Laravel 新项目避坑指南10 大基础设置让代码半年不崩
有没有遇到过这种 Laravel 项目:刚上线那会儿干干净净,过三个月就变成无法收拾的灾难?Controller 动不动就 500 多行、慢得要命的数据库查询随处可见,甚至有人把 .env 推上 GitHub,所有密钥一夜之间全线暴露。
别以为只有你栽过这种坑。来自开发者论坛和 Stack Overflow 的统计显示:Laravel 应用里的性能问题有 70% 可以在一开始就避免,接近 50% 的安全事故也都是初始配置不到位造成的。
原文链接 Laravel 新项目避坑指南:10 大基础设置让代码半年不崩
别只会复制 .env——先搞懂它!
常见问题
很多新手只会把 .env.example 复制成 .env,填上数据库账号就直接 php artisan serve。问题是,这个文件里藏着许多直接影响线上环境的配置,稍不留神就会出事。
真实案例:有开发者上线后忘了把 APP_DEBUG=true 改成 false,结果所有错误信息包括 SQL 查询、文件路径、敏感数据全都暴露,黑客看到简直像打开盲盒。
正确做法
# 线上环境一定要设成 false!
APP_DEBUG=false
APP_ENV=production# 生成独一无二的 key,别用默认值
APP_KEY=base64:xxxxx# 线上别写 127.0.0.1
APP_URL=https://yourdomain.com# 数据库凭据千万别提交到 Git!
DB_CONNECTION=mysql
DB_HOST=127.0.0.1
DB_PORT=3306
DB_DATABASE=your_database_name
DB_USERNAME=database_user
DB_PASSWORD=strong_password_please# 会话与缓存驱动
SESSION_DRIVER=redis
CACHE_DRIVER=redis
QUEUE_CONNECTION=redis
实用提醒
- 生成强随机 APP_KEY:每个新项目都要跑一遍
php artisan key:generate,它可是用来加密 Session 等敏感数据的。 - 维护完整的
.env.example:把所有必须的变量都列出来,但不要写真实值,方便团队协作。 - 确认
.env没进 Git:默认.gitignore会忽略它,但还是要确认。如果不小心提交了,赶紧这么做:
git rm --cached .env
git commit -m "Remove .env from version control"
从第一天就定下命名规范
常见问题
// 糊里糊涂的 Controller
class Users extends Controller {public function GetUserData() {$All_Users = User::all();return view('user-list', ['data' => $All_Users]);}
}// 奇怪的 migration
Schema::create('User', function (Blueprint $table) {$table->id();$table->string('UserName');$table->string('user-email');
});
如果有新人接手这种代码,第一反应肯定是“这是边吃饭边写的吧?”。
正确做法
Laravel 社区已经约定俗成了一套命名规范,照着走就省事。
模型
// ✅ 使用单数、PascalCase
class Article extends Model {// hasMany 关系 → 复数public function comments() {return $this->hasMany(Comment::class);}// belongsTo 关系 → 单数public function author() {return $this->belongsTo(User::class);}
}// ❌ 错误示范
class Articles extends Model { }
class article extends Model { }
控制器
// ✅ 单数、PascalCase,并以 Controller 结尾
class ArticleController extends Controller {// 方法用 camelCasepublic function showLatest() {// 变量也用 camelCase$latestArticles = Article::latest()->take(5)->get();return view('articles.latest', ['articles' => $latestArticles]);}
}// ❌ 错误示范
class ArticlesController { } // 复数
class articleController { } // 小写开头
class Article_Controller { } // 下划线
迁移和数据库
// ✅ 复数、snake_case
Schema::create('blog_posts', function (Blueprint $table) {$table->id();$table->string('post_title');$table->text('post_content');$table->foreignId('category_id')->constrained('categories')->onDelete('cascade');$table->timestamps();
});// ❌ 单数或 PascalCase
Schema::create('BlogPost', function (Blueprint $table) {$table->string('PostTitle');
});
路由
// ✅ 复数、kebab-case
Route::get('/blog-posts', [BlogPostController::class, 'index'])->name('blog-posts.index');// ❌ 错误示范
Route::get('/BlogPosts', [BlogPostController::class, 'index']);
Route::get('/blog_posts', [BlogPostController::class, 'index']);
为什么要这么做?
想象你和 5 个开发一起合作,每个人有一套命名习惯,整个代码库就像水果捞一样乱七八糟。统一命名带来的好处:
- 新人上手快,不用猜。
- 排查 Bug 更轻松,一眼就知道谁是模型谁是控制器。
- IDE 自动补全更精准,PHPStorm、VS Code 都会更懂你。
外键约束必须上,别全靠代码兜底!
