Kommentare zu: PHP-Bug im Vergleichsoperator == ? http://stephan.straubel.net/index.php/2009/01/13/php-bug-im-vergleichsoperator/ Dieses und jenes - nicht nur aus dem Informatikerleben ... Thu, 22 Apr 2010 18:43:37 +0000 hourly 1 http://wordpress.org/?v=3.0 Von: FibreFoX http://stephan.straubel.net/index.php/2009/01/13/php-bug-im-vergleichsoperator/comment-page-1/#comment-686 FibreFoX Thu, 22 Apr 2010 18:43:37 +0000 http://stephan.straubel.net/?p=151#comment-686 Auch wenn der Artikel schon etwas älter ist, möchte ich anderen, die das Problem auch haben, ein wenig helfen: Ist aber ein wenig logisch, denn dadurch, dass du zuerst ein Ding hast, dass einem “Int” ähnelt und von php auch als Integer behandelt wird, denkt es sich “Oh, ich vergleiche Integer”… der interne Cast von “abdbbsb” auf Int wird intern wohl so gemacht: wandleInInteger(){ return (int) “abdbbsb”; } Da beim vermeindlichen casten bzw. hier konvertieren eine exception auftritt liefert die das ding 0 zurück. Allerdings steht genau das auch so in der Doku unter “String conversion to numbers”: http://www.php.net/manual/en/language.types.string.php#language.types.string.conversion Das ist allerdings ganz cool wenn man gegen SQL-Injection ohne Prepared Statements arbeiten möchte und sich ein eigenes Framework dazu aufbauen möchte. Auch wenn der Artikel schon etwas älter ist, möchte ich anderen, die das Problem auch haben, ein wenig helfen:

Ist aber ein wenig logisch, denn dadurch, dass du zuerst ein Ding hast, dass einem “Int” ähnelt und von php auch als Integer behandelt wird, denkt es sich “Oh, ich vergleiche Integer”… der interne Cast von “abdbbsb” auf Int wird intern wohl so gemacht:

wandleInInteger(){
return (int) “abdbbsb”;
}

Da beim vermeindlichen casten bzw. hier konvertieren eine exception auftritt liefert die das ding 0 zurück.

Allerdings steht genau das auch so in der Doku unter “String conversion to numbers”:
http://www.php.net/manual/en/language.types.string.php#language.types.string.conversion

Das ist allerdings ganz cool wenn man gegen SQL-Injection ohne Prepared Statements arbeiten möchte und sich ein eigenes Framework dazu aufbauen möchte.

]]> Von: Stephan Straubel http://stephan.straubel.net/index.php/2009/01/13/php-bug-im-vergleichsoperator/comment-page-1/#comment-655 Stephan Straubel Wed, 14 Jan 2009 13:10:59 +0000 http://stephan.straubel.net/?p=151#comment-655 Stimmt - nur braucht man ziemlich lange um darauf zu stossen, wenn mans nicht vorher weiß. Eher nachlässig in Sachen Dokumentation (würde ich jetzt behaupten). Nen Bug ist es zugegebenermaßen nicht, aber es wäre (meiner Meinung nach) besser, wenn das auf diese Weise nicht passieren würde. Auch wenn PHP eine typfreie Sprache ist (weitestgehend). Der Titel war deswegen auch ne Frage :-) Stimmt – nur braucht man ziemlich lange um darauf zu stossen, wenn mans nicht vorher weiß. Eher nachlässig in Sachen Dokumentation (würde ich jetzt behaupten). Nen Bug ist es zugegebenermaßen nicht, aber es wäre (meiner Meinung nach) besser, wenn das auf diese Weise nicht passieren würde. Auch wenn PHP eine typfreie Sprache ist (weitestgehend).

Der Titel war deswegen auch ne Frage :-)

]]> Von: unset http://stephan.straubel.net/index.php/2009/01/13/php-bug-im-vergleichsoperator/comment-page-1/#comment-654 unset Wed, 14 Jan 2009 13:03:47 +0000 http://stephan.straubel.net/?p=151#comment-654 Wieso Bug. Das ist die Auflösung von loose comparisons. Nachzulesen hier: http://de3.php.net/types.comparisons. Wieso Bug. Das ist die Auflösung von loose comparisons. Nachzulesen hier: http://de3.php.net/types.comparisons.

]]>