🧑💻 通用编码与设计规范
遵循 PSR-12 编码规范,格式化代码风格并统一缩进、命名和文件结构
使用 命名空间、类型声明(type hint)和 PSR-4 自动加载规范
命名应具有语义性,避免缩写、拼音或无意义变量名
所有函数、类、文件应结构清晰,每个模块职责单一(SRP 原则)
避免重复代码,遵循 DRY 原则
保持逻辑简洁,遵循 KISS 原则
高内聚,低耦合,避免模块间强依赖,支持未来可测试、可复用
🧩 WordPress 开发最佳实践
所有前端输出(HTML、JS)必须通过 __() / _e() 等函数进行国际化(i18n)
使用 WP_Query、get_posts()、get_terms() 等 WordPress 原生函数操作数据库
禁止使用裸 SQL 查询,若必须使用 $wpdb,需使用 prepare() 防止 SQL 注入
使用 wp_nonce_field() + check_admin_referer() 实现表单 CSRF 防护机制
后端逻辑使用 REST API + register_rest_route(),避免滥用 admin-ajax.php
前端请求统一采用 wp_localize_script() 注入 nonce + ajaxurl 参数
使用 sanitize_text_field()、esc_html() 等 WordPress 原生函数过滤输入和输出
所有用户输入必须严格校验 + 过滤,防止 XSS、CSRF、SQL 注入
🛡️ 安全与性能建议
使用 PDO 预处理语句(或 WP 的 $wpdb->prepare())防止 SQL 注入
禁止将敏感数据(如用户 token、密码)直接输出或传入 JS 全局变量中
所有文件必须加防访问头 defined(‘ABSPATH’) || exit;
所有插件与主题逻辑必须封装为类,避免在全局作用域执行逻辑代码
所有可缓存结果应采用 transient 或 object cache 实现查询缓存
静态资源引用应使用 wp_enqueue_script() 和 wp_enqueue_style(),并设置版本参数避免缓存问题