Чего не хватает моим функциям?

Question

[Одиночка Айс]

Кажется тостер больше всего подходит для вопросов такого рода... Хочу чтобы другие программисты дали оценку моим функциям, чего не хватает и вообще всей логике написания. Функции представляют собой прослойку перед функцией запросов к БД с помощью PDO. Читал, что использование global ЗЛО, но таков стиль кода моего начальника (а у него опыт 15 лет). И да, сторонними библиотеками мы не пользуемся, только велосипеды свои.

//функция получения данных
	function getRecords($table,$settings){
		global $DataBase,$ActiveLanguage,$SortLanguage;

		//pre variables
		$SQL=array();
		$query="SELECT ";
		$what="*";
		$activeLanguage=$ActiveLanguage;
		$whereSQL=$orderSQL=$limitSQL=$innerSQL=$sortBy=null;
		$showSQL=false;
		//get all data
		//if(!empty($settings)){
		$settings=json_decode(json_encode($settings),false);
		//if empty $settings->table => return empty object
		if(!empty($table)){
			$tableName=$table;
		}else{
			return null;
		}
		//get non-standard fields for select
		if(isset($settings->what)){
			$what=$settings->what;
			if($settings->what=="break"){
				$what=null;
			}
		}
		//get fields for select
		if(isset($settings->as)){
			foreach($settings->as as $k=>$v){
				$SQL[]="{$k} AS {$v}";
				unset($k,$v);
			}
		}
		//get $activeLanguage
		if(isset($settings->from) && $settings->from=="admin"){
			$activeLanguage=$SortLanguage;
		}
		//default $settings->where is `Status`='Y'
		if(isset($settings->where)){
			$whereSQL=" WHERE {$settings->where}";
		}
		//default order by Position
		if(isset($settings->order)){
			$order=$settings->order;
			$orderSQL=" ORDER BY {$order}";
		}
		//group records
		if(isset($settings->group)){
			$orderSQL=" GROUP BY {$settings->group}";
		}
		//default limit is null
		if(isset($settings->limit)){
			$limitSQL=" LIMIT {$settings->limit}";
		}
		//default sort by autoincrement keys
		if(isset($settings->sort)){
			$sortBy=$settings->sort;
		}
		//get only one record
		if(isset($settings->one) && $settings->one==true){
			$isRecord=true;
		}
		//show SQL
		if(isset($settings->show) && $settings->show==true){
			$showSQL=true;
		}
		//get language fields
		if(!empty($settings->fields)){
			foreach($settings->fields as $field){
				$SQL[]="{$field}_{$activeLanguage->Prefix} AS {$field}";
				unset($field);
			}
		}
		//add comma
		if((!empty($settings->as) || !empty($settings->fields)) && !empty($what)){
			$what="*,";
		}
		//inner join
		if(!empty($settings->inner)){
			if(count($settings->inner->table)>1){
				$innerSQL=array();
				foreach($settings->inner->table as $key=>$table){
					$innerSQL[]="INNER JOIN {$table} ON {$settings->inner->on[$key]}";
					unset($key,$table);
				}
				$innerSQL=" ".join(" ",$innerSQL);
			}else{
				$innerSQL=" INNER JOIN {$settings->inner->table} ON {$settings->inner->on}";
			}
		}
		//get SQL
		$SQL=join(",",$SQL);
		$objectSQL=$query.$what.$SQL." FROM {$tableName}{$innerSQL}{$whereSQL}{$orderSQL}{$limitSQL};";
		if($showSQL){
			self::preDump($objectSQL);
		}

		if(!empty($sortBy)){
			$allData=$DataBase->Query($objectSQL,true,null,$sortBy);
		}else{
			$allData=$DataBase->Query($objectSQL,false);
		}
		return $allData;
	}
	//функция прочих запросов к БД
	function query($table,$settings=array()){
		global $DataBase;

