1. Les décimales (nombre de points) ne peuvent pas être comparées directement pour voir si elles sont égales
Par exemple, le résultat de if(0.5 0.2==0.7) est faux. La raison en est que PHP est basé sur le langage C et que le langage C ne peut pas représenter avec précision la plupart des points de symboles en raison de sa représentation de points de symboles binaires. En fait, presque tous les langages de programmation ne peuvent pas représenter avec précision les nombres décimaux (nombres en pointillés). C'est un phénomène courant, car il s'agit d'un défaut de IEEE 754. Pour résoudre ce problème, nous ne pouvons qu'établir une autre norme. Il semble que seul Mathematica ait résolu ce problème.
2. Si les chaînes sont identiques, il est recommandé d'utiliser === au lieu de ==
Pourquoi? Cette comparaison étant faiblement typée, lorsque deux comparaisons sont effectuées, PHP essaiera d'abord de déterminer si la gauche et la droite sont des nombres. La question est de savoir quel type de chaîne est un nombre ? S'agit-il d'une simple chaîne de nombres ? Bien plus que cela, il inclut également des nombres hexadécimaux commençant par 0x, une notation scientifique de type XXeX, etc. Par exemple, '12e0'=='0x0C' devient vrai. Lorsque l'on compare le type numérique avec la chaîne , même certaines chaînes non numériques commençant par des nombres, telles que 12=='12 this string', deviendront vraies.
Ainsi, dans ces cas, des chaînes qui ne sont pas identiques peuvent être jugées égales. La comparaison utilisant === est une comparaison de type inclusive sans aucune conversion, elle peut donc comparer avec précision si les chaînes sont identiques.
De plus, je veux me plaindre de JAVA. == ne peut pas comparer si les chaînes sont égales, car les chaînes sont un objet, et == devient un jugement pour savoir s'il s'agit du même objet...
3. Suppression excessive des fonctions de la série Trim
L'utilisation de base de la fonction trim consiste à supprimer les espaces les plus extérieurs, les nouvelles lignes, etc. En raison de ses paramètres facultatifs, de nombreuses personnes l'utilisent également pour supprimer les en-têtes UTF8BOM, les extensions de fichiers, etc., tels que ltrim($str, "xEFxBBxBF"); 🎜>rtrim($str, ".txt"); . Mais bientôt, vous constaterez que ces fonctions supprimeront d'autres éléments. Par exemple, si vous souhaitiez initialement supprimer le suffixe, logtext.txt deviendra logte au lieu de logtext. Pourquoi? Parce que ce dernier paramètre ne signifie pas une chaîne complète, mais une liste de caractères , ce qui signifie qu'il vérifiera toujours si le plus à gauche/le plus à droite correspond à l'un de cette liste.
Alors, comment voulons-nous vraiment supprimer le premier et le dernier ? Le dicton sur Internet est d'utiliser des expressions régulières. J'ai encapsulé les trois méthodes correspondantes pour une utilisation facile. La règle de dénomination est qu'il y a un s de plus que la fonction PHP d'origine, ce qui signifie chaîne. L'utilisation est la même que celle de la fonction PHP d'origine.
ltrims(, = ( ("/^{}/", '', rtrims(, = ( ("/{}$/", '', trims(, = ( = ("/^{}/", '', ("/{}$/", '', trimBOM( ("/^\xEF\xBB\xBF/", '',Copier après la connexion
4. Différentes méthodes d'obtention de l'adresse IP du client mentionnée sur Internet
Une fonction PHP populaire sur Internet pour obtenir l'adresse IP du client est la suivante :
function getIP() { if (getenv('HTTP_CLIENT_IP')) { $ip = getenv('HTTP_CLIENT_IP');
}elseif (getenv('HTTP_X_FORWARDED_FOR')) { $ip = getenv('HTTP_X_FORWARDED_FOR');
}elseif (getenv('HTTP_X_FORWARDED')) { $ip = getenv('HTTP_X_FORWARDED');
}elseif (getenv('HTTP_FORWARDED_FOR')) { $ip = getenv('HTTP_FORWARDED_FOR');}
}elseif (getenv('HTTP_FORWARDED')) { $ip = getenv('HTTP_FORWARDED');
}else { $ip = $_SERVER['REMOTE_ADDR'];
} return $ip;
}Copier après la connexion
这函数看起来并没有什么问题,很多开源CMS之类的也在用。然而事实上,问题大着呢!首先第一步,是要了解这些 getenv 读取的东西到底是什么玩意,又是从哪来的。简单来说这些其实是HTTP header,有些代理服务器会把源请求地址放到header里,所以我们服务器可以知道访问用户的原始IP地址。但是,并不是所有代理服务器都会这么做,也并不是只有代理服务器会这么做。