常见问题
// ❌ 敷衍的建表
Schema::create('posts', function (Blueprint $table) {$table->id();$table->unsignedBigInteger('user_id'); // 只是普通字段$table->string('title');$table->timestamps();
});
看起来没毛病?等等,这里有三个隐患:
- 孤儿数据:用户删了,帖子还在,
$post->user直接报错Trying to get property of null。 - 数据不一致:别人可以插入不存在的
user_id,数据库全是垃圾数据。 - 调试噩梦:出问题时只能一个一个查数据。
有人说“我们可以靠 Laravel Observer 或 Events 处理逻辑”。确实,但这不是 100% 保险:
- 原生 SQL 会绕过 Eloquent。
- 批量导入直接写数据库。
- 任何一个忘记触发事件的 Bug。
数据照样会烂掉。
正确做法
// ✅ 建表时加外键约束
Schema::create('posts', function (Blueprint $table) {$table->id();$table->foreignId('user_id')->constrained('users')->onDelete('cascade'); // 也可以是 restrict、set null 等$table->string('title');$table->text('content');$table->timestamps();
});// 更复杂的关系
Schema::create('comments', function (Blueprint $table) {$table->id();$table->foreignId('post_id')->constrained() // 自动推断 posts 表->onDelete('cascade');$table->foreignId('user_id')->constrained()->onDelete('restrict'); // 有评论的用户禁止删除$table->text('comment_body');$table->timestamps();
});
你需要理解的选项
// 1. CASCADE - 删除父记录时一起删
->onDelete('cascade')// 2. RESTRICT - 阻止删除父记录
->onDelete('restrict')// 3. SET NULL - 设置为 NULL(记得列要 nullable)
->onDelete('set null')
->nullable()// 4. NO ACTION - MySQL 默认行为
->onDelete('no action')
什么时候可以不加?
- 分片数据库:比如 PlanetScale 不支持外键。
- 一人维护的小项目:你能保证数据一致性。
- 极端性能场景:外键会增加一点点开销(其实很少见)。
对 99% 的项目来说,加外键一定是最佳选择。
起步就躲开 N+1 查询
常见问题
这是 Laravel 性能问题 Top 1。最危险的是,你上线前根本察觉不到。
// ❌ 典型的 N+1 查询
public function showAllPosts() {$posts = Post::all();return view('posts.index', compact('posts'));
}{{-- Blade 视图 --}}
@foreach($posts as $post)<div class="post"><h2>{{ $post->title }}</h2><p>By: {{ $post->user->name }}</p> <!-- 危险! --><p>{{ $post->comments->count() }} comments</p> <!-- 也危险! --></div>
@endforeach
如果有 100 篇帖子?
- 1 次取 posts。
- 100 次取用户。
- 100 次统计 comments。
总共 201 条查询,服务器直接崩溃。
正确做法
// ✅ 预加载
public function showAllPosts() {$posts = Post::with(['user', 'comments'])->latest()->get();return view('posts.index', compact('posts'));
}// ✅ 只需要数量时用 withCount
public function showAllPosts() {$posts = Post::with('user')->withCount('comments')->latest()->get();return view('posts.index', compact('posts'));
}
只需要 3 条查询,性能翻倍都不止。
从第一天就装 Laravel Debugbar
在开发环境安装它:
composer require barryvdh/laravel-debugbar --dev
Debugbar 会实时显示:
- 当前页面跑了多少条查询。
- 每条查询耗时。
- 是否有重复查询。
黄金法则:单页查询超过 20 条就要警觉。
小技巧:Lazy Eager Loading
// 即使你已经拿到了 $posts
$posts = Post::all();// 仍然可以临时加载关联
$posts->load(['user', 'comments']);
建 Service 层,别把所有逻辑塞进 Controller!