		$SQL=array();
		if(!empty($settings)){
			$settings=json_decode(json_encode($settings),false);
			//if empty $settings->table => return empty object
			if(empty($table)){
				return null;
			}
			//set type to query
			if(isset($settings->type)){
				if($settings->type=="insert"){
					$SQL[]="INSERT INTO";
				}elseif($settings->type=="update"){
					$SQL[]="UPDATE";
				}elseif($settings->type=="delete"){
					$SQL[]="DELETE FROM";
				}else{
					return null;
				}
			}
			//set table for query
			$SQL[]=$table;
			//get SET param
			if(isset($settings->set)){
				$SQL[]="SET {$settings->set}";
			}
			//get WHERE param
			if(isset($settings->where)){
				$SQL[]="WHERE {$settings->where}";
			}
			if(!empty($SQL)){
				$SQL=join(" ",$SQL);
				if(isset($settings->show) && $settings->show==true){
					self::preDump($SQL);
				}
				if($settings->type=="insert"){
					return $DataBase->InsertQuery($SQL,null);
				}else{
					$DataBase->UpdateQuery($SQL);
					return true;
				}
			}else{
				return null;
			}
		}else{
			return null;
		}
	}
	//функция начальника для запросов к БД
	function Query($Query,$ReturnInArray=true,$Values=array(),$ArrayKey="Id",$ReturnLastId=false,$IsUpdate=false,$ArrayValues=array()){
		$QueryResults=$this->Connection->prepare($Query, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
		$QueryResults->execute($Values);

		if($IsUpdate)
			return true;

		if($ReturnLastId)
			return $this->Connection->lastInsertId();

		if(!$ReturnInArray){
			$QueryResults=$QueryResults->fetch();
			foreach($ArrayValues as $Value){
				$QueryResults->$Value=array();

				unset($Value);
			}
			unset($ArrayValues);
			return $QueryResults;
		}else{
			$Results=array();
			while($Row=$QueryResults->fetch()){
				//var_dump($Row);
				if(is_null($ArrayKey)){
					$Results[]=$Row;
				}elseif(is_array($ArrayKey)){
					$this->FillArray($Results,$Row,$ArrayKey,true);
				}elseif(!empty($ArrayKey))
					$Results[$Row->$ArrayKey]=$Row;
				else
					$Results[]=$Row;

				unset($Row);
			}
			unset($QueryResults);

			if(count($ArrayValues)){
				foreach($Results as $Key=>$Result){
					foreach($ArrayValues as $Value){
						$Result->$Value=array();
						$Results[$Key]=$Result;

						unset($Value);
					}
					unset($Result);
				}
				unset($ArrayValues);
			}

			return $Results;
		}
	}

Примеры использования по просьбе комментирующих:

$allData=$Kernel->getRecords($GLOBAL->Table,array(
	"where"=>"`Type`='Some' AND`Status`='Y'",
	"order"=>"`Position`",
	"sort"=>"Id"
));
$Kernel->query($GLOBAL->Table,array(
	"type"=>"insert",
	"set"=>"`Variable1`='{$data1}',`Variable2`={$data2}"
));

UPD1
Для любителей похоливарить на тему (object) vs json_encode: массивы всегда ассоциативные с большой вложенностью. При использовании (object) вся внутренняя структура созданных объектов остается массивами, а при json_decode(json_encode($array), false) массив ВЕСЬ становится объектом.

Comments

[Максим Тимофеев]

стиль кода моего начальника

стиль пьяного мастера ))) сорри, не сдержался. А как же ООП, как бы PDO намекает на ООП

[Одиночка Айс]

Максим Тимофеев: Начальник не в курсе что это)) гонится за скоростью голого пыха по сравнению со современными фреймворками и безопасностью

[Кирилл Несмеянов]

Одиночка Айс: скоростью?

Про какую скорость можно говорить при использовании массивов, вместо объектов? Массив - это хешмапа, объект - структура с zval данными.

Про какую скорость можно говорить при использовании интерполяции?

Про какую скорость можно говорить при использовании `unset` в цикле и вызовах `$some->$any`?

Про какую скорость можно говорить при использовании:

$obj = json_decode(json_encode($data));
// вместо 
$obj = (object)$data;
// я уж не говорю про создание прокси с перегрузкой __get

Про какую скорость можно говорить при использовании:

while($Row=$QueryResults->fetch()){
        if(is_null($ArrayKey)){
          $Results[]=$Row;
....

// Вместо
while ($row = $queryResults->fetch()) {
    yield $row;
}

Ну и т.д.

И если по безопасности всё ясно: этот код - дыра. То по скорости, вполне возможно, что фреймы будут даже быстрее поделок, написанных в подобном стиле с тысячью проблем на квадратный сантиметр.

