PHP の == 演算子を使用した文字列比較

Greg Beaver のブログで最近公開された、PHP の文字列と == 演算子を比較する新しい記事では、文字列を PHP の == 演算子と比較する際に注目すべき問題について言及しています。

PHP では数値データ (数値を含む文字列など) を数値処理に変換する場合があり、== 演算子もその 1 つです。 == 演算子を使用して 2 つの文字列を大まかに比較すると、PHP は のような数値文字列を比較のために数値に変換します。次の実験により、この結論が確認されます。 SPAN style="COLOR: rgb(0,0,0)">
var_dump( '01' == 1);<span style="COLOR: rgb(0,0,0)"><span style="COLOR: rgb(0,0,187)"><br><span style="FONT-FAMILY: Verdana"><?php </SPAN><br style="FONT-FAMILY: Verdana"><span style="FONT-FAMILY: Verdana">var_dump</span></span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">(</span><span style="COLOR: rgb(221,0,0); FONT-FAMILY: Verdana">'01' </span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">== </span><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana">1</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">);<br></span><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana"></span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana"><span style="COLOR: rgb(0,0,187)"><span style="FONT-FAMILY: Verdana">?></span><br><br></span></span></span></span>?

上記のコードの出力結果は次のとおりです:
bool(true)

したがって、使用する場合、比較する場合文字列の場合は、=== 演算子を使用して文字列を厳密にチェックするか、起こり得る問題を回避するために strcmp() などの関数を使用することをお勧めします。 PHPマニュアルの「PHP型比較表」でも詳しく説明されています。

さらに、一般的に使用される in_array() 関数にも弱い型の問題があります。次のコードを参照してください。 <span style="COLOR: rgb(0,0,0)"><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana"><?php <BR>var_dump</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">(</span><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana">in_array</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">(</span><span style="COLOR: rgb(221,0,0); FONT-FAMILY: Verdana">'01'</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">, array(</span><span style="COLOR: rgb(221,0,0); FONT-FAMILY: Verdana">'1'</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">)));<br></span><span style="COLOR: rgb(0,0,187)"><span style="FONT-FAMILY: Verdana">?></span><br></span></span>
<span style=" COLOR: rgb(0,0,0)"><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana"><?php <FONT face=Verdana size=2>var_dump</span><span style=" COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">(</span><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana">in_array</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: ヴェルダナ">(</span><span style="COLOR: rgb(221,0,0); FONT-FAMILY: ヴェルダナ">'01' <span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">, array(</span><span style="COLOR: rgb(221,0,0); FONT-FAMILY : ベルダナ">'1'</span><span style="COLOR: rgb(0,119,0)">)));<br></span><span style="COLOR : rgb(0,0,187)"><span style="FONT-FAMILY: Verdana">?></span><br></span></span></span>
上コードの出力結果は次のとおりです: bool(true) この関数をセキュリティ チェックに使用したことのある PHP プログラマは、これがどのようなセキュリティ上の問題を引き起こすかを知っていると思います。幸いなことに、

in_array() 関数には 3 番目のパラメーターが用意されており、これを true に設定すると、次のように <span style="COLOR: rgb(0,0,0)"><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana"><?php <BR>var_dump</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">(</span><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana">in_array</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">(</span><span style="COLOR: rgb(221,0,0); FONT-FAMILY: Verdana">'01'</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">, array(</span><span style="COLOR: rgb(221,0,0); FONT-FAMILY: Verdana">'1'</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">), </span><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana">true</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">)); <br></span><span style="COLOR: rgb(0,0,187)"><span style="FONT-FAMILY: Verdana">?></span><br><br></span></span>in_array() 関数の必須の型チェック メカニズムをオンにすることができます。コード:

<span style="COLOR: rgb(0,0,0)"><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana ">&lt ;?php <br>var_dump</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">(</span><span style="COLOR: rgb(0) ,0,187) ; FONT-FAMILY: Verdana">in_array</span><span style="COLOR: rgb(0,119,0)">(</span><span style="COLOR: rgb) (221, 0,0); FONT-FAMILY: ヴェルダナ">'01'</span><span style="COLOR: rgb(0,119,0)">, array(</span> <span style="COLOR: rgb(221,0,0); FONT-FAMILY: Verdana">'1'</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY: Verdana">)、</span><span style="COLOR: rgb(0,0,187); FONT-FAMILY: Verdana">true</span><span style="COLOR: rgb(0,119,0); FONT-FAMILY : ヴェルダナ">)); </span></span>?>

出力結果は次のとおりです: bool(false) PHP は弱い型付け言語であるため, つまり、PHPではデータ型の概念が弱くなっています。したがって、プログラミング時にデータ型を無視しすぎると (これはほとんどの PHP プログラマーに共通する問題でもあります)、いくつかの問題が発生し、さらにはセキュリティの脆弱性が発生します。最後に、迷惑な格言にもあるように、外部データを厳密にチェックしてフィルタリングします。