几天前,我开始在我的项目中实现简单的安全功能,以防止用户查看其他用户添加到数据库中的客户。当我这样做时,我感到困惑,因为我意识到标准逻辑运算符的工作方式很奇怪。
这是我最初写的代码:
if($current_user_id != $session_user_id || access_level($session_user_id) != 3) {
header('Location: logout.php');
exit();
}
这意味着如果您尝试查看的存储客户不属于您或您的访问级别不是 3(管理员),您将被注销。它应该按照这个工作:
http://www.w3schools.com/php/php_operators.asp
他们说 ||
的意思是“如果条件 1 或条件 2 为真,则为真”,因此如果任何条件没有失败,它应该允许访问。当然不是,脚本的行为就像只写了第一个条件,这意味着如果您是管理员,那么您的访问级别是 3 并且您正在查看的不是您的客户 - 您仍然会被注销。
这是开始起作用的小修改:
if($current_user_id != $session_user_id && access_level($session_user_id) != 3) {
header('Location: logout.php');
exit();
}
切换到 &&
后,这意味着“如果条件 1 和条件 2 都为真,则为真”
它开始正常工作,这意味着您可能不是客户的所有者,但如果您是管理员,您将被允许访问并且不会注销。
在这一点上我恐怕理解倒退了,有人能解释一下为什么它看起来不合逻辑吗?它究竟是如何工作的?提前谢谢你。
最佳答案
您的逻辑是在以下情况下应允许用户访问:
- 他们是所有者,或者
- 他们是管理员
按照这个逻辑,你可以构造这个语句:
if( $user == $owner || access_level($user) == 3) {
// allow access
}
但是您使用的是否定位置,即。如果他们既不是所有者也不是管理员,则不允许访问。这意味着您必须否定整个 if
语句。
查看 ||
和 &&
的真值表:
A B A||B A&&B
0 0 0 0
0 1 1 0
1 0 1 0
1 1 1 1
从这里可以看出,为了得到A||B
的反义词,我们需要!A && !B
:
A B !A !B A||B !A&&!B
0 0 1 1 0 1
0 1 1 0 1 0
1 0 0 1 1 0
1 1 0 0 1 0
因此,要编写此代码,您需要执行以下操作:
if( !($user == $owner) && !(access_level($user) == 3) ) { /* deny access */ }
当然可以写成:
if( $user != $owner && access_level($user) != 3) { /* deny access */ }
关于构建简单安全函数时的 PHP 逻辑运算符 "&&"和 "||",我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18581507/