[Одиночка Айс]

unset используется для освобождения памяти, и никто не говорит, что данные из моих функций не обрабатываются потом, при запросе. Они всего лишь являются оберткой для вызова других более низкоуровневых функций для работы с PDO.

[FanatPHP]

Твой код говорит о том, что данные никак не обрабатываются. Никакие "низкоуровневые функции" в нем не вызываются.

[Одиночка Айс]

Как бэ $DataBase->UpdateQuery($SQL); одна из таких низкоуровневых функций

[FanatPHP]

Вынужден тебя огорчить. Эта функция ни низкоуровневая, ни - что куда важнее - ни безопасная. Любая функция для работы с БД, которая принимает только 1 параметр с запросом, по определению небезопасна.

[Кирилл Несмеянов]

Одиночка Айс: "чистые функции" и отсутствие "побочных эффектов" - не? Эти два термина ничего не говорят? unset оператор убирает ссылки внутри zval, по-этому при его использовании должен врубаться рекурсивный gc, который делает декремент оных во всех местах использования. И вместо комплексной и плановой очистки после закрытия скоупа (gc пыха, если не путаю - оставляет их в памяти для того, чтобы не заново не делать аллокацию памяти, а тупо перезаписать) мы врубаем его после каждого вызова next() сабжевого итератора.

Короче, тут обсуждать не имеет смысла. Код написан новичком: Нечитаем, его невозможно мокать, невозможно проводить юниты (только функциональное тестирование), аффектит глобальное пространство (т.е. написан в чистейшем процедурном стиле, хоть и использует классы), только стейтфул, работает только на Mysql, умеет работать только с AI PK (т.е. о UUID id речи не идёт), и т.д. Из адекватного в нём только одно: Использование PDO, вместо mysql_* (тьфу-тьфу-тьфу).

[Одиночка Айс]

Кирилл Несмеянов: А что, ООП у нас теперь панацея от всех болячек? Про глобалки говорил не раз ему, но пока бесполезно, благо хоть на PDO уговорил его перейти.

[Кирилл Несмеянов]

Одиночка Айс: от всех болячек процедурщины - да. От болячек функциональщины - тоже, вполне (в идеале - совмещать). А всё остальное строится поверх классического ООП: Прототипное, контрактное, аспектное и проч.

Так что учитывая это - с некоторой долей вероятности можно утверждать что да, это панацея от всех болячек, если применять его правильно (а не как в вашем примере, где от ООП только делегирование соединения к БД).

[Кирилл Несмеянов]

Для любителей похоливарить на тему (object) vs json_encode: массивы всегда ассоциативные с большой вложенностью. При использовании (object) вся внутренняя структура созданных объектов остается массивами, а при json_decode(json_encode($array), false) массив ВЕСЬ становится объектом.

Одиночка Айс: вопрос, а нахрена там вообще сдался stdClass?

[Одиночка Айс]

Чтобы не трахаться с массивами?

[FanatPHP]

Панацея-не панацея, но освоив самые азу ООП, уже не будешь писать вот этот вот ужас, летящий на крыльях ночи

Query($Query,$ReturnInArray=true,$Values=array(),$ArrayKey="Id",$ReturnLastId=false,$IsUpdate=false,$ArrayValues=array()){

чтобы потом по ночам снились кошмары типа этого

Query($Query,false,$Values,"kergudu",true,true,$ArrayValues){

[Кирилл Несмеянов]

Одиночка Айс: т.е. вот такое:

if(isset($settings->type)){
        if($settings->type=="insert"){
          $SQL[]="INSERT INTO";
        }elseif($settings->type=="update"){
          $SQL[]="UPDATE";
        }elseif($settings->type=="delete"){
          $SQL[]="DELETE FROM";
        }else{
          return null;
        }
      }

Конечно, лучше, нежели:

private function resolveQueryType(array $settings): ?string
{
    $mapping = [
        'insert' => 'INSERT INTO',
        'update' => 'UPDATE',
        'delete' => 'DELETE FROM',
    ];

    // private const KEY_QUERY_TYPE = 'type';
    return $mapping[$settings[self::KEY_QUERY_TYPE]] ?? null;
}

Ну ок...

