app目录是业务模块容器而非代码垃圾桶,应严格分离mvc类与工具类;config目录须用.env实现环境隔离;public是唯一web入口;runtime需按子目录精准清理。
app 目录是应用逻辑的主战场,不是放“所有代码”的垃圾桶
ThinkPHP 的 app 目录默认承载 MVC 结构,但实际项目中它更接近「业务模块容器」。控制器、模型、中间件、事件、命令等都默认从这里加载,但不意味着要把所有类一股脑塞进去。
常见错误是把第三方 SDK、工具类、数据迁移脚本也扔进 app,结果导致自动加载变慢、composer dump-autoload 失败、IDE 跳转混乱。
-
app/controller/:只放继承think\Controller的类,路由映射依赖此路径结构;若用多应用模式,子目录名就是应用名(如app/admin/controller/) -
app/model/:仅放继承think\Model的模型类;注意命名需与数据表名匹配(或通过$table显式指定),否则find()/select()会查错表 -
app/middleware/:中间件类必须实现think\Middleware接口,且注册到app/middleware.php才生效;漏写注册会导致中间件完全不执行 - 自定义服务类、工具类建议放在
app/common/或独立命名空间下(如app/service/),并在composer.json中配置 autoload PSR-4 映射
config 目录里别硬编码数据库密码,环境隔离靠 .env 不靠 if
很多人在 config/database.php 里直接写死 'password' => '123456',然后靠 if (APP_ENV === 'prod') 切换配置——这既不安全也不可维护。
ThinkPHP 5.1+ 默认启用 .env 支持,优先级高于 PHP 配置文件。真实部署时,.env 文件不该进 Git,而 config/database.php 应该只做兜底和结构定义。
立即学习“PHP免费学习笔记(深入)”;
-
.env中写DB_PASSWORD=your_real_pass,PHP 配置里用env('DB_PASSWORD')读取 - 不要在
config/下的 PHP 文件中调用$_SERVER或getenv()—— ThinkPHP 的env()函数已封装好加载逻辑和缓存 - 如果改了
.env但配置没更新,先清空runtime/config/缓存目录,否则旧值仍生效 -
config/app.php中的debug值受.env的APP_DEBUG控制,手动设为true在生产环境可能泄露路径和 SQL
public 目录是唯一 Web 入口,其他目录不能被 HTTP 直接访问
public 是整个应用对外暴露的根目录,index.php 是唯一合法入口。如果把 app 或 config 放到 Web 可访问路径下,攻击者可能直接下载配置文件或触发未过滤的类自动加载。
典型错误包括:用宝塔/Nginx 时把网站根目录设成项目根(即包含 app、config 的那一层),或者本地开发时用 PHP 内置服务器启动错路径(如 php -S localhost:8000 而不是 php -S localhost:8000 -t public/)。
- Nginx 配置中
root必须指向public目录,不是项目根目录 - Apache 需开启
mod_rewrite,且.htaccess在public/下才起作用;若放错位置,URL 路由全部 404 - 静态资源(CSS/JS)应放在
public/static/,不要放进app/;模板里引用用__STATIC__/xxx.js,而不是相对路径 - 上传文件默认存到
public/uploads/,确保该目录有写权限,且 Nginx/Apache 不允许执行其中的 PHP 文件(加location ~ \.php$ { deny all; })
runtime 目录不是“随便清”,缓存类型决定清理方式
runtime 是 ThinkPHP 运行时生成缓存、日志、模板编译文件的地方。直接 rm -rf runtime/ 看似干净,但可能导致模板报错、日志丢失、路由缓存失效甚至服务假死。
真正需要清理的是特定子目录,而非整个 runtime。尤其要注意 runtime/cache/ 和 runtime/log/ 的行为差异。
-
runtime/cache/:存放路由、配置、语言包等系统缓存;清空后首次访问会重建,无功能影响 -
runtime/log/:日志文件按天分割(如20240501.log),直接删会丢失历史记录;建议用日志轮转配置(log.max_files)或定时脚本归档 -
runtime/template/:存放 Twig/ThinkTemplate 编译后的 PHP 文件;若模板语法改了但页面没更新,清空这个目录即可,不用动整个runtime - 线上环境禁止设置
'app_debug' => true,否则runtime/log/会疯狂写入调试信息,撑爆磁盘
最常被忽略的一点:修改了 app/middleware.php 或新增中间件类后,如果不清 runtime/cache/,中间件注册可能不生效——因为路由和中间件映射关系是缓存在这里的。
