Xiuno BBS 4.0.1 正式版发布！（历时近两年）-Xiuno资源-魔趣建站-我们共同的建站资源共享平台！

Xiuno BBS 4.0.1 正式版发布！（历时近两年） [复制链接]

moqu8 2018-2-1

3553 0

Xiuno BBS 4.0.1 更新记录（2018/1/27）：

修正查看我的回帖权限没有判断板块权限问题

修正 https_post() 在某些条件下发送 METHOD 为 GET

规范属性传参 pid="" tid="" 改为 data-pid="" data-tid=""

对 bootstrap.css 全局变量 :root{} 加入了 gray-100, gray-200...

修正一处 hook 名字笔误：header_meta_before.htm

增加了几处 hook（收藏插件需要）

补丁地址：https://bbs.xiuno.com/down/v4.0.0-v4.0.1-patch.zip

覆盖后，手工编辑 conf/conf.php 中的 'version' => '4.0.1'

---------------------------------------------------------------------------------------------

一、什么是 Xiuno BBS 4.0？

它是一款国产、小巧、稳定、支持在大数据量下仍然保持高负载能力的轻论坛。它只有 20 多个表，源代码压缩后 1M 左右，运行速度非常快，处理单次请求在 0.01 秒级别，在有 APC、Yac、XCache 的环境下可以跑到 0.00x 秒，对第三方类库依赖少，作者认为它就像一辆纯手工打造的法拉利，动力强劲，没有一丝赘肉，方便部署和维护，是一个非常好的二次开发的基石。

Xiuno BBS 4.0 采用 Bootstrap 4 + JQuery 3 作为前端类库，全面支持移动端浏览器；后端 XiunoPHP 4.0 支持了 NoSQL 的方式操作各种数据库，这个版本是一个巨大的飞跃。

Xiuno 发音“修罗”，英文为 Shura，在佛教里面为六道之一"修罗道"，处于人道和天道之间。

Xiuno BBS 4.0 采用 MIT 协议发布，您可以自由修改、派生版本、商用而不用担心任何法律风险（修改后应保留原来文件的版权信息）。

二、漫长的等待：近两年

让各位同修们久等了，这次延迟的锅主要应该由 Bootstrap 4 来背（果断甩锅老外），我们跟踪它的版本经历了： alpha 3,4,5,6, beta1,2,3一年多，等到后面以为出不来了，还好虽然正式版终于出来了，正好同步发布！

而 Xiuno BBS 也经历了 1,2,3,4 的蜕变，期间我们也做过了很多尝试，最终产品形态和代码风格定型为当前形态。

后端采用自己的框架 XiunoPHP，面向对象封装底层，屏蔽 DB CACHE API 差异，应用层采用函数风格调用。

最后它看起来像这样：

<?php



include "./xiunophp/xiunophp.min.php";

include "./model/user.func.php";



// 读取一个用户资料

$user = user_read(123);



// 更新一条用户资料

$r = user_update($uid, array('email'=>'xxx@gmail.com'));



// 删除一个用户

$r = user_delete($uid);



// 创建一个用户

$r = user_create(array('uid'=>1, 'gid'=>1, 'email'=>'xxx@gmail.com'));



// 查找一批用户

$userlist = user_find_by_gid($gid);



?>

没有 UserControl extends BaseControl 这样的继承，没有异常等高科技，回归本质，只是本本分分的写代码，让新人可以平滑的进入，而不像某些自称优美的框架，实际上学习成本高，远离了 PHP 简单高效的初衷。

因为后院的安定，使得我们可以把更多精力放到了产品的形态改造之上。

二、产品形态：轻论坛

在产品的形态方面，我们也摸索了很多种形式，最终我们定型为轻论坛，支持一维的板块，多维的主题分类（插件），自适应同时支持 PC 和手机，不搞全站无刷新。

最早我们针对手机和 PC 写了2套前端代码，发现后面维护相当的麻烦，一致性问题是个很严重的问题，随着时间的流失，当模板中的逻辑出现差异的时候，你不知道那边是对的。后来我们又针对宽屏尝试了三列布局，还有 AJAX 全站无刷新尝试...... 趟过了如此多的坑，最终我们发现 Bootstrap 4 给了我们最终的答案，响应式布局+跳转，平衡了用户体验和开发维护难度。（话说 Bootstrap 4 的 Flex 都应用都成熟了，Twitter 官方网站还一大坨 float style）

Xiuno BBS 4.0 正式版最后的 PC 界面：

手机版：

干净的标准的三段式 DOM 结构：

三、前端：Bootstrap 4 全球生态

我们遵照 Bootstrap 4 的 UI 规范，基本上没有写过 style，尽量用 class 搞定。另外 flex 布局的加入，确实方便了很多。比如页脚底部对齐，在语义不变的情况下很轻松就搞定了。Bootstrap 4 的全球生态链未来肯定也会惠及 Xiuno，这点是毋庸置疑的。比如插件的编写可以直接使用 BS 的现成的控件和引入基于 BS 开发的模块。

