PHP 中的一些 “陷阱”

发布时间:2019-08-07 发布网站:脚本宝典
脚本宝典收集整理的这篇文章主要介绍了PHP 中的一些 “陷阱”脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。

在做开发的时候,有可能会忘记掉一些技细节。这些细节有可能会造成很严重的后果,比如网站被注入、网站崩溃等等。现在我们总结一下,有可能会遇到的一些 PHP 中的一些 “陷阱”。

陷阱一:empty()

<?php
//以下代码会直接导致PHP解析错误

$arr1 = [1, 2, 3];
$arr2 = [3, 4];

if(empty(array_diff($arr1, $arr2))) { //解析错误

    echo 'empty';

} else  {

    echo 'not empty';

}

最新的官网手册对此有特别说明:

Note:
在 PHP 5.5 之前,empty() 仅支持变量;任何其他东西将会导致一个解析错误。
换言之,下列代码不会生效empty(trim($name))。 作为替代,应该使用trim($name) == false.

我最近一次遇到该错误,是使用 Phalcon 开发的时候,服务器一直报 503 错误,刚开始觉得莫名其妙,通过逐行排除,才发生由于 empty 的错误用法导致的。当然,自从 php 5.5 开始,empty 已经支持这种写法了。

陷阱二:in_array()

<?php

//判断数组里是否存在用户所提交的用户 ID

//$post_dirty_id = '1092';
$post_dirty_id = '1092 ORDER BY #1';

$safe_arr = [
    987 => '小明',
    1092 => '汤姆',
    1256 => '奥立升'
];

if(in_array($post_dirty_id, array_keys($safe_arr))) {

    echo 'find me';

} else {

    echo 'do not find me';

}

//输出结果:find me,此结果明显错误

我发现这个问题,是因为网站被 SQL 注入了,还好,那么时候在测试的时候发现的,没有造成严重的后果。

关于 in_array() 函数使用,还有其他值得我们注意的地方,PHP 手册中,有大量的网友提供的示例,来说明该函数的“怪异”行为,比如:

<?php

 $a = ['a', 32, true, 'x' => 'y'];
 var_dump(in_array(25, $a)); // true, one would expect false
 var_dump(in_array('ggg', $a)); // true, one would expect false

 var_dump(in_array(0, $a)); // true
 var_dump(in_array(null, $a)); // false

为了安全起见,建议可以采用下面这种方式进行判断:

<?php

//判断数组里是否存在用户提交的 ID

//$post_dirty_id = '1092';
$post_dirty_id = '1092 ORDER BY #1';

$safe_arr = [
    987 => '小明',
    1092 => '汤姆',
    1256 => '奥立升'
];

if(isset($safe_arr[$post_dirty_id])) {

    echo 'find me';

} else {

    echo 'do not find me';

}

//输出结果:do not find me,这是正确的结果

如果遇到其他的问题,我都会在这里记录...

脚本宝典总结

以上是脚本宝典为你收集整理的PHP 中的一些 “陷阱”全部内容,希望文章能够帮你解决PHP 中的一些 “陷阱”所遇到的问题。

如果觉得脚本宝典网站内容还不错,欢迎将脚本宝典推荐好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。