PHP 中的一些 “陷阱”

JerryC 發(fā)布于2019-06-27 11:59 / 2962人閱讀

摘要：現(xiàn)在我們總結(jié)一下，有可能會遇到的一些中的一些陷阱。陷阱二判斷數(shù)組里是否存在用戶所提交的用戶小明湯姆奧立升輸出結(jié)果，此結(jié)果明顯錯誤我發(fā)現(xiàn)這個問題，是因為網(wǎng)站被注入了，還好，那么時候在測試的時候發(fā)現(xiàn)的，沒有造成嚴重的后果。

在做開發(fā)的時候，有可能會忘記掉一些技術(shù)細節(jié)。這些細節(jié)有可能會造成很嚴重的后果，比如網(wǎng)站被注入、網(wǎng)站崩潰等等。現(xiàn)在我們總結(jié)一下，有可能會遇到的一些 PHP 中的一些 “陷阱”。

陷阱一：empty()


最新的官網(wǎng)手冊對此有特別說明：
Note:
在 PHP 5.5 之前，empty() 僅支持變量；任何其他東西將會導(dǎo)致一個解析錯誤。
換言之，下列代碼不會生效： empty(trim($name))。 作為替代，應(yīng)該使用trim($name) == false.

我最近一次遇到該錯誤，是使用 Phalcon 開發(fā)的時候，服務(wù)器一直報 503 錯誤，剛開始會覺得莫名其妙，通過逐行排除，才發(fā)生由于 empty 的錯誤用法導(dǎo)致的。當(dāng)然，自從 PHP 5.5 開始，empty 已經(jīng)支持這種寫法了。
陷阱二：in_array()

 "小明",
    1092 => "湯姆",
    1256 => "奧立升"
];

if(in_array($post_dirty_id, array_keys($safe_arr))) {

    echo "find me";

} else {

    echo "do not find me";

}

//輸出結(jié)果：find me，此結(jié)果明顯錯誤
我發(fā)現(xiàn)這個問題，是因為網(wǎng)站被 SQL 注入了，還好，那么時候在測試的時候發(fā)現(xiàn)的，沒有造成嚴重的后果。
關(guān)于 in_array() 函數(shù)使用，還有其他值得我們注意的地方，PHP 手冊中，有大量的網(wǎng)友提供的示例，來說明該函數(shù)的“怪異”行為，比如：
 "y"];
 var_dump(in_array(25, $a)); // true, one would expect false
 var_dump(in_array("ggg", $a)); // true, one would expect false

 var_dump(in_array(0, $a)); // true
 var_dump(in_array(null, $a)); // false
為了安全起見，建議可以采用下面這種方式進行判斷：
 "小明",
    1092 => "湯姆",
    1256 => "奧立升"
];

if(isset($safe_arr[$post_dirty_id])) {

    echo "find me";

} else {

    echo "do not find me";

}

//輸出結(jié)果：do not find me，這是正確的結(jié)果
如果遇到其他的問題，我都會在這里記錄...