Comparaison de chaînes en utilisant '==' vs 'strcmp ()'

Il semble que l' ===opérateur de PHP soit sensible à la casse. Y a-t-il donc une raison d'utiliser strcmp()?

Est-il sûr de faire quelque chose comme ce qui suit?

if ($password === $password2) { ... }

La raison de l'utiliser est parce que strcmp

renvoie <0 si str1 est inférieur à str2; > 0 si str1 est supérieur à str2 et 0 s'ils sont égaux.

===renvoie uniquement trueou false, il ne vous indique pas quelle est la "plus grande" chaîne.

Vous ne devez jamais utiliser ==pour la comparaison de chaînes. ===est OK.

$something = 0;
echo ('password123' == $something) ? 'true' : 'false';

Exécutez simplement le code ci-dessus et vous comprendrez pourquoi.

$something = 0;
echo ('password123' === $something) ? 'true' : 'false';

Maintenant, c'est un peu mieux.

Ne pas utiliser ==en PHP. Il ne fera pas ce que vous attendez. Même si vous comparez des chaînes à des chaînes, PHP les convertira implicitement en flottants et effectuera une comparaison numérique si elles apparaissent numériques.

Par exemple, '1e3' == '1000'renvoie true. Vous devriez utiliser à la ===place.

Eh bien ... selon ce rapport de bogue php , vous pouvez même obtenir 0wned.

<?php 
    $pass = isset($_GET['pass']) ? $_GET['pass'] : '';
    // Query /?pass[]= will authorize user
    //strcmp and strcasecmp both are prone to this hack
    if ( strcasecmp( $pass, '123456' ) == 0 ){
      echo 'You successfully logged in.';
    }
 ?>

Il vous donne un avertissement, mais contourne toujours la comparaison.
Vous devriez faire ===comme l'a suggéré @postfuturist.

Rappelez-vous toujours que lorsque vous comparez des chaînes, vous devez utiliser l' ===opérateur (comparaison stricte) et non l' == opérateur (comparaison lâche).

Résumant toutes les réponses:

• ==est une mauvaise idée pour les comparaisons de chaînes.
  Il vous donnera des résultats "surprenants" dans de nombreux cas. Ne lui faites pas confiance.

• === est très bien, et vous donnera les meilleures performances.

• strcmp() doit être utilisé si vous devez déterminer quelle chaîne est "supérieure", généralement pour les opérations de tri.

L'utilisation ==peut être dangereuse.

Notez qu'il transtyperait la variable dans un autre type de données si les deux diffèrent.

Exemples:

• echo (1 == '1') ? 'true' : 'false';
• echo (1 == true) ? 'true' : 'false';

Comme vous pouvez le voir, ces deux types sont de types différents, mais le résultat est true, ce qui n'est peut-être pas ce à quoi votre code s'attendra.

L' utilisation ===est toutefois recommandé comme le montre l'essai qu'il est un peu plus rapide que strcmp()et son alternative insensible à la casse strcasecmp().

La recherche rapide sur Google crie cette comparaison de vitesse: http://snipplr.com/view/758/

strcmp()et ===sont tous deux sensibles à la casse mais ===sont beaucoup plus rapides

exemple de code: http://snipplr.com/view/758/

strcmp renverra différentes valeurs en fonction de l'environnement qu'il exécute (Linux / Windows)!

La raison en est qu'il a un bogue comme le rapport de bogue l'indique https://bugs.php.net/bug.php?id=53999

Veuillez manipuler avec soin !! Merci.

Vous pouvez utiliser strcmp()si vous souhaitez commander / comparer des chaînes lexicographiquement . Si vous souhaitez simplement vérifier l'égalité, ==c'est très bien.

La fonction peut également aider au tri. Pour être plus clair sur le tri. strcmp () renvoie moins de 0 si string1 trie avant string2, supérieur à 0 si string2 trie avant string1 ou 0 s'ils sont identiques. Par exemple

$first_string = "aabo";
$second_string = "aaao";
echo $n = strcmp($first_string,$second_string);

La fonction renverra plus de zéro, car aaao trie avant aabo.

PHP Au lieu d'utiliser le tri alphabétique, utilisez la valeur ASCII du caractère pour effectuer la comparaison. Les lettres minuscules ont une valeur ASCII plus élevée que les majuscules. Il est préférable d'utiliser l'opérateur d'identité === pour effectuer ce genre de comparaison. strcmp () est une fonction permettant d'effectuer des comparaisons de chaînes sécurisées binaires. Il prend deux chaînes comme arguments et renvoie <0 si str1 est inférieur à str2; > 0 si str1 est supérieur à str2 et 0 s'ils sont égaux. Il existe également une version insensible à la casse nommée strcasecmp () qui convertit d'abord les chaînes en minuscules, puis les compare.

if ($password === $password2) { ... }n'est pas une chose sûre à faire lors de la comparaison de mots de passe ou de hachages de mots de passe lorsque l'une des entrées est contrôlée par l'utilisateur.
Dans ce cas, il crée un oracle de synchronisation permettant à un attaquant de dériver le hachage de mot de passe réel à partir des différences de temps d'exécution.
Utilisez-le à la if (hash_equals($password, $password2)) { ... }place, car hash_equals effectue une "comparaison sécurisée des chaînes de l'attaque temporelle".