[关闭]
@1kbfree 2018-05-08T16:30:42.000000Z 字数 248 阅读 1382

[逻辑缺陷]双等于和三等于

PHP 代码审计

区别:

所以双等于会有安全问题,看下面代码

双等于

  1. <?php 
  3.     $num = $_GET['num'];
  4.     var_dump ($num == 1 ); //双等于
  6. ?>

image_1ccpp52d11emp19cpc94qblmuam.png-48.8kB
可以看到这里也放回true,和in_array()一样,判断之前就完成了变量的类型转换

三等于

  1. <?php 
  3.     $num = $_GET['num'];
  4.     var_dump ($num === 1 ); //三等于
  6. ?>

image_1ccppar49g6brfi1ghsgjk1gdm13.png-54.5kB
这里返回false说明在判断的时候没有进行类型转换.

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注