PHP의 미래

[출처]
http://www.ibm.com/developerworks/kr/library/os-php-future/

PHP 6 버전에 대한 내용입니다.

새로운 PHP V6 기능

PHP V6는 현재 개발자 스냅샷으로 사용이 가능하다. 따라서 이 기사에서 언급하는 기능과 변경 사항 대다수를 내려받아 사용할 수 있다. 현재 스냅샷에서 제공하는 기능은 참고자료를 살펴본다.

유니코드 지원 개선

PHP V6는 많은 코어 함수에서 유니코드 문자열을 더 잘 지원한다. 따라서 PHP 응용 프로그램도 다국어 문자 집합을 더 잘 지원하게 되었다. 다국어 지원(i18n) 기능이 더 낫다는 이유로 자바(Java™) 등 다른 언어를 사용했다면 이번 기회에 개선된 PHP V6를 살펴보기 바란다.

PHP V6 개발자 버전은 지금이라도 당장 내려받아 사용할 수 있으므로 유니코드 문자열 지원 기능도 즉시 확인이 가능하다. 유니코드로 테스트하여 검증된 함수 목록은 참고자료를 살펴본다.

이름 공간

이 름 공간(namespace)은 메서드 이름과 클래스 이름에 난해한 접두어를 붙이지 않고도 함수 이름과 클래스 이름이 충돌하지 않도록 막아주는 방법이다. 이름 공간을 사용하면 다른 사람이 사용하는 클래스 이름을 사용해도 문제가 발생하지 않는다. Listing 1은 PHP에서 이름 공간을 사용하는 예다.

PHP V6로 판올림해도 현재 PHP 코드를 수정할 필요는 없다. 이름 공간을 정의하지 않았더라도 코드는 문제없이 돌아간다. 이름 공간 기능은 PHP V5.3로 역이식될 예정이므로, 역이식이 끝난 다음부터 여러분의 PHP 프로그램에서 이름 공간을 사용하면 되겠다.

Listing 1. 이름 공간 예

<?php // XMLWriter를 직접 구현해야 하는 이유는 확실하지 않지만, 최소한 PHP에서 // XMLWriter라는 이름은 충돌을 일으키지 않을 것이다. namespace NathanAGood; class XMLWriter { // 구현부 } $writer = new NathanAGood::XMLWriter(); ?>

웹 2.0 기능

PHP 를 사용하는 방식과 현재 PHP 스크립트 모양새에 따라 PHP V6에서 바뀐 언어와 구문 차이점이 현재 코드에 미치는 영향이 달라진다. 특히 다음에 소개하는 새 기능을 사용하면 PHP 프로그램에 웹 2.0 기능을 바로 넣을 수 있다.

SOAP

SOAP 은 웹 서비스끼리 “통신”하는 프로토콜 중 하나로, 자바와 마이크로소프트(Microsoft®) .NET 등 꽤 많은 언어에서 지원한다. SOAP 외에도 REST(Representational State Transfer) 등 웹 서비스를 사용하는 방법이 없지는 않으나, SOAP은 상호 운영성을 높이도록 다양한 플랫폼에 걸쳐 웹 서비스를 사용하는 일반적인 방법으로 자리 잡았다. 현재 PEAR(PHP Extension and Application Repository) 라이브러리는 SOAP 모듈을 제공하며 V5에서는 SOAP 확장 기능(SOAP extension to PHP)도 나왔다. 그러나 이 확장 기능은 기본적으로 비활성화되어 있으므로, 사용하려면 직접 활성화하거나 ISP에서 활성화해 주어야 한다. 또한 PEAR 패키지를 사용하면 SOAP 패키지 같은 SOAP 클라이언트와 서버를 작성할 수 있다.

V6에서는 SOAP 확장 기능이 기본적으로 활성화된다. 이 확장 기능을 사용하면 SOAP 클라이언트와 SOAP 서버를 구현하기 쉬워진다. 따라서 웹 서비스를 사용하고 제공하는 PHP 응용 프로그램을 작성하기도 쉬워진다.

SOAP 확장 기능이 기본적으로 활성화되어 있다면 PHP에서 별도로 구성할 필요가 없다는 뜻이다. 하지만 V6 환경에서 개발한 PHP 프로그램을 ISP에 게시할 때는 ISP의 판올림된 PHP 환경에서 SOAP 확장 기능이 활성화되어 있는지 ISP에 확인하는 편이 안전하다.