常见问题
// ❌ 典型的胖 Controller
class OrderController extends Controller
{public function checkout(Request $request) {$validated = $request->validate(['items' => 'required|array','payment_method' => 'required|string','shipping_address' => 'required|string']);DB::beginTransaction();try {// 50 行计算逻辑$total = 0;foreach ($validated['items'] as $item) {$product = Product::find($item['id']);$total += $product->price * $item['quantity'];$product->stock -= $item['quantity'];$product->save();}// 30 行支付逻辑if ($validated['payment_method'] === 'credit_card') {// 处理信用卡} elseif ($validated['payment_method'] === 'bank_transfer') {// 处理银行转账}// 40 行物流逻辑$shippingCost = $this->calculateShipping(...);// 20 行创建订单逻辑$order = Order::create([...]);// 15 行发邮件逻辑Mail::to($user)->send(new OrderConfirmation($order));// 10 行发通知逻辑DB::commit();return redirect()->route('orders.success');} catch (\Exception $e) {DB::rollback();return back()->withErrors('Order failed');}}
}
这种 Controller 动辄 150+ 行,维护成本爆炸,逻辑也没法复用。
正确做法:拆到 Service 层
// ✅ 精简后的 Controller
class OrderController extends Controller
{public function __construct(private OrderService $orderService) {}public function checkout(CheckoutRequest $request) {try {$order = $this->orderService->processCheckout($request->validated());return redirect()->route('orders.success', $order->id)->with('success', '订单处理成功!');} catch (InsufficientStockException $e) {return back()->withErrors('商品库存不足');} catch (PaymentFailedException $e) {return back()->withErrors('支付失败');}}
}
看到了吗?Controller 只做它该做的:接请求、调用服务、给出响应。
// app/Services/OrderService.php
class OrderService
{public function __construct(private CartService $cartService,private PaymentService $paymentService,private ShippingService $shippingService,private NotificationService $notificationService) {}public function processCheckout(array $data): Order {return DB::transaction(function () use ($data) {// 校验库存$this->cartService->validateStock($data['items']);// 计算总价$orderTotal = $this->cartService->calculateTotal($data['items']);// 计算运费$shippingCost = $this->shippingService->calculate($data['shipping_address']);// 处理支付$payment = $this->paymentService->charge($data['payment_method'],$orderTotal + $shippingCost);// 创建订单$order = $this->createOrder($data, $payment);// 减库存$this->cartService->reduceStock($data['items']);// 发通知$this->notificationService->sendOrderConfirmation($order);return $order;});}private function createOrder(array $data, Payment $payment): Order {// 专注处理创建订单的细节return Order::create(['user_id' => auth()->id(),'payment_id' => $payment->id,'total_amount' => $payment->amount,'status' => OrderStatus::PENDING,// ... 其他字段]);}
}
推荐目录结构
app/
├── Http/
│ ├── Controllers/
│ │ └── OrderController.php
│ └── Requests/
│ └── CheckoutRequest.php
├── Services/
│ ├── OrderService.php
│ ├── CartService.php
│ ├── PaymentService.php
│ └── ShippingService.php
├── Models/
│ ├── Order.php
│ ├── Product.php
│ └── Payment.php
└── Exceptions/├── InsufficientStockException.php└── PaymentFailedException.php
好处一箩筐
- 可测试性:每个 Service 都能单独写测试。
- 可复用:逻辑可以给 API、命令、队列复用。
- 可维护:Bug 和新需求都能快速定位。
- 团队协作:大家分模块开发,冲突更少。
请求验证交给 Form Request,别堆在 Controller!
常见问题
// ❌ Controller 里塞满验证
public function store(Request $request)
{$validated = $request->validate(['title' => 'required|max:255|unique:posts','slug' => 'required|unique:posts','content' => 'required|min:100','category_id' => 'required|exists:categories,id','tags' => 'required|array','tags.*' => 'exists:tags,id','featured_image' => 'required|image|max:2048','meta_title' => 'required|max:60','meta_description' => 'required|max:160',// ... 还有一堆]);// 后面才是创建逻辑
}
问题在于:
- Controller 变得臃肿。
- 验证规则无法复用。
- 自定义提示语很难管理。
- 复杂逻辑不好写。
正确做法:使用 Form Request
php artisan make:request StorePostRequest
// app/Http/Requests/StorePostRequest.php
class StorePostRequest extends FormRequest
{public function authorize(): bool{// 判断当前用户是否能创建文章return auth()->user()->can('create-post');}public function rules(): array{return [ 'title' => ['required', 'max:255', 'unique:posts,title'],'slug' => ['required', 'unique:posts,slug', 'regex:/^[a-z0-9-]+$/'],'content' => 'required|min:100','category_id' => 'required|exists:categories,id','tags' => 'required|array|min:1|max:5','tags.*' => 'exists:tags,id','featured_image' => 'required|image|mimes:jpg,png,webp|max:2048','meta_title' => 'nullable|max:60','meta_description' => 'nullable|max:160','publish_at' => 'nullable|date|after:now',];}public function messages(): array{return ['title.required' => '文章标题是必填项!','title.unique' => '标题已存在,换个更有创意的吧!','slug.regex' => 'Slug 只能包含小写字母、数字和连字符','tags.min' => '至少选择 1 个标签方便分类','tags.max' => '最多 5 个标签,别太贪心!','featured_image.max' => '图片太大了,最大 2MB',];}public function attributes(): array{return [ 'category_id' => '分类', 'featured_image' => '封面图', 'publish_at' => '发布时间', ];}// 自定义验证逻辑protected function prepareForValidation(): void{// 自动根据标题生成 slugif (!$this->slug) {$this->merge(['slug' => Str::slug($this->title)]);}}
}
// Controller 变得超级干净!
