PHP的===操作符似乎是区分大小写的。那么,是否有理由使用strcmp()呢?
做下面这样的事情安全吗?
if ($password === $password2) { ... }
PHP的===操作符似乎是区分大小写的。那么,是否有理由使用strcmp()呢?
做下面这样的事情安全吗?
if ($password === $password2) { ... }
当前回答
使用==可能很危险。
注意,如果这两种数据类型不同,它会将变量强制转换为另一种数据类型。
例子:
Echo (1 == '1') ?'true': 'false'; Echo (1 == true) ?'true': 'false';
正如您所看到的,这两个是来自不同类型的,但结果为真,这可能不是您的代码所期望的。
但是,建议使用===,因为测试表明它比strcmp()及其不区分大小写的替代方案strcasecmp()快一些。
在谷歌上快速搜索一下,可以找到这个速度对比:http://snipplr.com/view/758/
其他回答
If ($password === $password2){…}在比较其中一个输入是用户控制的密码或密码散列时,这样做并不安全。 在这种情况下,它会创建一个计时oracle,允许攻击者从执行时间差中获得实际的密码散列。 使用if (hash_equals($password, $password2)){…因为hash_equals执行“定时攻击安全字符串比较”。
始终记住,在比较字符串时,应该使用===操作符(严格比较)而不是==操作符(松散比较)。
使用==可能很危险。
注意,如果这两种数据类型不同,它会将变量强制转换为另一种数据类型。
例子:
Echo (1 == '1') ?'true': 'false'; Echo (1 == true) ?'true': 'false';
正如您所看到的,这两个是来自不同类型的,但结果为真,这可能不是您的代码所期望的。
但是,建议使用===,因为测试表明它比strcmp()及其不区分大小写的替代方案strcasecmp()快一些。
在谷歌上快速搜索一下,可以找到这个速度对比:http://snipplr.com/view/758/
Strcmp()和===都是区分大小写的,但是===更快。
示例代码:Speed Test: strcmp vs ===
使用它的原因是strcmp
如果str1小于str2则返回< 0;>如果str1大于str2则为0,如果相等则为0。
===只返回true或false,它不会告诉你哪个字符串更大。