php项目代码审查依托git流程而非语言本身,核心是pr/mr机制下的分支保护、规范命名、issue关联与非快进合并;需结合phpstan、phpcs等工具自动化检查语法、安全、框架约定及测试覆盖率;审查意见须具体到行级风险,聚焦逻辑漏洞而非风格问题。
PHP 项目本身不内置版本控制,代码审查(Code Review)发生在 Git 等版本控制系统之上,不是 PHP 语言层面的功能。真正的审查对象是 Git 提交的变更,PHP 只是被审查的代码语言之一。
Git 分支策略决定审查入口点
审查必须绑定到可追踪、可讨论的代码变更,最常用的是基于 Pull Request(PR)或 Merge Request(MR)。关键不在 PHP 怎么写,而在 Git 流程怎么设计:
- 主干保护:将
main或develop设为受保护分支,禁止直接推送,所有修改必须经 PR/MR 合并 - 功能分支命名规范:如
feat/user-login、fix/500-Error-in-api,便于快速识别变更意图 - 强制要求关联 Issue:PR 描述中必须包含
#123类似引用,确保每次审查有明确上下文 - 禁止快进合并(
--no-ff):保留合并提交,让审查记录与代码变更可追溯
PHP 专属审查要点不能只靠肉眼
人工扫代码效率低且易漏,需结合自动化工具在 PR 触发时运行,把基础问题挡在合并前:
- 语法与兼容性:
php -l检查文件是否可解析;用phpstan或psalm检查类型逻辑,尤其注意 PHP 8+ 的联合类型、只读属性是否被正确使用 - 安全红线:
phpcs配合PHP_CodeSniffer的SecurityAudit标准,拦截eval()、未过滤的$_GET/$_POST直接拼 sql 或 HTML - 框架约定:laravel 项目要检查是否误用
DB::raw()而非 Eloquent;symfony 项目关注是否遗漏#[Route]或错误使用$request->get()(应为$request->query->get()) - 忽略测试覆盖:若项目有 PHPUnit,CI 中应运行
phpunit --coverage-text --min-coverage=70,低于阈值则阻断合并
审查意见要具体到行、可执行
模糊评论如“这里写得不好”毫无价值。PHP 审查意见必须指向真实风险或改进点:
立即学习“PHP免费学习笔记(深入)”;
- 指出危险函数调用位置:
vendor/autoload.php第 42 行的require_once($path)中$path来自用户输入,应改用白名单校验 - 对比重构建议:
if (isset($_POST['submit'])) { ... }建议替换为if ($request->isMethod('POST')) { ... }(Laravel)或if ($_SERVER['REQUEST_METHOD'] === 'POST') { ... }(原生) - 标注性能隐患:
foreach ($users as $user) { User::find($user['id']); }属于 N+1 查询,应改为User::whereIn('id', array_column($users, 'id'))->get() - 拒绝“个人风格”类意见:比如花括号换行位置、空格数量,应由
php-cs-fixer自动统一,不占用人工审查带宽
真正卡住合并的不是 PHP 语法对错,而是权限控制缺失、SQL 注入路径、未处理的异常分支、缓存键硬编码这类逻辑漏洞——它们藏在业务流程里,需要结合上下文读,而不是单看某一行 PHP 代码。