การเปรียบเทียบสตริงโดยใช้ '==' กับ 'strcmp ()'

ดูเหมือนว่า===ผู้ประกอบการของ PHP เป็นกรณี ๆ ไป ดังนั้นมีเหตุผลที่จะใช้strcmp()หรือไม่

การทำสิ่งต่อไปนี้ปลอดภัยหรือไม่

if ($password === $password2) { ... }

เหตุผลที่จะใช้มันเป็นเพราะ strcmp

ส่งกลับ <0 ถ้า str1 น้อยกว่า str2; > 0 ถ้า str1 มากกว่า str2 และ 0 ถ้าพวกเขาเท่ากัน

===ส่งกลับเฉพาะtrueหรือfalseมันไม่ได้บอกคุณซึ่งเป็นสตริง "มากกว่า"

คุณไม่ควรใช้==สำหรับการเปรียบเทียบสตริง ===ตกลง

$something = 0;
echo ('password123' == $something) ? 'true' : 'false';

เพียงเรียกใช้รหัสข้างต้นและคุณจะเห็นว่าทำไม

$something = 0;
echo ('password123' === $something) ? 'true' : 'false';

ตอนนี้มันดีขึ้นแล้ว

อย่าใช้ ==ใน PHP มันจะไม่ทำสิ่งที่คุณคาดหวัง แม้ว่าคุณจะเปรียบเทียบสตริงกับสตริง แต่ PHP ก็จะทำการแปลงให้ลอยและทำการเปรียบเทียบเชิงตัวเลขหากปรากฏเป็นตัวเลข

ตัวอย่างเช่น'1e3' == '1000'ผลตอบแทนจริง คุณควรใช้===แทน

ดี .. ตามรายงานข้อผิดพลาด phpนี้คุณยังสามารถรับ 0wned

<?php 
    $pass = isset($_GET['pass']) ? $_GET['pass'] : '';
    // Query /?pass[]= will authorize user
    //strcmp and strcasecmp both are prone to this hack
    if ( strcasecmp( $pass, '123456' ) == 0 ){
      echo 'You successfully logged in.';
    }
 ?>

มันให้คำเตือนคุณ แต่ยังคงข้ามการเปรียบเทียบ
คุณควรทำ===ตามที่ @postfuturist แนะนำ

โปรดจำไว้เสมอว่าเมื่อเปรียบเทียบสตริงคุณควรใช้===โอเปอเรเตอร์ (การเปรียบเทียบที่เข้มงวด) และไม่ใช่ ==โอเปอเรเตอร์ (การเปรียบเทียบที่หลวม)

สรุปคำตอบทั้งหมด:

• ==เป็นความคิดที่ดีสำหรับการเปรียบเทียบสตริง
  มันจะให้ผลลัพธ์ที่ "น่าประหลาดใจ" ในหลาย ๆ กรณี อย่าไว้ใจมัน

• === ไม่เป็นไรและจะให้ประสิทธิภาพที่ดีที่สุดแก่คุณ

• strcmp() ควรใช้หากคุณต้องการพิจารณาว่าสตริงใดที่ "ดีกว่า" ซึ่งโดยปกติจะใช้สำหรับการเรียงลำดับการดำเนินการ

การใช้==อาจเป็นอันตราย

โปรดทราบว่ามันจะส่งตัวแปรไปยังประเภทข้อมูลอื่นหากทั้งสองแตกต่างกัน

ตัวอย่าง:

• echo (1 == '1') ? 'true' : 'false';
• echo (1 == true) ? 'true' : 'false';

อย่างที่คุณเห็นสองสิ่งนี้มาจากประเภทที่แตกต่างกัน แต่ผลลัพธ์คือtrueซึ่งอาจไม่เป็นสิ่งที่รหัสของคุณคาดหวัง

ใช้===แต่แนะนำเป็นแสดงให้เห็นว่าการทดสอบว่ามันเป็นบิตเร็วกว่าและทางเลือกกรณีตายของมันstrcmp()strcasecmp()

googling อย่างรวดเร็วตะโกนการเปรียบเทียบความเร็วนี้: http://snipplr.com/view/758/

strcmp()และ===ทั้งสองกรณีจะละเอียดอ่อน แต่===เร็วกว่ามาก

รหัสตัวอย่าง: http://snipplr.com/view/758/

strcmp จะส่งคืนค่าที่แตกต่างกันตามสภาพแวดล้อมที่ใช้ (Linux / Windows)!

เหตุผลก็คือมันมีข้อบกพร่องตามที่รายงานข้อผิดพลาดบอกว่า https://bugs.php.net/bug.php?id=53999

กรุณาจัดการด้วยความระมัดระวัง !! ขอบคุณ

คุณสามารถใช้strcmp()ถ้าคุณต้องการที่จะสั่งซื้อ / เปรียบเทียบสตริงlexicographically หากคุณเพียงแค่ต้องการตรวจสอบความเท่าเทียมกันก็==เป็นเรื่องปกติ

ฟังก์ชั่นสามารถช่วยในการเรียงลำดับ เพื่อให้ชัดเจนเกี่ยวกับการเรียงลำดับ strcmp () ผลตอบแทนน้อยกว่า 0 ถ้า string1 เรียงลำดับก่อนที่ string2 มากกว่า 0 ถ้า string2 เรียงลำดับก่อน string1 หรือ 0 ถ้าพวกเขาเหมือนกัน ตัวอย่างเช่น

$first_string = "aabo";
$second_string = "aaao";
echo $n = strcmp($first_string,$second_string);

ฟังก์ชั่นจะกลับมามากกว่าศูนย์เนื่องจาก aaao กำลังคัดแยกก่อน aabo

PHP แทนที่จะใช้การเรียงลำดับตัวอักษรให้ใช้ค่าASCIIของอักขระเพื่อทำการเปรียบเทียบ อักษรตัวพิมพ์เล็กมีค่าASCIIสูงกว่าเมืองหลวง จะดีกว่าถ้าใช้ตัวดำเนินการเอกลักษณ์===เพื่อทำการเปรียบเทียบแบบนี้ strcmp ()เป็นฟังก์ชั่นเพื่อทำการเปรียบเทียบสตริงที่ปลอดภัยของไบนารี ใช้สองสตริงเป็นอาร์กิวเมนต์และส่งกลับ <0 ถ้า str1 น้อยกว่า str2 > 0 ถ้า str1 มากกว่า str2 และ 0 ถ้าพวกเขาเท่ากัน นอกจากนี้ยังมีcase-insensitive version ชื่อstrcasecmp ()ที่แปลงสตริงเป็นตัวพิมพ์เล็กก่อนแล้วจึงทำการเปรียบเทียบ

if ($password === $password2) { ... }ไม่ใช่สิ่งที่ปลอดภัยที่ต้องทำเมื่อเปรียบเทียบรหัสผ่านหรือแฮชรหัสผ่านที่หนึ่งในอินพุตนั้นถูกควบคุมโดยผู้ใช้
ในกรณีดังกล่าวจะสร้าง oracle กำหนดเวลาเพื่อให้ผู้โจมตีได้รับการแฮชรหัสผ่านจริงจากความแตกต่างของเวลาดำเนินการ
ใช้if (hash_equals($password, $password2)) { ... }แทนเนื่องจากhash_equalsดำเนินการ "การเปรียบเทียบการโจมตีด้วยสตริงที่ปลอดภัยเวลา"