unoh.github.com by unoh

こんにちは，ttsuruoka です．
結構有名な話なのですが，知らない人が居たのでここで紹介しておきます．

PHP で文字列を比較するときに，

if ($s == 'mypassword')

のように == 演算子を使うと，
とても簡単に文字列の比較ができて便利なのですが，
$s が整数の 0（あるいは浮動小数点数の 0.0 など）のときに真（true）になってしまいます．
これは，数値と文字列の比較が行われたときに
文字列（'mypassword'）が自動的に数値に型変換されて，
0 として扱われるためです．

また，どんな文字列でも数値に型変換されると 0 になるか，
というとそうではなくて，例えば，

if ($s == '100yen')

は $s が '100yen' あるいは 100 のときに真になります．
これは $s が 0 でも真になりません．

あと，上の 'mypassword' のように == 演算子を使って
HTML フォームから受け取ったパスワードなどをチェックしているプログラムは
一見脆弱なように見えますが，
HTML フォームから送られたデータは文字列として扱われるので
フォームから数値の 0 を送ろうとしても，

if ('0' == 'mypassword')

のように文字列同士の比較となり，これは真にはならず命拾いします．

数値に変換されると困るとき，厳密に文字列を比較したいときは，
PHP4 から導入されている === 演算子や strcmp() 関数などを使えば OK です．