class PostController extends Controller
{public function store(StorePostRequest $request) {// 数据自动验证、自动授权$post = Post::create($request->validated());// 关联标签$post->tags()->attach($request->tags);return redirect()->route('posts.show', $post)->with('success', '文章发布成功!');}
}
.gitignore 要写完整
常见问题
总有人把不该进仓库的文件提交进去:
# ❌ 常见事故
.env # 数据库密码全暴露!
/vendor # 100MB+ 的依赖
node_modules/ # 几千个文件
.DS_Store # macOS 垃圾文件
Thumbs.db # Windows 垃圾文件
*.log # 巨大的日志
/storage/*.key # SSL 密钥
真实事件:有个创业团队把 .env 推上了 GitHub,公开仓库 2 小时内服务器就被人拿去挖矿,AWS 账单直接涨到 15,000 美元。
完整的 .gitignore 参考
# Laravel
/node_modules
/public/hot
/public/storage
/storage/*.key
/vendor# 环境文件
.env
.env.backup
.env.production
.env.testing
.env.*.php
.phpunit.result.cache# IDE & 编辑器
.idea/
.vscode/
*.sublime-project
*.sublime-workspace
.phpstorm.meta.php
_ide_helper.php
_ide_helper_models.php# 操作系统
.DS_Store
.DS_Store?
._*
.Spotlight-V100
.Trashes
ehthumbs.db
Thumbs.db
desktop.ini# 日志 & 数据库
*.log
*.sql
*.sqlite
*.sqlite-journal# 构建产物
/public/build
/public/mix-manifest.json
/public/js/app.js
/public/css/app.css
npm-debug.log
yarn-error.log# 部署
.deploy/
.rocketeer/# 测试
/coverage
/phpunit.xml# 安全 & 密钥
*.pem
*.key
.cert
如果 .env 已经被提交
别慌,但动作要快:
# 1. 从 Git 历史里移除
git rm --cached .env# 2. 提交变更
git commit -m "Remove .env from version control"# 3. 推上远端
git push origin main# 4. 重点!所有泄露的密钥都要立刻更换
# - 改数据库密码
# - 重生成 API Key
# - 轮换所有密钥
如果仓库是公开的,密钥在 Git 历史里就算曝光了,爬虫早晚会找到。
制定清晰的日志策略
常见问题
不少人靠 dd()、var_dump() 调试,线上出错却没任何记录;反过来也有人把所有东西都往日志里塞,结果 log 文件动辄几个 G。
// ❌ 粗糙的日志
public function processPayment($orderId)
{try {// 处理支付echo "Processing order: " . $orderId; // 不专业var_dump($paymentData); // 生产环境危险// 支付逻辑} catch (\Exception $e) {// 错误直接消失return false;}
}
正确做法
// app/Services/PaymentService.php
use Illuminate\Support\Facades\Log;class PaymentService
{public function processPayment(Order $order): bool {Log::info('开始处理支付', ['order_id' => $order->id,'amount' => $order->total,'user_id' => $order->user_id,'timestamp' => now()]);try {$payment = $this->chargeCustomer($order);Log::info('支付成功', ['order_id' => $order->id,'payment_id' => $payment->id,'gateway' => $payment->gateway]);return true;} catch (PaymentGatewayException $e) {Log::error('支付网关失败', ['order_id' => $order->id,'error' => $e->getMessage(),'gateway' => $e->getGateway(),'trace' => $e->getTraceAsString()]);throw $e;} catch (\Exception $e) {Log::critical('支付发生未知异常', ['order_id' => $order->id,'error' => $e->getMessage(),'file' => $e->getFile(),'line' => $e->getLine()]);throw $e;}}
}
在 config/logging.php 里配置多通道
'channels' => ['stack' => ['driver' => 'stack','channels' => ['daily', 'slack'],'ignore_exceptions' => false,],'daily' => ['driver' => 'daily','path' => storage_path('logs/laravel.log'),'level' => env('LOG_LEVEL', 'debug'),'days' => 14, // 14 天自动清理],'payment' => ['driver' => 'daily','path' => storage_path('logs/payment.log'),'level' => 'info','days' => 90, // 支付日志保留 3 个月],'security' => ['driver' => 'daily','path' => storage_path('logs/security.log'),'level' => 'warning','days' => 365, // 安全日志留一年],'slack' => ['driver' => 'slack','url' => env('LOG_SLACK_WEBHOOK_URL'),'username' => 'Laravel Log','emoji' => ':boom:','level' => 'critical', // 只有严重问题才打到 Slack],