XML

PHP V5.1부터는 XMLReader와 XMLWriter가 PHP 코어에 포함되었다. 따라서 PHP 프로그램에서 XML을 다루기가 훨씬 더 수월해졌다. SOAL 확장 기능과 마찬가지로, SOAP이나 XML을 사용한다면 V4보다 XML 지원 기능이 훨씬 우수한 PHP V6를 반기리라 생각한다.

XMLWriter와 XMLReader는 스트림에 기반을 둔 객체 지향 클래스로, XML 구조를 일일이 신경쓰지 않고도 XML 문서를 간편하게 읽고 쓸 수 있다.

위로

없어진 내용

PHP V6에는 새로운 기능도 추가했지만 기존 버전에서 일부 함수와 기능을 없애기도 했다. 대다수는 register_globals나 safe_mode 등 현재 PHP에서 보안 허점을 노출할 가능성 때문에 "바람직하지 않다"고 여겼던 기능들이다. PHP를 정리하려는 노력의 일환으로 현재 버전에서 제거하였거나 더 이상 권장하지 않는 함수와 기능을 아래에 소개한다. ISP나 기업이 PHP V6로 판올림해버리면 기존 스크립트가 깨진다는 이유로 정리 작업을 반대하는 사람도 있지만, PHP 팀이 현재 버전의 허점을 메꾸고 좀 더 깔끔하고 안전한 기능을 제공한다는 이유로 이런 노력에 찬성하는 사람도 많다.

현재 PHP 버전에서 없어지는 기능은 다음과 같다.

• magic_quotes
• register_globals
• register_long_arrays
• safe_mode

magic_quotes

이식성, 성능, 편의성 등과 같은 이유로 PHP 문서에서는 magic_quotes 사용을 권장하지 않는다. 너무도 바람직하지 못한 탓에 PHP V6에서 몽땅 없애버렸을 정도다. 그러므로 PHP V6로 판올림하기 전에 코드에서 magic_quotes를 모두 없애기 바란다. 데이터베이스 호출 시 문자열을 이스케이프하려고 magic_quotes를 사용했다면 매개변수화된 질의로 대체하는 편이 바람직하다. 만약 데이터베이스가 매개변수화된 질의를 지원하지 않는다면 (MySQL에서는) mysql_escape_string 혹은 (PostgreSQL에서는) pg_escape_string 같은 이스케이프 함수를 사용한다. Listing 2는 magic_quotes를 사용하는 예다.

Listing 2. magic_quotes 사용(권장하지 않음)

<?php // magic_quotes를 켜놓았다고 가정한다. $sql = "INSERT INTO USERS (USERNAME) VALUES $_GET['username']"; ?>

Listing 3은 Listing 2 코드를 새로운 PHP V6에 맞게 수정한 코드다.

Listing 3. 매개변수화된 질의 사용(권장함)

<?php // MySQL에서 적절하게 매개변수화된 질의를 사용하는 예다. $statement = $dbh->prepare("INSERT INTO USERS (USERNAME) VALUES ?"); $statement->execute(array($_GET['username'])); ?>

magic_quotes를 더 이상 지원하지 않으므로 get_magic_quotes_gpc() 함수도 더 이상 지원하지 않는다. 일부 오래된 PHP 스크립트는 영향을 받을지도 모르므로, PHP 버전을 판올림하기 전에 이런 함수를 사용하는 곳을 찾아내어 코드를 적절히 수정하기 바란다.

register_globals

register_globals 구성 키는 PHP V4.2에서 이미 기본적으로 꺼짐 상태다. 당시로는 꽤나 논란이 되었던 문제였다. register_globals를 켜면 HTML 폼으로 값을 침투시킬 수 있는 변수를 사용하기가 쉬워진다. 그런데 PHP 스크립트는 반드시 변수를 초기화할 필요가 없으므로 register_globals를 사용하면 보안 허점이 생긴다. 자세한 내용은 참고자료에서 언급하는 register_globals 문서를 살펴본다. Listing 4는 register_globals를 사용하는 예제다.

