php开发时容易忘记的一些技术细节
在做开发的时候,有可能会忘记掉一些技术细节。这些细节有可能会造成很严重的后果,比如网站被注入、网站崩溃等等。现在我们总结一下,有可能会遇到的一些PHP中的一些“陷阱”。
陷阱一:empty()
<?php
//以下代码会直接导致PHP解析错误
$arr1=[1,2,3];
$arr2=[3,4];
if(empty(array_diff($arr1,$arr2))){//解析错误
echo'empty';
}else{
echo'notempty';
}
最新的官网手册对此有特别说明:
Note:
在PHP5.5之前,empty()仅支持变量;任何其他东西将会导致一个解析错误。
换言之,下列代码不会生效:empty(trim($name))。作为替代,应该使用trim($name)==false.
我最近一次遇到该错误,是使用Phalcon开发的时候,服务器一直报503错误,刚开始会觉得莫名其妙,通过逐行排除,才发生由于empty的错误用法导致的。当然,自从PHP5.5开始,empty已经支持这种写法了。
陷阱二:in_array()
<?php
//判断数组里是否存在用户所提交的用户ID
//$post_dirty_id='1092';
$post_dirty_id='1092ORDERBY#1';
$safe_arr=[
987=>'小明',
1092=>'汤姆',
1256=>'奥立升'
];
if(in_array($post_dirty_id,array_keys($safe_arr))){
echo'findme';
}else{
echo'donotfindme';
}
//输出结果:findme,此结果明显错误
我发现这个问题,是因为网站被SQL注入了,还好,那么时候在测试的时候发现的,没有造成严重的后果。
关于in_array()函数使用,还有其他值得我们注意的地方,PHP手册中,有大量的网友提供的示例,来说明该函数的“怪异”行为,比如:
<?php
$a=['a',32,true,'x'=>'y'];
var_dump(in_array(25,$a));//true,onewouldexpectfalse
var_dump(in_array('ggg',$a));//true,onewouldexpectfalse
var_dump(in_array(0,$a));//true
var_dump(in_array(null,$a));//false
为了安全起见,建议可以采用下面这种方式进行判断:
<?php
//判断数组里是否存在用户提交的ID
//$post_dirty_id='1092';
$post_dirty_id='1092ORDERBY#1';
$safe_arr=[
987=>'小明',
1092=>'汤姆',
1256=>'奥立升'
];
if(isset($safe_arr[$post_dirty_id])){
echo'findme';
}else{
echo'donotfindme';
}
//输出结果:donotfindme,这是正确的结果