Einige Fallstricke in PHP

1. Dezimalzahlen (Anzahl der Punkte) können nicht direkt verglichen werden, um festzustellen, ob sie gleich sind

Beispielsweise ist das Ergebnis von if(0.5+0.2==0.7) falsch. Der Grund dafür ist, dass PHP auf der C-Sprache basiert und die C-Sprache aufgrund ihrer Darstellung binärer Symbolpunkte die meisten Symbolpunkte nicht genau darstellen kann. Tatsächlich können fast alle Programmiersprachen Dezimalzahlen (punktierte Zahlen) nicht genau darstellen, da es sich um einen Fehler von IEEE 754 handelt. Um dieses Problem zu lösen, können wir nur einen anderen Standard etablieren. Es scheint, dass nur Mathematica dieses Problem gelöst hat.

2. Wenn die Zeichenfolgen identisch sind, wird empfohlen, === anstelle von == zu verwenden

Warum? Da dieser Vergleich schwach typisiert ist, versucht PHP bei zwei Vergleichen zunächst festzustellen, ob links und rechts Zahlen sind. Die Frage ist, was für eine Zeichenfolge ist eine Zahl? Ist es eine einfache Zahlenfolge? Darüber hinaus umfasst es auch Hexadezimalzahlen, die mit 0x beginnen, die wissenschaftliche Notation vom Typ XXeX usw. Beispielsweise wird „12e0“==„0x0C“ wahr. Beim Vergleich des numerischen Typs mit der Zeichenfolge werden sogar einige nicht numerische Zeichenfolgen, die mit Zahlen beginnen, wie z. B. 12=='12 diese Zeichenfolge', wahr.

In diesen Fällen können Zeichenfolgen, die nicht gleich sind, als gleich beurteilt werden. Der Vergleich mit === ist ein inklusiver Typvergleich ohne Konvertierung, sodass genau verglichen werden kann, ob die Zeichenfolgen gleich sind.

Außerdem möchte ich mich über JAVA beschweren. == kann nicht vergleichen, ob Zeichenfolgen gleich sind, da Zeichenfolgen ein Objekt sind und == zu einem Urteil darüber wird, ob sie dasselbe Objekt sind ...

3. Übermäßiges Entfernen von Funktionen der Ausstattungsserie

Die grundlegende Verwendung der Trim-Funktion besteht darin, die äußersten Leerzeichen, Zeilenumbrüche usw. zu entfernen. Aufgrund seiner optionalen Parameter verwenden viele Leute es auch, um UTF8BOM-Header, Dateierweiterungen usw. zu entfernen, wie zum Beispiel ltrim($str, "xEFxBBxBF"); rtrim($str, ".txt"); . Aber bald werden Sie feststellen, dass diese Funktionen noch einige weitere Dinge entfernen werden. Wenn Sie beispielsweise ursprünglich das Suffix entfernen wollten, wird logtext.txt zu logte statt logtext. Warum? Da der letztere Parameter keine vollständige Zeichenfolge bedeutet, sondern eine Liste von Zeichen , bedeutet dies, dass immer geprüft wird, ob das Zeichen ganz links/ganz rechts mit einem dieser Zeichen übereinstimmt.

Wie wollen wir also wirklich das Erste und Letzte entfernen? Im Internet heißt es, reguläre Ausdrücke zu verwenden. Ich habe die entsprechenden drei Methoden zur einfachen Verwendung gekapselt. Die Benennungsregel besagt, dass es ein s mehr als die ursprüngliche PHP-Funktion gibt, was String bedeutet. Die Verwendung ist die gleiche wie bei der ursprünglichen PHP-Funktion.

 ltrims(,  = ( ("/^{}/", '',  rtrims(,  = ( ("/{}$/", '',  trims(,  = ( = ("/^{}/", '',  ("/{}$/", '',  trimBOM( ("/^\xEF\xBB\xBF/", '',

4. Verschiedene Methoden zum Erhalten der im Internet genannten Client-IP-Adresse

Eine im Internet beliebte PHP-Funktion zum Abrufen der Client-IP-Adresse lautet wie folgt:

function getIP() {    if (getenv('HTTP_CLIENT_IP')) {        $ip = getenv('HTTP_CLIENT_IP');
    }elseif (getenv('HTTP_X_FORWARDED_FOR')) {        $ip = getenv('HTTP_X_FORWARDED_FOR');
    }elseif (getenv('HTTP_X_FORWARDED')) {        $ip = getenv('HTTP_X_FORWARDED');
    }elseif (getenv('HTTP_FORWARDED_FOR')) {        $ip = getenv('HTTP_FORWARDED_FOR');}
    }elseif (getenv('HTTP_FORWARDED')) {        $ip = getenv('HTTP_FORWARDED');
    }else {        $ip = $_SERVER['REMOTE_ADDR'];
    }    return $ip;
}

这函数看起来并没有什么问题，很多开源CMS之类的也在用。然而事实上，问题大着呢！首先第一步，是要了解这些 getenv 读取的东西到底是什么玩意，又是从哪来的。简单来说这些其实是HTTP header，有些代理服务器会把源请求地址放到header里，所以我们服务器可以知道访问用户的原始IP地址。但是，并不是所有代理服务器都会这么做，也并不是只有代理服务器会这么做。