而实际上,这些HTTP header是可以随便改动的,比如curl就可以自己设置各种HTTP header。如果用此函数得到的结果,进行IP限制等操作的话是很轻易绕过的。更可怕的是,如果后续程序没有对此函数取得的IP地址进行格式校验过滤的话,就很微妙地为SQL注入打开了一扇窗户。所以比较保险的方式是只读取非HTTP header的 $_SERVER['REMOTE_ADDR']
PHP5.4及以上可以使用以下函数判断是否符合IP地址格式 filter_var($ip, FILTER_VALIDATE_IP) ,老版本需自行写正则。
五、foreach的保留现象
使用 foreach($someArr as $someL){ } 之类的用法时,要注意最后的一个 $someL 会一直保留到该函数/方法结束。而当使用引用的时候 foreach($someArr as &$someL){ }这是以引用来保存,也就是说后面若有使用同一个名字的变量名,将会把原数据改变(就像一个乱用的C指针)。为安全起见,建议每个foreach(尤其是引用的)结束之后都使用unset把这些变量清除掉。
foreach($someArr as &$someL){ //doSomething ...}unset($someL);Copier après la connexion
六、htmlspecialchars 函数默认不转义单引号
不少网站都是使用此函数作为通用的输入过滤函数,但是此函数默认情况是不过滤单引号的。这是非常非常地容易造成XSS漏洞。这样的做法和不过滤双引号没太大区别,只要前端写得稍微有点不规范(用了单引号)就会中招。下面这个示例改编自知乎梧桐雨的回答
' />
Copier après la connexion
要求所有的时候都使用双引号不得使用单引号,这其实不太现实。所以,这个主要还是后端的责任,把单引号也要转义,我们用的时候一定要给这个函数加上参数 htmlspecialchars( $data, ENT_QUOTES);
很多人向Thinkphp框架提出过这个问题,因为其默认过滤方法就是无参数的htmlspecialchars,不过滤单引号,而其官方答复是“I函数的作用不能等同于防止SQL注入,可以自定义函数来过滤”……毛线啊,最基本的防护都不给力,这是给埋了多少隐患啊。在此强烈各位使用者重新定义默认过滤函数,我自己定义的是 htmlspecialchars(trim($data), ENT_QUOTES); ,有更好建议欢迎评论。同时非常希望TP官方更正此问题。
关于XSS,容我多说两句,请看下面这个例子。
<span style="color:#ff00ff;"><?</span><span style="color:#ff00ff;"><span style="color:#000000;"><span style="color:#ff00ff;">php</span> $name='alert(1)';</span> </span><span style="color:#ff00ff;">?></span><span style="color:#0000ff;"><</span><span style="color:#800000;">p </span><span style="color:#ff0000;">id</span><span style="color:#0000ff;">="XSS2"</span><span style="color:#0000ff;">></</span><span style="color:#800000;">p</span><span style="color:#0000ff;">></span><span style="color:#0000ff;"><</span><span style="color:#800000;">script </span><span style="color:#ff0000;">src</span><span style="color:#0000ff;">="//cdn.batsing.com/jquery.js"</span><span style="color:#0000ff;">></</span><span style="color:#800000;">script</span><span style="color:#0000ff;">></span><span style="color:#0000ff;"><</span><span style="color:#800000;">script</span><span style="color:#0000ff;">></span><span style="background-color:#f5f5f5;color:#000000;">$(</span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">#XSS2</span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">)[</span><span style="background-color:#f5f5f5;color:#000000;">0</span><span style="background-color:#f5f5f5;color:#000000;">].innerHTML </span><span style="background-color:#f5f5f5;color:#000000;">=</span> <span style="background-color:#f5f5f5;color:#000000;"><?=</span><span style="background-color:#f5f5f5;color:#000000;">$name</span><span style="background-color:#f5f5f5;color:#000000;">?></span><span style="background-color:#f5f5f5;color:#000000;">;
$("#XSS2").html( <?=$name?> );
$(</span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">#XSS2</span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">)[</span><span style="background-color:#f5f5f5;color:#000000;">0</span><span style="background-color:#f5f5f5;color:#000000;">].innerHTML </span><span style="background-color:#f5f5f5;color:#000000;">=</span> <span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;"><?=$name?></span><span style="background-color:#f5f5f5;color:#000000;">"</span><span style="background-color:#f5f5f5;color:#000000;">;
$("#XSS2").html(" <?=$name?> ");</span><span style="color:#0000ff;"></</span><span style="color:#800000;">script</span><span style="color:#0000ff;">></span>Copier après la connexion
Les 1ère et 2ème lignes de JS provoqueront des vulnérabilités XSS, mais pas les 3ème et 4ème lignes. Quant à alert(1), il n'y a pas de meilleur moyen de filtrer une telle chaîne sur le back-end. La seule méthode efficace peut être d'ajouter des guillemets aux deux extrémités des données. La principale responsabilité incombe toujours au front-end Lorsque vous utilisez la sortie de innerHTML et html() de jQuery, assurez-vous de vous assurer. le paramètre passé est une chaîne, sinon ce n'est pas moins dangereux que la fonction eval
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