Answer 1

[Кирилл Несмеянов]

Друг, твой код - это феерический трешак, а начальник твой - хуже школьника. Так ему и передай, можешь на меня ссылаться.

Мой добрый совет - беги оттуда, пока не поздно.

Answer 2

[Александр Аксентьев]

$settings=json_decode(json_encode($settings),false);

11/10 госпади.

Очень интересно увидеть пример использования функций, а то такой треш в голове трудно представить.

И да, сторонними библиотеками мы не пользуемся, только велосипеды свои.

composer откройте для начальника и молча уйдите ;D

Бессмысленно что-то говорить/исправлять, код никакой.

Answer 3

[Алексей]

До ООП еще не доросли?
А про PSR тоже не слышали? Все таки люди стараются привести код к единому стандарту.
Знаете чего не хватает вашему коду? Новизны. Он устарел лет на 15-20 уже.

Comments

[Одиночка Айс]

Ну да, код как был написан в 90-х, так и остался, по сути. Главное для нас скорость исполнения кода, чем фреймворки порой не могут похвастаться. Хотя не замерял, честно.

[index0h]

Одиночка Айс

Главное для нас скорость исполнения кода

При этом вы пишете на php))
Забавно, что еще вериализируете и десереализируете данные в json.

чем фреймворки порой не могут похвастаться

Это не умение готовить

[Одиночка Айс]

Забавно, что еще вериализируете и десереализируете данные в json

нууу, я так как бэ массив в объект превращаю ))

Answer 4

[profesor08]

Твой начальник не любит фреймворки, хочет скорости, и безопасность, но сам же наговнокодил такую парашу, которая пытается походить на фреймворк, но пользоваться этим без слез невозможно. Причем безопасность этой параши под вопросом. Все зависит что прилетит в settings, либо добротный запрос, либо инъекция. Так-же функция возвращает несколько типов данных, и как это проверять? Такой-же мотней кода как вот это?

Comments

[Одиночка Айс]

Ну, в $settings прилетит только то, что напишет разработчик, да и возвращает она только массив/объект с данными

[profesor08]

Тогда зачем это все? Сразу запрос в лоб! Скорость же!

А вот это зачем, объект хотим?
$settings=json_decode(json_encode($settings),false);

А если вот так?
$settings = (object)$settings;

Answer 5

[Александр Новиков]

Если вы пишете такие продукты, что уперлись в производительности в PHP - мое почтение. (хотя что-то мне не верится). Особенно с такими примерами кода.

Как правило логичным шагом при получении таких ограничений - переписывание узких мест на более производительных языках, как например поступают в Badoo. на C/go. А основная кодовая база ТАК выглядеть не должна ни при каких условиях.
Используется функциональный подход - так где функции высшего порядка? где отсутствие глобальных состояний? Ваш начальник не умеет ни функциональный подход готовить, ни объектно-ориентированный.
По факту - вашего начальника я бы не взял даже на должность джуниора - 15 лет писать вот такое, принципиально считать что твои велосипеды лучше всех сложившихся практик, и быть намертво уверенным в собственной правоте - это смерть для разработчика и для коллектива, в котором он работает, а если уж он еще и начальник в нем... Из-за таких как он и ходит в сообществе мнение о PHP как о плохом языке для обезьян.

Пока молодой и не научился такому же подходу - меняй работу, иначе потеряешь кучу времени и на этой работе, и на переучивание в дальнейшем.

Ну это как и у других - оффтоп с критикой твоего начальства.

Что касается именно кода - обрати внимание на PSR соглашения - по форматированию кода, именованию переменных, сделаешь код более читаемым (www.php-fig.org/psr/) , это стандарт в индустрии и на скорость никак не повлияет, можешь даже начальнику показать.
Дальше познакомься с PDO и понятиям SQL инъекций. Код приведенный в вопросе абсолютно небезопасен, и то, что параметр $settings задается разработчиком - не аргумент. Новый джун может запросто туда отправить просто $_POST при сабмите формы - и вы никак от этого не защититесь. Код должен быть защищенным изначально, а не дырявым и "но вы эти дыры не используйте".
Листинги кода такой длины - нечитаемые, бейте на логические куски, книга Мартина Фаулера "Рефакторинг" в помощь, чтобы понять, как оптимально и правильно это сделать.

