assert 判断一个表达式是否成立。返回true or false;
<?php
$s = 123;
assert(\公众is_int($s)\公众);
?>
从这个例子可以看到字符串参数会被实行,这跟eval()类似。
不过eval($code_str)只是实行符合php编码规范的$code_str。
eval():该函数对付在数据库文本字段中供日后打算而进行的代码存储很有用。(在生产中也建议少用)
把稳:1.eval()里必须是字符串;
2.eval()里的引号必须是双引号,由于单引号不能解析字符串里的变量$str;
eval定义和用法:
(1)eval() 函数把字符串按照 PHP 代码来打算(打算=实行)。
(2)该字符串必须是合法的 PHP 代码,且必须以分号结尾。
(3)如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析缺点,则 eval() 函数返回 false
assert的用法却更详细一点。
assert_option()可以用来对assert()进行一些约束和掌握;
默认值
ASSERT_ACTIVE=1 //Assert函数的开关
ASSERT_WARNING =1 //当表达式为false时,是否要输出警告性的缺点提示,issue a PHP warning for each failed assertion
ASSERT_BAIL= 0 //是否要中止运行;terminate execution on failed assertions
ASSERT_QUIET_EVAL= 0 //是否关闭缺点提示,在实行表达式时;disable error_reporting during assertion expression evaluation
ASSERT_CALLBACK= (NULL) // 是否启动回调函数 user function to call on failed assertions
php的官方文档里头是建议将assert用来进行debug,我们可以创造还有一个开关ASSERT_ACTIVE可以用来掌握是否开启debug。
现在问题就产生了,如果程序员在开拓的时候在代码中留下了很多assert(),然后在程序发布的时候关闭实行,设置assert_options(ASSERT_ACTIVE,0);这样做是否可行?有没有安全问题?
既然assert紧张浸染是debug,就不要在程序发布的时候还留着它。在程序中用assert来对表达进行判断是不明智的,缘故原由上文说了, 一个是在生产环境中assert可能被disabled,以是assert不能被完备信赖;二是assert()可以被连续实行;而如果在生产环境让 ASSERT_ACTIVE=1,那这个表达式字符串可以被实行本身就存在安全隐患。assert引起的代码注射
例如
<?php
function fo(){
$fp = fopen(\"大众c:/test.php\公众,'w');
fwrite($fp,\公众123\公众);
fclose($fp);
return true;
}
assert(\公众fo()\"大众);
?>
把稳:assert把全体字符串参数当php代码实行,eval把合法的php代码实行。
以上便是php中assert和eval的详细先容(代码示例)的详细内容,更多请关注其它干系文章!
更多技巧请《转发 + 关注》哦!