来看看 Bootstrap 带来了哪些方便的特性：

3.1 Flex 布局，.col 自适应宽度：

https://getbootstrap.com/docs/4.0/layout/grid/

3.2 标准化控件：

在使用 SCSS 后制作风格效率大大提高，例如红色模板，只花了大约十分钟时间：

此次同步发布了三套免费模板：

分别对应三种不同的风格制作方式，最简单的 css overwrite，到 SCSS 编译，详细的教程随后会出来，有经验的打开插件目录看下就懂了。另外理论上还有未来海量的 BS4 全球生态带来的各种组件和风格可用。

四、性能方面：一如既往的优秀

Xiuno 最早诞生就是为了解决负载问题，这个基因不会变，2.1 用力过猛，4.0 往回收了收，更多让位给了易读性和可维护性。性能和安全、复杂度是矛盾的，我们尽量降低业务、代码、数据库设计等多方面的复杂度。在表的设计上，非常注重索引和缓存的使用。这里面有一个平衡性问题，经过了反复调整，最后找到了一个比较完美的尺度。

比如，拿置顶帖这个功能来说，一般会这么设计表结构

CREATE TABLE bbs_thread(

fid int(10), 

tid int(10),

top tinyint(3),

KEY(fid, tid),

KEY(fid, top,tid)

);

查询的时候，一条SQL搞定：

SELECT * FROM bbs_thread WHERE fid=1 ORDER BY top DESC, tid DESC LIMIT 0, 10;

简单粗暴是不是？但是在数据量特别大，并发请求高的时候，这样就会有性能问题。假定数据量有 1000w，置顶帖子不超过10个，为了照顾这 10 个帖子，我们要对 1000w 主题进行排序，是不是太浪费？所以正确的做法是，小表。

CREATE TABLE bbs_thread_top(

fid int(10),

tid int(10),

top tinyint(3),

KEY (fid)

)

SELECT * FROM bbs_thread WHERE tid IN(SELECT tid FROM bbs_thread_top);

SELECT * FROM bbs_thread WHERE fid=123 ORDER BY tid DESC LIMIT 0, 10;

# PHP 合并两条结果

我们用一个小表来降低大表的负载，虽然业务逻辑会变的复杂一点，但是很好的照顾到了性能。

SQL 并不是写的越长水平越高，看到 DBA show SQL 语句，程序员如果也盲从就暴漏智商了，要明白你们不是一群生物，需求不一样。

像这样的设计原则和平衡，在 Xiuno 里随处可见。

另外我们坚持用 SELECT * 而不写长条字段，也是有原因的，因为我们可以在中间加入缓存。比如用户数据，我们按条去，按条缓存，在开启 memcached, yac 后，中间的这些 SQL 都消失了。

// 从缓存中读取，避免重复从数据库取数据，主要用来前端显示，可能有延迟。重要业务逻辑不要调用此函数，数据可能不准确，因为并没有清理缓存，针对 request 生命周期有效。

function user_read_cache($uid) {

global $conf, $g_static_users;

if(isset($g_static_users[$uid])) return $g_static_users[$uid]

// 游客

if($uid == 0) return user_guest()

if($conf['cache']['type'] != 'mysql') {

$r = cache_get("user-$uid");

if($r === NULL) {

$r = user_read($uid);

cache_set("user-$uid", $r);

}

} else {

$r = user_read($uid);

}

$g_static_users[$uid] = $r ? $r : user_guest()

return $g_static_users[$uid];

}

在 PHP 的性能方面，要注意的也很多，比如要尽量减少 IO 密集型和 CPU 密集型相关函数的使用，循环的深度和次数等等，有机会我会展开说。

五、安全方面：一如既往的安全

不用再担心被 Webshell，SQL 注射等这些问题困扰。Xiuno 在安全方面一直很注重，经过了多年的实战检验，作者经常接触安全圈，熟悉常见攻击手段，国内知名社区看雪安全论坛采用的就是 Xiuno BBS 4.0，目前还未出现过什么安全问题。Xiuno 的参数经过了严格的类型过滤，拼接 SQL 的相关函数也严格进行了转义，正常写是不会有什么安全问题的。

但是，安全问题是一个综合问题，框架层面只能保证最基础的，最终还是要靠安全意识来保障，比如弱密码，越权等问题，信息泄露，旁注等，谁也不敢说自己是百分之百安全，不能说你家防盗门结实就是安全的，窗户，通风管道，都有可能成为突破口。插件可能会成为一个软肋，不要随便安装第三方作者开发的插件，除非第三方作者有较好的安全意识，或者插件被官方认证过。

以下为参数过滤、数据库传参的范例代码：

<?php



include './xiunophp/xiunophp.min.php';



// 安全的参数获取方式：

$uid = param('uid', 0); // 整形类型，默认 0

$name = param('name', ''); // 默认为字符串，并且默认会做 XSS 过滤

$arr = param(array(0), 0); // 数组类型，元素为整形，默认 0

$word = param_word('word', 32); // 默认获取单词类型，长度 32

$s = param_base64('filedata', 1000000); // base64 类型的数据

$arr = param_json('arr'); // json 格式的数据



// 送入 db 层

db_create('user', array('uid'=>123, 'email'=>'xxx@gmail.com'));

db_update('user', array('uid'=>123), array('email'=>'yyy@gmail.com'));

db_delete('user', array('uid'=>123)); 



?>