Der Feine Unterschied: != und !==

cottton · 5. Juni 2014

gewünschtes Resultat: Ausführen, wenn $var nicht leer ist

PHP

$var = 0;




echo ($var != '' and $var !== false)
    ?'bedingung wahr'
    :'bedingung nicht wahr';




// bedingung nicht wahr

Alles anzeigen

Warum bekommt man als Ergebnis "bedingung nicht wahr"?
Weil != nicht auf den Typ prüft. Daher ist '' und 0 gleich leer.

!== dagegen prüft auch den Typ. Und 0 ist nicht '' (int ist nicht str).

Kann man schon mal drauf rein fallen =)

sysop · 6. Juni 2014

AND?
Wenn sowohl leer als auch false dann "bedingung wahr" sonst "bedingung nicht wahr"?

Logisches OR wäre doch sinnvoller oder verstehe ich deine Logik da nicht

wolf · 6. Juni 2014

Bei einem oder würde bedingung wahr rauskommen....

cottton · 6. Juni 2014

Ich hätte das false weglassen können. Das gehört eigtl gar nicht zum Thema.
Hier gehts um '' und 0.

Also:

PHP

$var = 0;




echo ($var != '')
    ?'bedingung wahr'
    :'bedingung nicht wahr';




// bedingung nicht wahr

Alles anzeigen

EDIT:

Zitat

Wenn sowohl leer als auch false dann "bedingung wahr" sonst "bedingung nicht wahr"?

Nö.
Wenn NICHT leer und NICHT false, dann wahr, sonst nicht wahr.
=)

EDIT2:
noch ein Bsp: user login
Angenommen $_POST['password'] geht durch irgendeine Funktion, welche durch einen Fehler 0 (int) zurückgibt. (Es gibt sicherlich ein besseres Bsp)
Dann wird ein "schwacher" vergleich mittels == ein Fatales Ergebnis bringen:

PHP

$post_pw = 0; 
$db_hash = '***WHATEVA but a string***';




echo ($post_pw == $db_hash)
    ?'bedingung wahr'
    :'bedingung nicht wahr';




// bedingung wahr

Alles anzeigen

PHP versucht beim Vergleich den String in eine Zahl umzuwandeln. Dabei kommt 0 (int) heraus, da der String nicht gewandelt werden kann.

Für mich gilt ab jetzt (wenn ich hoffentlich daran denke): IMMER typen starke Vergleichsoperatoren nutzen.
Das bring einige Arbeit mehr, weil zB GET/POST/SQL immer Strings liefern,
aber in Sachen (Selbst-)Sicherheit bringt es viel.

Btw: zum Thema GET/POST immer String: http://www.html-seminar.de/htm…-string-zu-int/#post32262

sysop · 24. Juni 2014

Zitat von cottton

Nö.
Wenn NICHT leer und NICHT false, dann wahr, sonst nicht wahr.
=)

Da hast du recht, lesen müsste man können.

cottton · 20. Februar 2015

Zum Thema wohl passend:
http://www.heise.de/newsticker…nen-entdeckt-2556800.html
(^ auch wenn nur so dahin geschmissener Artikel)
Details: https://typo3.org/teams/securi…e/typo3-core-sa-2015-001/

EDIT: Kommentar zu empty() http://www.heise.de/security/n…292494/msg-26526062/read/

Fix: https://typo3.org/fileadmin/se…eam/bug65113/fix_65113.sh

Was wird gesucht und ersetzt:

PHP

// search:
if (parent::authUser($userRecord)) { 
    if (!empty($this->login['uident_text'])) {
        if ($this->login['uident'] && $this->login['uname'])   {




// replace:
if (is_bool($checkResult = parent::authUser($userRecord)) && $checkResult) {
    if ((string)$this->login['uident_text'] !== '') {
        if ((string)$this->login['uident'] !== '' && $this->login['uname'])    {

Alles anzeigen

wie man es hätte besser machen köönen (mMn):

PHP

if(parent::authUser($userRecord) === true){
    if(
        isset($this->login['uident_text'])and is_string($this->login['uident_text'])and strlen($this->login['uident_text']) > 0
        and isset($this->login['uident'])and is_string($this->login['uident'])and strlen($this->login['uident']) > 0
        and isset($this->login['uname'])and is_string($this->login['uname'])and strlen($this->login['uname']) > 0
    ){
        // OK
    } 
}




// oder noch besser




if(parent::authUser($userRecord) === true){
    $e = 0;
    foreach(array('uident_text', 'uident', 'uname') as $offset){
        if(
            !isset($this->login[$offset])
            or !is_string($this->login[$offset])
            or strlen($this->login[$offset]) < 1
        ){
            $e++;
            break;
        }
    }
    if($e === 0){
        // OK
    }
    // ...
}

Alles anzeigen

Kommentar zum Fix:

PHP

// warum ist das schlecht (vor dem fix):
if (parent::authUser($userRecord)) {
// weil es kann alles ausser "", 0, false, null sein kann




// warum das (nach dem fix) quark:
if (is_bool($checkResult = parent::authUser($userRecord)) && $checkResult) {
// weil das so ziemlich das gleiche wie das ist:
if (parent::authUser($userRecord) === true){







// warum ist das schlecht (vor dem fix):
if (!empty($this->login['uident_text'])) {
// weil empty() "schwammig" ist - siehe vorige posts




// warum ist das schlecht (vor dem fix):
if ($this->login['uident'] && $this->login['uname'])   {
// weil [uident] und [uname] alles ausser "", 0, false, null sein kann

Alles anzeigen

Also immer schön auf den Typ ( === , !== ) prüfen.
Nebenbei ist das lesen des Codes auch noch einfacher. Denn wenn da steht:

PHP

if($this->nichtSoKlarWasHierRauskommt() === true)

dann weiß man auf jeden fall was genau hier erwartet wird.
Wenn man sich jetzt noch (soweit wie möglich) daran hält, dass keine "mixed types" aus einer Methode/Funktion returnd werden,
dann weiß man: diese Methode/Funktion gibt entweder TRUE oder FALSE zurück.

Nitamud · 20. März 2015

Hierzu noch eine kleine Anmerkung:

Passt bei case/usort auf die Vergleichen typschwach.

Beispiel:

PHP

<?php




  $variable = "0000120.00";

  switch ($variable) {

    case 120:
      echo 'Achtung';
      break;
    case '0000120.00':
      echo 'Geht';
      break;
  }

  //Achtung wird ausgegeben





?>

Alles anzeigen

Umgehen kann man das ganze so:

PHP

$variable = "0000120.00";

  switch ($variable) {

    case $variable === 120:
      echo 'Achtung';
      break;
    case $variable === '0000120.00':
      echo 'Geht';
      break;
  }




  //Geht wird ausgegeben

Alles anzeigen

Der Feine Unterschied: != und !==

Jetzt mitmachen!

Teilen