Comments

[Одиночка Айс]

Что, простите?

Новый джун может запросто туда отправить просто $_POST при сабмите формы - и вы никак от этого не защититесь

Ну отправит, дальше что? Функция хавает не $_POST в голом виде, а параметры. Она всего лишь прослойка для удобства работы.

[Александр Новиков]

Вызовет
getRecords($table, (object)$_POST);
в пост будет отправлено например
['settings' => '1; DROP TABLE USERS;//']
и все, прощайте данные, вместо удобства наступает время узнать, делают ли уже ваши админы бэкапы, или им только предстоит начать их делать.

Пример исключительно синтетический, для иллюстрации того, что сборка запроса простой подстановкой в строку невалидированных данных из параметра не может быть безопасной. То, что прослойка существует для удобства разработчиков не дает ей права быть небезопасной при биндинге параметров и сборке запроса.

На первом же код ревью такие вещи отправляются на доработку, пока не станут безопасными. Разработчики даже стараясь делать приложение защищенным по незнанию/невнимательности оставляют дыры. Зачем еще и осознанно-то их лепить?

[Одиночка Айс]

Шта? В settings перебераются параметры, а не пишутся прямые запросы, глаза разуйте

[FanatPHP]

"`Variable1`='{$data1}',`Variable2`={$data2}" - это "непрямой запрос"?

[Александр Новиков]

Одиночка Айс:

[
    'settings' => ['where' => '1; DROP TABLE USERS;//']
];

превратится в инъекцию тут

//get WHERE param
      if(isset($settings->where)){
        $SQL[]="WHERE {$settings->where}";
      }

и в конце будет слеплено в конечный запрос этим
$SQL=join(" ",$SQL);

Впрочем, с такой грубой реакцией на указание на ошибки и даже описание, как и почему их надо избегать, вам все же стоит остаться в этой фирме и не соваться в нормальные.

Answer 6

[FanatPHP]

Ну, то что это адова жесть, уже все сказали.
Но я логики понять не могу. В чем профит?
Сравниваем код на этом адском поделии

$allData=$Kernel->getRecords($GLOBAL->Table,array(
  "where"=>"`Type`='Some' AND`Status`='Y'",
  "order"=>"`Position`",
  "sort"=>"Id"
));

И код на чистом PDO/SQL

$allData = $pdo
    ->query("SELECT * FROM $GLOBAL->Table WHERE `Type`='Some' AND `Status`='Y' ORDER BY `Position`")
    ->fetchAll();

В ЧЕМ ПРОФИТ?
Какой смысл разбивать SQL на массив и писать по отдельности, когда можно просто сразу написать нормальный SQL?

Ну и про безопасность тут уже все сказали. Я не знаю, за какой "безопасности" тут речь, но вот тут

$Kernel->query($GLOBAL->Table,array(
  "type"=>"insert",
  "set"=>"`Variable1`='{$data1}',`Variable2`={$data2}"
));

инъекция на инъекции и инъекцией погоняет.

Интересно, что, функция твоего начальника не так плоха. Он только не умеет пользоваться PDO и не знает что эту функцию можно сделать в 100 раз проще, без кучи ненужных параметров. Но в целом она довольно осмысленная и безопасная. И в ней нет global. В отличие от твоего собственного кода.

Вот твой второй запрос с использованием его функции:

$Database->Query("INSERT INTO $GLOBAL->Table SET `Variable1`=?',`Variable2`=?", [$data1, $data2]);

это четкий, ясный и безопасный код.
Внимание, снова вопрос: НАФИГА?
ЗАЧЕМ ты нагородил вот это вот всё, если оно в 100 раз хуже чем было?

Comments

[Одиночка Айс]

мои функции всего лишь вызывают его (функции) по сути, ибо я запарился запросы ручками херачить

[FanatPHP]

А что не так с "херачить ручками"? Почему лучше херачить массив вместо запроса?

[Одиночка Айс]

Угу, особенно при написании INNER JOIN по незнанию можно такого понаписать, мама не горюй. В массиве, я всего лишь передаю параметры для функции, которая их обрабатывает, это чтобы не писать функции вида function some($param1,$param2,$param3,$param4)

[FanatPHP]

Я не понимаю этой логики. можно пример "такого", что можно написать в INNER JOIN, и как этй проблему решает массив?