],
别等出 Bug 再想起测试
常见问题
“测试?项目跑起来再说吧……”
这通常意味着:
- Bug 是线上用户帮你发现的。
- 每次发版都提心吊胆。
- 修一个 Bug 引入三个新 Bug。
- 团队信心值直接跌到负数。
搭好测试环境
# 安装 Pest(更现代的测试框架)
composer require pestphp/pest --dev --with-all-dependencies
php artisan pest:install# 或者坚持用 PHPUnit
dcomposer require phpunit/phpunit --dev
.env.testing 示例:
APP_ENV=testing
APP_KEY=base64:testing-key-here
DB_CONNECTION=sqlite
DB_DATABASE=:memory:
CACHE_DRIVER=array
SESSION_DRIVER=array
QUEUE_CONNECTION=sync
MAIL_MAILER=array
写点像样的测试
// tests/Feature/OrderTest.php
<?phpuse App\Models\User;
use App\Models\Product;
use App\Models\Order;test('用户可以在库存充足时创建订单', function () {// Arrange$user = User::factory()->create();$product = Product::factory()->create(['price' => 100000,'stock' => 10]);// Act$response = $this->actingAs($user)->post('/orders', ['product_id' => $product->id,'quantity' => 2]);// Assert$response->assertStatus(201);$response->assertJsonStructure(['order_id','total_amount','status']);$this->assertDatabaseHas('orders', ['user_id' => $user->id,'total_amount' => 200000]);// 库存减少expect($product->fresh()->stock)->toBe(8);
});test('库存为 0 时无法下单', function () {$user = User::factory()->create();$product = Product::factory()->create(['stock' => 0]);$response = $this->actingAs($user)->post('/orders', ['product_id' => $product->id,'quantity' => 1]);$response->assertStatus(422);$response->assertJsonValidationErrors(['product_id']);
});test('未登录用户无法下单', function () {$product = Product::factory()->create();$response = $this->post('/orders', ['product_id' => $product->id,'quantity' => 1]);$response->assertStatus(401);
});
常用测试命令
# 跑全部测试
php artisan test# Pest 可执行文件
./vendor/bin/pest# 跑指定测试
php artisan test --filter OrderTest# 生成覆盖率
php artisan test --coverage
用 Vite 管理前端资源
Laravel 9+ 默认的 Vite 设置
如果项目里还没有,先安装依赖:
npm install
vite.config.js:
import { defineConfig } from 'vite';
import laravel from 'laravel-vite-plugin';export default defineConfig({plugins: [laravel({input: ['resources/css/app.css','resources/js/app.js',],refresh: true,}),],server: {host: '0.0.0.0',hmr: {host: 'localhost',},},
});
Blade 模板里引入:
<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><meta name="viewport" content="width=device-width, initial-scale=1"><title>{{ config('app.name') }}</title>{{-- ✅ 就这句最简单 --}}@vite(['resources/css/app.css', 'resources/js/app.js'])
</head>
<body><!-- Content -->
</body>
</html>
必备命令
# 开发调试(热更新)
npm run dev# 构建生产包(压缩优化)
npm run build# 预览生产包
npm run preview
总结:最好的投资,就是起步时的扎实准备
项目初期多花点时间打基础,看似慢,其实能省掉后面一堆返工。
好代码不是一次成型,而是不断打磨出来的。没人一上来就完美无缺,真正重要的是:
- 先把地基打牢:项目初始设置要到位。
- 持续迭代:定期重构、优化。
- 从错误里学习:每个 Bug 都是提醒。
- 保持更新:框架一直在进化。
现在就打开你的 Laravel 项目,逐条打勾看看这 10 项设置落实了多少。如果还一项没做,先从最关键的两个开始:外键约束 和 Service 层架构。
