在 php 7.4.3 环境中使用 `strpos()` 判断子串存在时,因未正确处理返回值(如 `0` 被误判为 `false`)导致逻辑失效,需严格使用 `!== false` 进行比较。
在 PHP 开发中,strpos() 是兼容 PHP 5.0+ 的经典函数,常用于替代 PHP 8.0+ 新增的 str_contains()。但一个极易被忽视的关键点是:strpos() 在目标子串位于字符串开头时返回 0,而 0 == false 为 true(弱比较)——这会导致本应匹配成功的判断被错误跳过。
你的代码中:
echo (stristr($result, 1) !== false) ? '...delete...' : '...update...';
虽已使用 !== false(✅ 正确),但存在两个潜在风险:
- 类型不一致问题:stristr($result, 1) 中数字 1 会被隐式转为字符串 "1",看似可行,但若 $result 包含类似 "10"、"11" 或 "01",stristr("10", 1) 会返回 "10"(即 true),造成误匹配(例如 PRIVACY_ID=10 也会触发 1 的删除按钮);
- $result 初始化缺失:循环前未声明 $result = '';,在 PHP 7.4 严格模式或未启用 error_reporting(E_ALL) 时可能产生 Notice: Undefined variable,且首次拼接行为不可控(尤其当无记录时 $result 为 null,stristr(null, 1) 返回 false,逻辑仍成立但隐患大)。
✅ 正确做法如下:
立即学习“PHP免费学习笔记(深入)”;
① 显式初始化并构建可安全匹配的结构
$result = []; // 使用数组存储 ID,避免字符串歧义
$stmt = $mysql->prepare("SELECT PRIVACY_ID FROM privacy_user WHERE USER_ID = ? AND VALID_TILL IS NULL");
$stmt->execute([$_SESSION['USER_ID']]);
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
$result[] = (int)$row['PRIVACY_ID'];
}
// 转为索引数组便于快速查找(O(1))
$consentedIds = array_flip($result); // 如 [1=>0, 3=>1, 5=>2]② 安全检查(推荐)
③ 若坚持用字符串 + strpos(),必须确保精确匹配
// 将 ID 用分隔符包裹(如逗号),避免 1 匹配到 10/11
$result = ',' . implode(',', $result) . ',';
// 检查是否包含 ",1,"(注意前后逗号)
if (strpos($result, ',1,') !== false) { /* 已同意 */ }⚠️ 额外重要提醒:
- SQL 注入风险:你当前代码中直接拼接 $_SESSION['USER_ID'] 到 SQL 查询("WHERE USER_ID = '" . $_SESSION['USER_ID'] . "'"),这是严重安全隐患!务必改用预处理语句绑定参数(如上例所示);
- 错误报告:在开发环境启用 error_reporting(E_ALL); ini_set('display_errors', 1);,可及时发现未定义变量等低级错误;
-
PHP 版本适配:若长期需支持 PHP 7.x,建议封装兼容函数:
function str_contains_safe(string $haystack, string $needle): bool { return strpos($haystack, $needle) !== false; }
综上,问题根源不在 strpos() 本身失效,而在于数据结构设计不合理 + 类型比较不严谨 + 安全实践缺失。优先采用数组键值映射方案,既高效、安全、可读性强,又彻底规避字符串解析歧义。