Listing 4. register_globals 사용(권장하지 않음)

<?php // 보안 허점이 생긴 이유는 register_globals를 켜놓아서 user_authorized를 위한 // 변수가 사용자가 질의 문자열에 실어 보낸 값으로 설정될 가능성이 있기 때문이다. // (예: http://www.example.com/myscript-x.php?user_authorized=true) if ($user_authorized) { // 모든 사람에게 민감한 자료를 보여준다. } ?>

PHP에서 전역 변수를 사용한다면 수정하기 바란다. PHP V6로 판올림하지 않더라도 보안 문제를 고려해 코드를 정정하는 편이 바람직하다. Listing 5는 Listing 4를 수정한 코드다.

Listing 5. 구체적으로 지정(권장함)

<?php function is_authorized() { if (isset($_SESSION['user'])) { return true; } else { return false; } } $user_authorized = is_authorized(); ?>

register_long_arrays

register_long_arrays 설정을 켜면 사전 정의된 $HTTP_*_VARS 변수를 등록한다. 현재 $HTTP_*_VARS 변수를 사용한다면 짧은 변수로 고치기 바란다. 이 설정은 PHP 5에서 (역호환성 문제로) 지원하는데, PHP 개발자들은 성능을 이유로 끄라고 권장한다. Listing 6은 register_long_arrays를 사용하는 예다.

Listing 6. 등록된 배열 사용(권장하지 않음)

<?php // 질의 문자열에 주어진 사용자 값의 이름을 피드백을 위해 출력한다. // http://www.example.com/myscript-x.php?username=ngood echo "Welcome, $HTTP_GET_VARS['username']!"; ?>

PHP 코드가 Listing 6과 같다면 Listing 7로 수정한다. register_long_arrays 설정이 켜져 있다면 설정을 끈 다음 스크립트를 다시 테스트한다.

Listing 7. $_GET 사용(권장함)

<?php // $_GET 배열을 대신 사용한다. echo "Welcome, $_GET['username']!"; ?>

safe_mode

safe_mode 구성 키를 켜면 실행 중인 스크립트의 소유자와 스크립트가 작업을 수행하는 파일의 소유자를 일치시킨다. ISP가 흔히 사용하는 공유 서버 환경에서 보안 문제를 해결하려고 나온 방법이다. (safe_mode가 사라지면서 영향을 받게 되는 함수 목록은 참고자료를 살펴본다.) 기존 PHP 코드는 별다른 영향을 받지 않으리라 생각한다. 하지만 앞으로 PHP 코드를 작성할 때나 safe_mode를 사용할 때를 대비하여 알아두는 편이 좋다.

PHP 태그

PHP V6는 (PHP 태그보다 짧은) 마이크로소프트 ASP(Active Server Pages) 형식의 태그를 더 이상 지원하지 않는다. 즉, 이제 PHP 스크립트에서는 <%와 %>를 더 이상 사용하지 못한다. PHP 파일에서 <%와 %>를 사용하지 않는다면 큰 문제가 없다. 모두 <?php와 ?>로 교체하기 바란다.

FreeType 1과 GD 1

PHP 팀은 FreeType 1과 GD 1을 더 이상 지원하지 않을 계획이다. 둘 다 오래되었고 별다른 개발 노력이 없다는 이유에서다. 두 라이브러리 모두 기능이 더 나은 새 버전이 있다. FreeType 1과 GD 1에 대한 자세한 내용은 참고자료를 살펴본다.

ereg

PHP V6부터는 (POSIX 정규식을 지원하는) ereg 확장 기능도 지원 목록에서 사라진다. 따라서 POSIX regex 함수를 사용하는 코드는 ereg 기능을 포함하면 영향을 받는다. 현재 POSIX regex를 사용한다면 시간을 투자해 PCRE(Perl-Compatible Regular Expression) 함수로 바꾸라고 권장한다. PCRE 함수가 성능 면에서나 기능 면에서 더 낫다. 표 1은 ereg를 제거한 후부터 사용하지 못할 POSIX regex 기능이다. 상응하는 PREC 함수는 아래와 같다.

표 1. ereg() 함수와 상응하는 PCRE 함수

ereg() 함수	상응하는 preg() 함수
ereg(), eregi()	preg_match()
ereg_replace(), ereg_replacei()	preg_replace()