php三十道高频面试题涵盖魔术方法、==与===区别、sql注入防护、isset/empty差异、命名空间、自动加载、闭包、单例模式、pdo/mysqli对比、session安全、strlen/mb_strlen、strpos陷阱、返回类型声明、依赖注入、composer、psr标准、数据库优化、错误报告、xss防护、trait、ip获取、垃圾回收、大文件上传、opcache、多线程模拟、mvc、csrf防护、static关键字、数组检测及异常处理。
如果您正在准备PHP相关的技术面试,掌握常见核心知识点是成功的关键。以下是最新整理的三十道高频PHP面试题及其详细答案,涵盖语法基础、面向对象、安全机制及性能优化等方面:
一、解释PHP中的魔术方法 __construct 和 __destruct 的作用
魔术方法在特定场景下自动触发,用于增强类的行为。__construct 用于对象初始化,__destruct 用于资源清理。
1、__construct 方法在创建类的新实例时自动调用,通常用于设置初始属性值或建立数据库连接等操作。
立即学习“PHP免费学习笔记(深入)”;
2、__destruct 方法在对象被销毁(如脚本结束或 unset 调用)前执行,常用于关闭文件句柄、断开数据库连接或记录日志。
二、PHP 中 == 和 === 运算符的区别是什么?
这两个运算符用于比较值,但类型处理方式不同,直接影响判断结果。
1、== 是宽松相等运算符,仅比较值是否相等,会进行类型转换。例如 "5" == 5 返回 true。
2、=== 是严格相等运算符,要求值和数据类型都相同。例如 "5" === 5 返回 false,因为一个是字符串,一个是整数。
三、如何防止SQL注入攻击?请给出两种方法
SQL注入是常见安全漏洞,需通过参数化或转义机制防御。
1、使用 PDO 的预处理语句: $ stmt = $ pdo->prepare("SELECT * FROM users WHERE id = ?"); $ stmt->execute([ $ id]);
2、使用 MySQLi 的绑定参数: $ stmt = $ mysqli->prepare("SELECT * FROM users WHERE email = ?"); $ stmt->bind_param("s", $ email); $ stmt->execute();
四、解释 isset() 和 empty() 函数的区别
两者都用于检测变量状态,但判断逻辑不同。
1、isset() 检查变量是否已声明且不为 null。若变量存在且非 null,返回 true。
2、empty() 检查变量是否“空”,包括 null、false、0、"0"、""、空数组等均视为 empty,返回 true。例如 $ _GET['name'] 未传参时,isset 返回 false,empty 返回 true。
五、什么是命名空间(namespace)?举例说明其用途
命名空间用于避免类、函数或常量名称冲突,提升代码组织性。
1、定义命名空间:namespace AppControllers; class UserController { }
2、使用命名空间:use AppControllersUserController; $ controller = new UserController();
该函数用于注册自动加载器,按需加载类文件,避免手动 require。 1、定义加载函数:function loadClass( $ class) { require_once 'classes/' . str_replace('\', '/', $ class) . '.php'; } 2、注册自动加载:spl_autoload_register('loadClass'); 此后使用 new MyClass() 时会自动包含对应文件。 匿名函数是没有名称的函数,可赋值给变量或作为回调使用。 1、基本语法: $ callback = function( $ x) { return $ x * 2; }; 2、典型场景:array_map( $ callback, [1,2,3]) 或在事件处理、路由定义中传递逻辑块。 单例模式确保一个类只有一个实例,并提供全局访问点。 1、将构造函数设为 private,防止外部 new。 2、提供静态方法 getInstance(),内部判断是否已存在实例,若无则创建并返回。 3、禁用克隆:private function __clone() {} 防止 clone 破坏单例。 两者都是数据库扩展,但设计哲学和功能支持不同。 1、PDO 支持多种数据库(MySQL、PostgreSQL、SQLite等),接口统一,便于迁移。 2、MySQLi 仅支持 MySQL,但提供面向过程和面向对象两种风格,且对 MySQL 特有功能(如多查询)支持更全面。 Session 用于在服务器端存储用户状态,通过 session ID 关联客户端。 1、每次用户登录成功后,调用 session_regenerate_id(true) 生成新 ID 并删除旧会话数据。 2、设置 session.cookie_httponly = 1 防止 JavaScript 窃取 cookie。 两者都用于获取字符串长度,但对多字节字符处理不同。 1、strlen() 按字节计算,中文字符通常占3字节,"中国" 返回 6。 2、mb_strlen() 按字符计算,需指定编码(如 UTF-8),"中国" 返回 2。 strpos 查找子串首次出现位置,从0开始计数,0 表示匹配成功但位于开头。 1、错误写法:if (strpos( $ str, 'a')) { ... } 当 'a' 在首字符时返回 0,被当作 false。 2、正确写法:if (strpos( $ str, 'a') !== false) { ... } 使用严格比较。 返回类型声明提升代码健壮性,确保函数输出符合预期。 1、语法:function add(int $ a, int $ b): int { return $ a + $ b; } 2、若返回非 int 类型,PHP 将抛出 TypeError 异常。 依赖注入是一种解耦设计模式,将依赖对象从外部传入而非内部创建。 1、定义服务类:class Database { public function query( $ sql) { ... } } 2、在使用者中通过构造函数注入:class UserService { private $ db; public function __construct(Database $ db) { $ this->db = $ db; } } Composer 是 PHP 的依赖管理工具,自动化处理第三方库的安装与更新。 