$_GET['goods_id'] 0 的使用详解

时间:2019-08-17 07:03来源:计算机教程
目的: 为了防止sql注入,tid,goods_id都是正整数类型,防止人为了在后面追加 ?tid=1or 1 这样的语句. 原理: 不管你的参数多么险恶, 0后都老老实实变成数值类型 背景、概述 早在Sql注入横行的前

目的: 为了防止sql注入,tid,goods_id都是正整数类型,防止人为了在后面追加 ?tid=1 or 1 这样的语句.
原理: 不管你的参数多么险恶, 0后都老老实实变成数值类型

背景、概述   早在Sql注入横行的前几年,字符串转化为整数就已经被列为每个web程序必备的操作了。web程序将get或post来的id、整数等值强制经过转化函数转化为整数,过滤掉危险字符,尽可能降低系统本身被Sql注入的可能性。
  现如今,虽然Sql注入已经逐渐淡出历史舞台,但是,为了保证web程序的正常运行,减少出错概率,更好的保证用的满意度,我们同样需要将用户的不正确输入转化为我们所需要的。
转化方式
  在PHP中,我们可以使用3种方式将字符串转化为整数。
1.强制类型转换方式   强制类型转换方式,就是“在要转换的变量之前加上用括号括起来的目标类型”(摘自PHP手册“类型戏法”节)的方式。

比如 '?tid=1 or 1' , $_GET['tid'] 0 后值变成1;

复制代码 代码如下:

有学生问,你为什么不用(int)强转或intval来转换. 1: 用哪种方式,目的都是一样的
2: 用 0,只需要打2个字符,用(int)要打5个,intval()要打8个.
3: 对于 0,我不需要关心$tid是整型还是浮点型,还是大于2^32的长整型(如mysql中取得bigint), 0都能适应.
而用强转,则会发生溢出,当然你可以说,我用float来转,那不是还得分情况区别吗.

<?php
$foo = "1"; // $foo 是字符串类型
$bar = (int)$foo; // $bar 是整型
?>

  对于整型来说,强制转换类型名称为int或者integer。
2.内置函数方式   内置函数方式,就是使用PHP的内置函数intval进行变量的转换操作。

复制代码 代码如下:

<?php
$foo = "1"; // $foo 是字符串类型
$bar = intval($foo); // $bar 是整型
?>

  intval函数的格式为:   int intval(mixed $var [, int $base]); (摘自PHP手册)
  虽然PHP手册中明确指出,intval()不能用于array和object的转换。但是经过我测试,转换array的时候不会出任何问题,转换值为1,而不是想象中的0。恐怕是因为在PHP内部,array类型的变量也被认为是非零值得缘故吧。转换object的时候,PHP会给出如下的 notice:
  Object of class xxxx could not be converted to int in xxxxx.php on line xx
  转换值同样为1。
3.格式化字符串方式
  格式化字符串方式,是利用sprintf的%d格式化指定的变量,以达到类型转换的目的。

复制代码 代码如下:

<?php
$foo = "1"; // $foo 是字符串类型
$bar = sprintf("%d", $foo); // $bar 是字符串类型
?>

  严格意义上讲sprintf的转换结果还是string型,因此它不应该算是字符串转化为整数的方式。但是经过他处理之后的字符串值确实已经成为了“被强制转化为字符串类型的整数”。
实际测试
  上面介绍了PHP中,将字符串转化为整数的3种方式。对于一般的程序员来说,看到这里就算结束了,下面的部分是针对变态程序员的。
1.基本功能测试   设定以下数组:

复制代码 代码如下:

<?php
$a[] = "1";
$a[] = "a1";
$a[] = "1a";
$a[] = "1a2";
$a[] = "0";
$a[] = array('4',2);
$a[] = "2.3";
$a[] = "-1";
$a[] = new Directory();
?>

  使用三种方式依次转化上面给出的数组中的元素,查看转换情况。程序源代码如下:

编辑:计算机教程 本文来源:$_GET['goods_id'] 0 的使用详解

关键词: