这里作者并没有找到确切的结论,但是根据各种文档学习路由模型绑定、中间件时,觉得这是两个东西,路由模型绑定通俗的来说就是把路由跟你的model进行显式或者隐式的绑定,当请求匹配这个路由时会自动解析参数利用model去查询获取数据返回而已。 关于laravel的路由模型绑定可以参考:http://laravel.p2hp.com/cndocs/9.x/routing#route-model-bindinghttps://www.cnblogs.com/sgm4231/p/10283374.html
关于中间件引用文档的介绍:
中间件提供了一种方便的机制来检查和过滤进入应用程序的 HTTP 请求。 例如,Laravel 包含一个中间件,用于验证您的应用程序的用户是否经过身份验证。 如果用户未通过身份验证,中间件会将用户重定向到应用程序的登录屏幕。 但是,如果用户通过了身份验证,中间件将允许请求进一步进入应用程序。
常见的中间用法就是在路由解析匹配前去做一些验证操作,如果满足了验证才会进行路由解析逻辑,否则直接禁止请求。 通过上述的两个东西的介绍,作者认为更像是前后关系而不是上下关系。至于路由模型绑定是否是中间件实现的暂不做结论
Laravel 的 Session 使用的是 PHP 原生的 Session
这是错误的
Laravel 的Session
并没有
使用PHP原生的Session
作者这里使用了laravel9 在本地启动后,访问welcome页面session情况可以看下图,本地环境7.2已经暂将PHP Session 文件的路径指定到同一目录下方便做对比。另外使用了两个浏览器生成不同的会话查看区别。
另外如果在laravel中你没有使用 原生的 session\_start()函数,是不会生成PHP Session 文件的。
notion image
notion image
关于 PHP Session 机制介绍参考:https://blog.csdn.net/weixin\\_34873655/article/details/116228070 关于laravel 的 Session 介绍参考文档:http://laravel.p2hp.com/cndocs/9.x/session 关于laravel 的 Session 中间件实现原理可以参考:http://www.wjhsh.net/cjjjj-p-10606484.html
按关联关系筛选数据可以用 with 或者 whereHas 这是可以的。 文档用法介绍:http://laravel.p2hp.com/cndocs/9.x/eloquent-relationships#scroll-nav\\_\\_1https://www.jb51.net/article/172117.htm

16. 你正在开发中的分支和 develop 分支出现冲突时

  • 冲突的出现是团队协作不好,需要组长协调好团队之间的工作
  • 通常是团队中水平较低的开发人员导致的,需要帮助他们提高Git水平
  • 出现冲突时需要和相关的开发人员确认解决方案
  • 在自己的分支上执行 rebase 命令以减少未来的冲突
  • 目前还没有遇到过
解析: 关于git 团队协作问题,作者认为这几项都没有问题。重点应该是考察rebase命令的含义。关于 rebase 的介绍可以参考:https://blog.csdn.net/weixin\\_42310154/article/details/119004977

17. Git flow 中,release 分支可以从以下哪些分支开出

  • master
  • develop
  • feature
  • bugfix
  • release
解析:
只能从 develop 分支开出。 关于 git flow 流程可以参考:https://blog.csdn.net/fd2025/article/details/124336480一文读懂git flow 分支管理

18. 你在 PHP 工程中使用过以下哪些工具?

  • PHPUnit
  • PHP-CS-Fixer
  • PHPStan
解析:
PHPUnit 是一个面向程序员的 PHP 测试框架。它是用于单元测试框架的 xUnit 架构的一个实例。 Github地址:https://github.com/sebastianbergmann/phpunit 官方文档链接:https://phpunit.readthedocs.io/zh\\_CN/latest/installation.html laravel开箱即用 Unit 文档链接:http://laravel.p2hp.com/cndocs/9.x/testing
PHP-CS-Fixer 是个代码格式化工具,格式化的标准是 PSR-1、PSR-2 以及一些 symfony 的标准。 Github地址:https://github.com/FriendsOfPHP/PHP-CS-Fixer 一些安装使用教程及介绍:https://www.php.cn/php-weizijiaocheng-110741.htmlhttps://learnku.com/laravel/t/547/use-php-cs-fixer-to-automatically-standardize-your-php-codehttps://www.jianshu.com/p/5377905de931
PHPStan PHP 静态代码分析工具 无需编写测试即可发现代码中的错误 官网地址:https://phpstan.org/ 工具介绍文章:https://phpstan.org/blog/find-bugs-in-your-code-without-writing-tests

评论