[Одиночка Айс]

$PreParams=$Kernel->getRecords($GLOBAL->Products,array(
"as"=>array(
"{$GLOBAL->Products}.Id"=>"Id",
"{$GLOBAL->Products}.Parent"=>"Parent",
"{$GLOBAL->ProductsParameters}.Id"=>"IdParam",
"{$GLOBAL->ProductsValues}.Id"=>"IdValue",
"{$GLOBAL->ProductsValues}.IsBrand"=>"IsBrand"
),
"what"=>"break", //<-пропуск параметра
"inner"=>array(
"table"=>array(
$GLOBAL->RelationsProductsValues,
$GLOBAL->ProductsValues,
$GLOBAL->ProductsParameters
),
"on"=>array(
"{$GLOBAL->RelationsProductsValues}.IdProduct={$GLOBAL->Products}.Id",
"{$GLOBAL->RelationsProductsValues}.IdValue={$GLOBAL->ProductsValues}.Id",
"{$GLOBAL->ProductsValues}.Param={$GLOBAL->ProductsParameters}.Id"
)
),
"where"=>"{$GLOBAL->Products}.Parent={$CategoryInfo->Id} AND {$GLOBAL->Products}.Status='Y'",
"order"=>"{$GLOBAL->Products}.Price"
));

И вот голый запрос:

SELECT someDB.`Products`.Id AS Id,someDB.`Products`.Parent AS Parent,someDB.`ProductsParameters`.Id AS IdParam,someDB.`ProductsValues`.Id AS IdValue,someDB.`ProductsValues`.IsBrand AS IsBrand FROM someDB.`Products` INNER JOIN someDB.`RelationsProductsValues` ON someDB.`RelationsProductsValues`.IdProduct=someDB.`Products`.Id INNER JOIN someDB.`ProductsValues` ON someDB.`RelationsProductsValues`.IdValue=someDB.`ProductsValues`.Id INNER JOIN someDB.`ProductsParameters` ON someDB.`ProductsValues`.Param=someDB.`ProductsParameters`.Id WHERE someDB.`Products`.Parent=1 AND someDB.`Products`.Status='Y' ORDER BY someDB.`Products`.Price;

Как думаете, при составлении такого запроса легко ошибиться?

[FanatPHP]

При составлении такого трещака - да.
А если писать по-человечески,

SELECT p.id, p.Parent, pp.Id AS IdParam, pv..Id AS IdValue, pv.IsBrand
FROM Products p 
JOIN `RelationsProductsValues` rpv ON rpv.IdProduct = p.Id
JOIN `ProductsValues`  pv ON rpv.IdValue = pv.Id
JOIN `ProductsParameters` pp ON pv.Param=pp.Id
WHERE p.Parent=1 AND p.Status='Y'
ORDER BY p.Price;

То получается и короче, и понятнее, и отлаживать можно.

Нет, настоящие квери билдеры бывают. Но они делают работу с SQL ПРОЩЕ, а не требуют писать какую-то галиматью, как у тебя

Answer 7

[Матвей Правосудов]

Используйте внедрение зависимости, или на худой конец одиночку, вместо глобальных переменных. Еще привести бы все к одному стилю именования, а то у вас то со строчной, то с прописной.

Comments

[Одиночка Айс]

Пытался в студии внедрить единый стиль и статические классы (ну не нравится мне для того, что используется один раз за все время жизни страницы, использовать переменные), не прижилось.

Answer 8

[index0h]

чего не хватает и вообще всей логике написания.

качества, это ж полный П!

Читал, что использование global ЗЛО

Верно

но таков стиль кода моего начальника (а у него опыт 15 лет)

Твой начальник живет в 2002 году, что поделать, эт бывает когда не развиваешься, но с твоим мнением считаются.

И да, сторонними библиотеками мы не пользуемся, только велосипеды свои.

Это далеко не всегда так плохо, как кажется.

Приведенный вами код - говнище, начальник ваш - юниор, почитайте на досуге почему: Попросили проверить код, на что смотреть нужно?

Comments

[Одиночка Айс]

Читал этот самый коммент примерно месяц назад)) Некоторые пункты взял себе на будущее, спасибо.