1、在项目根目录创建 composer.json,声明依赖:{ "require": { "monolog/monolog": "^2.0" } } 2、运行 composer install 命令自动下载并生成 vendor/autoload.php。 两者均为 PHP 标准建议,但关注点不同。 1、PSR-2 是编码风格规范,规定缩进、括号位置、命名规则等。 2、PSR-4 是自动加载标准,定义命名空间与目录结构的映射关系,如 AppLibLogger 对应 /src/Lib/Logger.php。 数据库性能直接影响应用响应速度,需从多个层面优化。 1、为常用查询字段添加数据库索引,加速 WHERE 和 JOIN 操作。 2、避免 SELECT *,只查询必要字段,减少网络传输和内存占用。 3、使用缓存(如 Redis)存储频繁读取但不常变更的数据,降低数据库压力。 该配置控制哪些错误级别被报告,影响开发调试和生产环境安全性。 1、开发环境可设为 E_ALL,显示所有错误、警告和通知。 2、生产环境应设为 E_ALL & ~E_NOTICE & ~E_DEPRECATED,隐藏非关键信息,防止敏感路径泄露。 XSS(跨站脚本)攻击通过注入恶意脚本窃取用户数据。 1、对输出到 HTML 的用户输入使用 htmlspecialchars() 转义特殊字符。 2、设置 Content-Security-Policy (CSP) HTTP 头限制可执行脚本来源。 Trait 是一种代码复用机制,解决单继承语言的功能横向扩展问题。 1、定义 trait:trait Loggable { public function log( $ msg) { echo $ msg; } } 2、在类中使用:class User { use Loggable; } 可组合多个 trait 实现类似多重继承的效果。 真实 IP 可能被代理或负载均衡器掩盖,需检查多个头信息。 1、优先检查 $ _SERVER['HTTP_X_FORWARDED_FOR'],若有多个 IP 取第一个。 2、其次检查 $ _SERVER['HTTP_CLIENT_IP'],最后 fallback 到 $ _SERVER['REMOTE_ADDR']。 3、注意:这些头可被伪造,仅用于非安全关键场景。 PHP 使用引用计数和周期性循环检测回收内存。 1、每个变量容器(zval)维护引用计数,当计数归零时立即释放内存。 2、对于循环引用(如 A 引用 B,B 又引用 A),引用计数无法归零,需靠 周期回收算法 定期清理。 大文件上传需调整配置并采用分块策略避免超时或内存溢出。 1、修改 php.ini:upload_max_filesize=1G, post_max_size=1G, max_execution_time=300。 2、前端使用分片上传,后端合并文件;或使用 Resumable.js 等库实现断点续传。 OPcache 将脚本编译后的字节码缓存到内存,避免重复解析和编译。 1、在 php.ini 中启用:opcache.enable=1。 2、配置缓存大小:opcache.memory_consumption=128(单位MB),提升脚本执行速度达数倍。 PHP 本身不支持原生多线程,但可通过扩展或进程模拟并发。 1、使用 pthreads 扩展(仅 CLI 模式,PHP 7.4 后不再维护)。 2、更推荐使用 Swoole 或 ReactPHP 实现异步 I/O,或通过 pcntl_fork() 创建子进程处理任务。 MVC 分离关注点,提升代码可维护性。 1、Model 负责数据逻辑,如 User::find( $ id) 查询数据库。 2、View 负责展示,通常是 HTML 模板文件。 3、Controller 接收请求,调用 Model 获取数据,传递给 View 渲染。 CSRF(跨站请求伪造)诱使用户执行非自愿操作。 1、在表单中嵌入一次性 token:。 2、提交时验证 token 是否匹配且未过期,不匹配则拒绝请求。 static 用于定义静态属性、方法或局部变量。 1、静态属性/方法属于类而非实例,通过类名直接调用:ClassName:: $ property。 2、静态局部变量在函数内保持值,多次调用不重置:function counter() { static $ c = 0; return ++ $ c; } 需准确判断类型,避免误判。 1、使用 is_array( $ var) 函数,返回 true 或 false。 2、不要用 gettype() == 'array',因性能较差且易出错。 异常提供结构化错误处理方式,优于传统错误码。 1、使用 try { ... } catch (Exception $ e) { ... } 捕获异常。 2、可自定义异常类继承 Exception,通过 throw new MyException("Error") 抛出。 3、finally 块(PHP 5.5+)无论是否异常都会执行,用于资源清理。六、spl_autoload_register() 的作用是什么?
七、PHP 中的匿名函数(闭包)是什么?何时使用?
八、如何实现单例模式(Singleton)?
九、PDO 和 MySQLi 的主要区别是什么?
十、解释 PHP 的 session 机制及如何防止 session fixation 攻击
十一、strlen() 和 mb_strlen() 的区别是什么?
十二、strpos() 函数返回 0 时为什么 if 判断可能出错?
十三、PHP 7 引入的返回类型声明如何使用?
十四、什么是依赖注入(DI)?举例说明
十五、Composer 在 PHP 开发中的作用是什么?
十六、PSR-2 和 PSR-4 的区别是什么?
十七、如何优化数据库查询性能?列举三种方法
十八、解释 PHP 中的 error_reporting 设置及其作用
十九、什么是 XSS 攻击?如何防范?
二十、PHP 中的 trait 是什么?有何优势?
二十一、如何获取客户端 IP 地址?考虑代理情况
二十二、解释 PHP 的垃圾回收机制
二十三、如何在 PHP 中处理大文件上传?
二十四、解释 PHP 的 OPcache 作用及启用方法
二十五、如何实现 PHP 的多线程?
二十六、解释 MVC 架构在 PHP 中的实现
二十七、如何防止 CSRF 攻击?
二十八、解释 PHP 中的 static 关键字用途
二十九、如何检测一个变量是否为数组?
三十、解释 PHP 中的异常处理机制
