PHP高级工程师面试题及答案.docx

PHP高级工程师面试题及答案

一、核心原理与底层相关

问题：PHP-FPM的进程管理模式有哪几种？实际配置时怎么选？需要注意哪些参数坑？

答案：

主要三种模式：static（静态）、dynamic（动态）、ondemand（按需）。

选法：高并发且流量稳定的服务（比如电商详情页）用static，避免动态进程频繁创建销毁的开销；流量波动大（比如后台管理系统）用dynamic，省内存；低流量服务（比如内部工具）用ondemand，彻底避免闲置进程占用资源。

坑点：配置pm.max_children时，不能盲目设大——要按服务器内存算（比如单PHP进程占20M，8G内存最多设300左右，留2G给系统和数据库），设太大会导致内存溢出；dynamic模式下pm.start_servers别太小（比如低于5），否则流量突增时进程创建不及时会丢请求。

问题：PHP的垃圾回收（GC）机制是怎样的？实际项目中遇到过“内存泄漏”吗？怎么排查的？

答案：

PHP用“引用计数+循环引用收集”：每个变量有引用计数，计数归0时释放；但循环引用（比如两个对象互相引用）会导致计数无法归0，这时GC会定期扫描“根缓冲区”，标记并清理这类垃圾。

遇过内存泄漏：之前做数据导出时，循环读取10万条数据，每次循环创建的数组没及时unset，导致内存持续上涨直到超时。

排查：用memory_get_usage()在关键节点打印内存变化，定位到泄漏代码；也可以用Xdebug的内存分析工具，生成内存快照看哪些变量没释放；生产环境用ps-aux|grepphp看单个FPM进程内存，若持续增长不下降，基本是泄漏。

二、性能优化实战

问题：项目中怎么优化PHP接口的响应速度？从“代码-缓存-服务器”三个层面说具体方案。

答案：

代码层：避免循环里查数据库（比如foreach里调ORM查详情，改成用whereIn批量查）；减少不必要的对象创建（比如工具类用静态方法，避免每次new）；EloquentORM优化——用select()只查需要的字段，with()预加载关联（解决N+1问题）。

缓存层：热点数据（比如首页Banner、商品分类）用Redis缓存，设置合理过期时间；高频读取低频更新的接口（比如用户个人信息）加本地缓存（比如Yac、APC，比Redis少一次网络请求）；缓存要防穿透（空值缓存5分钟）、防雪崩（过期时间加随机值，比如10±2分钟）。

服务器层：PHP-FPM开启opcache（必须开，能提升30%+性能），配置opcache.memory_consumption（比如128M）；静态资源（图片、JS）用CDN；数据库慢查询优化（加索引、改SQL），必要时用读写分离。

问题：PHP处理大文件（比如100MExcel）时，怎么避免内存溢出和超时？

答案：

核心思路是“分块处理”，别一次性读整个文件。

用PHP的流式读取：比如fopen()打开文件，fgets()逐行读（适合文本文件），或用SplFileObject类的fread()按固定字节数（比如1024*1024，1M）读；

Excel处理：别用PHPExcel（会把整个文件读进内存），改用PhpOffice/PhpSpreadsheet的“只读模式”（IOFactory::createReader(Xlsx)-setReadDataOnly(true)），或者更轻量的box/spout，支持流式读取；

超时处理：要么在代码开头设set_time_limit(0)（适合CLI脚本），要么用队列（比如RabbitMQ）异步处理，前端轮询结果；

内存控制：每处理完一块数据，及时unset变量，用gc_collect_cycles()手动触发GC。

三、安全防护

问题：项目中怎么防御XSS攻击？别只说“转义”，要讲具体场景和方案。

答案：

XSS分存储型（比如评论、用户资料）和反射型（比如URL参数），防御要分场景：

输出转义：HTML场景用htmlspecialchars($str,ENT_QUOTES|ENT_HTML5)（别漏了ENT_QUOTES，否则单引号会被绕过）；JS场景用json_encode()（比手动转义靠谱）；

输入过滤：不是所有输入都要转义，比如用户昵称允许部分表情，但要过滤script、onclick这类危险标签/属性，可用HTMLPurifier库（比自己写正则靠谱）；

HTTP头防护：加Content-Security-Policy（CSP）头，比如header(Cont