web项目开发需注意的问题

# web项目开发需要注意的问题---> web项目的起点[重要]

1. web项目的主要定位[业务方向]->明确正在开发的项目的核心功能

2. web项目的技术选型->Django>Tornado>Flask>WebPy

3. web项目的创建和文件结构的构造 * 模块化开发的模块划分 * 数据库是否分库---> web项目中的具体流程[重要]

4. 网页中的数据提交方式[表单|链接|Ajax] * 前端网页中进行数据的初步验证[JS验证(不可靠的，只是为了提升正常用户体验)] * 提交的数据，是否需要加密操作[JS加密|JS插件加密]

5. 数据提交后，在服务器端进行提交数据的验证

6. 路由中的URL请求和对应视图处理函数/类绑定关系

7. 在视图处理函数/类中，进行数据的封装[类的对象]

8. 类的对象持久化到数据库的操作方式[ORM:pymysql|pymongo|sqlalchemy...] * 面向对象的增删改方式：直接调用对应的函数操作：save()/delete()/update() * 通过SQL语句执行增删改操作，拆分对象的数据~insert/update/delete.. * 事务管理[事务的四大特性以及事务的隔离级别]

9. 数据库中的数据记录，查询到程序中的操作[ORM] * 面向对象的查询方式：调用方法获取数据 * 通过SQL语句查询方式，直接查询获取到指定的数据

10. 查询数据设计到的缓存处理[ecache|memcache||数据库缓存|文件缓存]

    * 缓存处理时，存在的问题和解决方案

11. 数据类型转换->数据库查询的记录->类的对象[一般自动转换、手工转换]

12. 类的对象数据，传递给前端网页进行展示

    * 传递过程中，是否需要加密操作，如果加密操作~前端网页中怎么进行解密操作

    * 前端网页中的模板语法[DTL|JINJA|JINJA2]展示数据

    * 前端网页中，可以通过DOM操作渲染展示数据

---

> web项目扩展[非常重要]

13. B/S结构的软件开发架构模式

    * 耦合架构：前端网页中使用了非HTML代码，这样的代码严重依赖后端的运行环境，如{%if%}{%endif%}

        一个完整的流程，[网页->后端->数据库->后端->网页] 绑定的[高耦合的！]

    * 分离架构：前端网页和后端项目都属于独立的项目，数据交互通过Ajax直接交互

        一个完整的流程：[前端网页] --Ajax-- [后端程序-数据库]

14. 表单操作

    * 某些web框架，会封装表单的高级操作，如Django[django.forms.Form/ModelForm]

    * 某些web框架，不会对表单进行封装，如tornado\Flask

    * 表单的操作，由于要和用户直接进行数据交互，涉及到很多安全问题

        * XSS：跨域脚本注入攻击，如~用户通过发表文章，发表了一段包含代码的文章，服务器在

            解释文章的过程中，将用户输入的脚本代码执行了，造成了安全漏洞！

        * XSRF：跨域请求伪造攻击，如~用户在自己的电脑上，访问了A网站[得到了A网站写入cookie的数据]

            此时用户访问B网站~【B网站中存在攻击用户访问A网站的链接】，如果用户在B网站访问了这个链接

            就会携带用户在A网站的cookie数据到达A网站执行操作。相当于B网站伪造了A网站的请求[链接]

16. 文件上传：文件上传过程中，文件名也存在攻击漏洞，任何从浏览器发起的请求都是可以伪造的

            此时~如果用户伪造了上传的文件和文件名称，如~用户自定义了一个.bashrc文件，然后提交了

            一个保存文件的路径../../../root/，如果文件正常上传，就有可能造成系统的.bashrc文件被覆盖

            如果这个覆盖的文件中存在创建超级管理员、创建允许远程操作的脚本代码，就会造成远程提权漏洞，你的服务器~宣告沦陷！、

17. 验证码：工具类的操作方式，验证码的实现方式千变万化，但是原理始终保持一致。

    都是为了防止用户恶意多次访问出现的操作，尤其是~在表单提交时会出现的一种防范手段！

    要了解常规验证码的实现方式[字母数字验证码、运算验证码、位置验证码...]

18. 第三方账号共享：通过已经存在并且比较流行的第三方应用的账号，来快速构建当前项目的账号

    * 通过第三方账号提供的接口，直接访问第三方账号的数据，通过该账号的信息，来直接创建当前

    项目的账号，并提供给用户直接操作

    * 通过第三方账号提供的接口，让用户可以伪登录当前项目，但是需要重新创建一个当前项目的账号

    绑定第三方应用的账号[如果用户以后忘记密码，可以通过第三方账号进行恢复等操作]

    * 所有可用的第三方账号，肯定是第三方应用提供了可以访问并且需要二次确认的接口

19. 会话跟踪操作

    核心通过session和cookie两个独立的对象进行的操作

    * 会话跟踪：主要是记录用户操作网站的过程中的重要信息，跟踪用户的信息提供人性化的后续服务达到提升用户体验的目的

    * 状态保持：是会话跟踪的基础，主要是保存用户在网站浏览过程中的重要信息！是对HTTP无状态短连接的一种补充！

20. 分布式集群操作

    * 分布式[软件]：将应用程序以【分布】在多个进程或者多个线程的【处理方式】进行部署，达到提升功能处理性能的目的

    * 集群[硬件]：集合多台服务器共同提供服务的功能，提升功能处理性能，一般情况会设计到负载均衡和集群服务器

    * 分布式集群[软件和硬件结合一种部署操作方式]

    * 分布式集群：提升处理性能

    * 分布式集群：容灾和容错功能

    * 问题分析1：数据同步，用户在A主机上执行了登录操作，下次请求被B主机处理了~B主机怎么知道用户A是否登录

    * 问题分析2：缓存数据同步

    * 解决方案1：负载均衡可以通过ip hash的方式进行处理，每个接入的ip地址~只会被同一台后台服务器处理

    * 解决方案2：可以将数据存储在一个保存数据的缓存服务器中，所有的后台服务器缓存数据都在同一台缓存服务器

21. 数据库相关

    * 数据库为什么分库？

    * 数据库为什么分表？