使用 ctype_digit($_GET['x']) 和 $_GET['x'] > 0？答案

【问题标题】：Using ctype_digit($_GET['x']) with $_GET['x'] > 0?使用 ctype_digit($_GET['x']) 和 $_GET['x'] > 0？
【发布时间】：2018-08-18 04:07:17
【问题描述】：

像这样在if statement 中使用ctype_digit() 和comparison operator 有什么意义

if ($_GET['x'] > 0 && ctype_digit($_GET['x'])) {
    echo 'It is a Number';
}

【问题讨论】：

为什么两者都有？如果第一句返回 true，它就自动意味着它是一个数字，不是吗？
有一个更简单的方法来做到这一点；这是什么背景？编辑：这和security有什么关系？
@FunkFortyNiner 我记得被XSS 攻击使用不同的unicode 像x3346，所以我担心如果0 有一个带有字母的Unicode 在> 0 上是否可能并已被接受。
@PedroFaria99 不，它可能是一个包含浮点数或科学记数法的字符串。
@Toleo 你经历过这些了吗？ owasp.org/index.php/Cross-site_Scripting_(XSS) --- stackoverflow.com/questions/39466104/… --- stackoverflow.com/questions/39521743/… --- stackoverflow.com/questions/5414962/… ?

【解决方案1】：

不是真的。来自the manual（强调我的）：

如果您将数字与字符串进行比较，或者比较涉及数字字符串，则每个字符串都将转换为数字并以数字方式进行比较。

因此，如果x 是“非数字字符串”，您的第一次检查将失败并使条件短路，从而使ctype_digit() 在这种情况下变得多余。

但是，请注意这种转换。例如，123abc 将在您的第一次检查中返回 true（因为为了进行比较，使用了 123），所以根据它的严格程度，也许可以进行彻底的检查。

$s = "123abc";
var_dump($s > 0); // true

【讨论】：

【解决方案2】：

是的，如果您想确保输入是十进制数并且大于零，这是可能的

【讨论】：