而实际上，这些HTTP header是可以随便改动的，比如curl就可以自己设置各种HTTP header。如果用此函数得到的结果，进行IP限制等操作的话是很轻易绕过的。更可怕的是，如果后续程序没有对此函数取得的IP地址进行格式校验过滤的话，就很微妙地为SQL注入打开了一扇窗户。所以比较保险的方式是只读取非HTTP header的 $_SERVER['REMOTE_ADDR']

PHP5.4及以上可以使用以下函数判断是否符合IP地址格式 filter_var($ip, FILTER_VALIDATE_IP) ，老版本需自行写正则。

五、foreach的保留现象

使用 foreach($someArr as $someL){ } 之类的用法时，要注意最后的一个 $someL 会一直保留到该函数/方法结束。而当使用引用的时候 foreach($someArr as &$someL){ }这是以引用来保存，也就是说后面若有使用同一个名字的变量名，将会把原数据改变（就像一个乱用的C指针）。为安全起见，建议每个foreach（尤其是引用的）结束之后都使用unset把这些变量清除掉。

foreach($someArr as &$someL){    //doSomething ...}unset($someL);

六、htmlspecialchars 函数默认不转义单引号

不少网站都是使用此函数作为通用的输入过滤函数，但是此函数默认情况是不过滤单引号的。这是非常非常地容易造成XSS漏洞。这样的做法和不过滤双引号没太大区别，只要前端写得稍微有点不规范（用了单引号）就会中招。下面这个示例改编自知乎梧桐雨的回答

  ' />

要求所有的时候都使用双引号不得使用单引号，这其实不太现实。所以，这个主要还是后端的责任，把单引号也要转义，我们用的时候一定要给这个函数加上参数 htmlspecialchars( $data, ENT_QUOTES);

很多人向Thinkphp框架提出过这个问题，因为其默认过滤方法就是无参数的htmlspecialchars，不过滤单引号，而其官方答复是“I函数的作用不能等同于防止SQL注入，可以自定义函数来过滤”……毛线啊，最基本的防护都不给力，这是给埋了多少隐患啊。在此强烈各位使用者重新定义默认过滤函数，我自己定义的是 htmlspecialchars(trim($data), ENT_QUOTES); ，有更好建议欢迎评论。同时非常希望TP官方更正此问题。

关于XSS，容我多说两句，请看下面这个例子。

<span style="color:#ff00ff;"><?</span><span style="color:#ff00ff;"><span style="color:#000000;"><span style="color:#ff00ff;">php</span> $name='alert(1)';</span> </span><span style="color:#ff00ff;">?></span><span style="color:#0000ff;"><</span><span style="color:#800000;">p </span><span style="color:#ff0000;">id</span><span style="color:#0000ff;">="XSS2"</span><span style="color:#0000ff;">></</span><span style="color:#800000;">p</span><span style="color:#0000ff;">></span><span style="color:#0000ff;"><</span><span style="color:#800000;">script </span><span style="color:#ff0000;">src</span><span style="color:#0000ff;">="//cdn.batsing.com/jquery.js"</span><span style="color:#0000ff;">></</span><span style="color:#800000;">script</span><span style="color:#0000ff;">></span><span style="color:#0000ff;"><</span><span style="color:#800000;">script</span><span style="color:#0000ff;">></span><span style="background-color:#f5f5f5;color:#000000;">$(</span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">#XSS2</span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">)[</span><span style="background-color:#f5f5f5;color:#000000;">0</span><span style="background-color:#f5f5f5;color:#000000;">].innerHTML </span><span style="background-color:#f5f5f5;color:#000000;">=</span> <span style="background-color:#f5f5f5;color:#000000;"><?=</span><span style="background-color:#f5f5f5;color:#000000;">$name</span><span style="background-color:#f5f5f5;color:#000000;">?></span><span style="background-color:#f5f5f5;color:#000000;">;
$("#XSS2").html( <?=$name?> );
$(</span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">#XSS2</span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">)[</span><span style="background-color:#f5f5f5;color:#000000;">0</span><span style="background-color:#f5f5f5;color:#000000;">].innerHTML </span><span style="background-color:#f5f5f5;color:#000000;">=</span> <span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;"><?=$name?></span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">;
$("#XSS2").html(" <?=$name?> ");</span><span style="color:#0000ff;"></</span><span style="color:#800000;">script</span><span style="color:#0000ff;">></span>

Die erste und zweite Zeile von JS verursachen XSS-Schwachstellen, die dritte und vierte Zeile jedoch nicht. Was alert(1) betrifft, gibt es keine bessere Möglichkeit, eine solche Zeichenfolge im Backend zu filtern. Die einzig wirksame Methode besteht möglicherweise darin, Anführungszeichen an beiden Enden der Daten hinzuzufügen. Die Hauptverantwortung liegt immer noch beim Frontend. Stellen Sie sicher, dass Sie die Ausgabe von innerHTML und html() verwenden Der übergebene Parameter ist ein String, ansonsten ist er nicht weniger gefährlich als die Bewertungsfunktion