最近在Greg Beaver's的blog上發表的一篇新文章 comparing strings in PHP with the == operator 中提及了PHP的 == 運算子在對字串進行比較時值得注意的問題。
在某些情況下,PHP會把類數值資料(如含有數位字串等)轉換成數值處理,== 運算子就是其中之一。在使用 == 運算子對兩個字串進行鬆散比較時,PHP會把類數值的字串轉換為數值進行比較,下面的實驗證實了這個結論:
var_dump('01' == 1);
?>
以上代碼輸出結果為:
bool(true)
所以,在使用對字串進行比較時,建議使用 === 運算子對字串進行嚴格的檢查,或使用strcmp()等函數,從而避免可能產生的問題。PHP手冊中的《PHP 類型比較表》對此也有詳細說明。
除此之外,常用的in_array()函數也存在弱類型的問題,見如下代碼:
var_dump(in_array('01', array('1')));
?>
以上代碼輸出結果為:
bool(true)
相信用過該函數進行安全性檢查的PHP編程人員都知道這會產生怎麼樣的安全問題了吧?幸好in_array()函數為我們提供了第三個參數,把它設為 true 就可以開啟in_array()函數的強制類型檢查機制,如下代碼所示:
var_dump(in_array('01', array('1'), true));
?>
輸出結果為:
bool(false)
由於PHP是一種弱類型的語言,也就是說資料類型這個概念在PHP中被弱化。因而如果在編程時過分忽略資料類型(也是大部份PHP程式員的通病),會產生一些問題,甚至導致安全性漏洞。最後,還是那句說得很煩很煩的話,對外來資料進行嚴格檢查和過濾。
http://www.bkjia.com/PHPjc/317213.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/317213.htmlTechArticle最近在Greg Beaver's的blog上發表的一篇新文章 comparing strings in PHP with the == operator 中提及了PHP的 == 運算子在對字串進行比較時值得注意的問題...
