PHP 8:WordPress站长与开发者须知

PHP 8.0已经发布有一个月了,WordPress官方团队也宣布将以最快的速度支持这一新版本。PHP的最新版本为开发人员提供了很多改进的新功能,这些功能有望大大提高安全性和性能。它还完全删除了许多以前不推荐使用的功能,PHP 8是对原有版本的重大升级。

对于PHP 8,站长帮希望提供一些建议,详细介绍这对WordPress站长/开发者的意义,包括应该采取哪些措施。

应该立即升级PHP 8吗?

不建议立即升级!根据11月18日的WordPress开发人员会议记录,WordPress 5.6的主要版本将“与PHP 8 Beta兼容”。这意味着几乎所有WordPress核心功能都可以使用,但即使在没有安装其它插件或主题的情况下,也有可能会发生一些无法预估的错误。

WordPress开发人员呼吁使用PHP 8进行更多的测试,以发现并修复尽可能多的bug,但这种测试千万不能用于生产环境,因为大量WordPress插件主题不会立即与PHP 8兼容。

PHP 8发布到现在,站长帮已经对WordPress 5.6进行了十来天的测试,发现一些著名的插件或主题中,很大一部分偶尔会发生一些错误(针对测试的插件/主题都是最近有更新版本,并声称兼容PHP 8,至于那些超过半年未更新的插件/主题就更不在话下了),虽然很多错误对于访客来说是无感知的,但这有可能会影响网站性能与SEO效果,甚至引发安全漏洞。

PHP 8对于WordPress有哪些重大变化?

长期以来,一些开发人员一直认为PHP默认是不安全的。尽管这有待商榷,但PHP 8之前的版本(包括PHP 7.x与PHP 5.x)本具有更高的容错能力,并且即使存在小错误,也要尽力确保代码能够运行,这是PHP很长一段时间以来的特点。

PHP 8使用比以前版本更规范的代码格式,许多内置函数对接受的格式更严谨。以前引起通知的问题现在导致警告,而以前引起警告的问题现在导致错误。

换句话说,PHP 8不像以前的版本那么宽容,无论如何,都不会像以前一样尽全力使代码能够运行,它变得更挑剔了。

PHP 7.x中不推荐使用的一些功能已被PHP 8完全删除,这些包括:

  • $php_errormsg 变量
  • create_function()
  • mbstring.func_overload INI指令
  • real 类型
  • allow_url_include INI指令
  • restore_include_path()
  • each()

尽管对于大多数开发者早不使用以上功能了(那些经常了解PHP更新发展动态的开发者,基本上会弃用这些功能了),但我可以肯定在WordPress中至少有上千个插件还在使用create_function()函数,其中包括一些很流行的插件。

在某些情况下,开发者使用这些早不建议使用的功能可能是为了与旧版本PHP兼容,例如还有大量的网站正在使用PHP 5.x,但是,随着PHP 8越来越流行,许多插件需要大幅重写,否则会造成致命错误。

有哪些安全问题?

熟悉PHP的开发者都知道,它允许使用一种称为“Type Juggling”的东西,意味着可以像对待整数或浮点数一样对待包含数字的字符串,只要使用松散比较运算符==而不是严格比较运算符===,就可以执行数学运算并在这些不同类型之间进行比较。

对于开发人员来说,“Type Juggling”可能非常有用,可节省编写代码的时间,但有时会导致异常行为。

例如:0=="blah"将返回true,PHP 8修复了这种行为,现在将返回false。总的来说,这将实际上提高安全性。有许多可被利用的PHP中“Type Juggling”行为漏洞,可以绕过非标准的cookie,nonce或密码检查。

目前许多插件使用这些不严谨的比较功能,有些还用于关键功能的代码里。在一些情况下,这些插件或主题在PHP 8环境中也许还能运行,但可能会带来错误的结果,在一些少数情况下,还可能会造成安全漏洞。

对于某些开发者来说,为了与PHP 8兼容,可能需要重写的地方太多了,肯定会有很多的主题或插件作者会放弃更新迭代,因为有时候开发一个全新的程序可能比这要更省事。这就是为什么站长帮一直建议使用编码质量较高的插件或主题的原因。

PHP 8有什么性能变化?

PHP 8的一项令人兴奋的功能是JIT,即“Just In Time”的缩写。PHP是一种解释型语言,它在运行时会通过翻译器翻译成机器语言。JIT跟踪经常使用的代码,并尝试优化机器语言翻译,以便可以重复使用,这可以让某些特定且常用的功能性能大幅提高。

例如,早些时候将JIT添加到JavaScript中,就让JavaScript程序爆炸式发展和流行,要知道在早期的WEB环境中,运行JavaScript的虚拟机是糟糕透顶的。

但是,暂时而言,WordPress之类的Web应用程序的实际性能提升不会很大,需要一段时间才能使普通WordPress用户或开发人员感受到此新功能的好处。因为很多新特性会让那些还在使用早期PHP版本的用户变得不兼容,WordPress不得不让这个过程延长,等待最广大的用户升级环境。

每个PHP的主要版本生命周期一般为2年(超过这个时间后官方不再维护更新),PHP 7.4于2019年11月发布,作为PHP 7的最终版本,这意味着PHP 7.4要到2022年11月份才会走到它的“生命尽头”。也就是说,到2022年11月份,所有流行的PHP程序都至少应该与PHP 8兼容,否则将被淘汰,所以WordPress到完全支持PHP 8的特性,最多不会超过2年。

结论

PHP 8的推出,是截止到目前整个PHP历史中影响最大、最广泛的一次升级。从长远来看,这是值得的,但从短期来看,WordPress站长和开发人员可能会遇到困难。

  • 如果你是站长,现在可以着手部署PHP 8的测试环境,以测试所需的主题或插件的兼容性,并制定未来要替换哪些主题或插件的计划。
  • 如果你是开发人员,请开始测试代码的兼容性以及对PHP 8的依赖,并开始制定计划替换所有未更新的库。如果是准备新开发的程序,不建议再考虑兼容PHP旧版本了,因为PHP 8将是一个未来和过去的切割线,也一定会越来越多的用户使用。

感谢 @小芸 对本文的编辑修改和贡献。


《PHP 8:WordPress站长与开发者须知》有2条评论

发表评论