几天前,我开始为我的项目实现简单的安全功能,以防止用户查看其他用户添加到数据库的客户.当我这样做时,我感到困惑,因为我意识到标准的逻辑运算符以奇怪的方式工作.
这是我最初写的代码:
if($current_user_id != $session_user_id || access_level($session_user_id) != 3) {
header('Location: logout.php');
exit();
}
这意味着,如果您尝试查看的存储客户不属于您或您的访问级别不是3(管理员),您将被注销.它应该按照这样工作:
http://www.w3schools.com/php/php_operators.asp
他们说这||意味着"如果条件1或条件2都是真的则为真",所以如果任何条件没有失败,它应该允许访问.当然不是,脚本表现为只写入第一个条件,这意味着如果您是管理员,那么您的访问级别为3而您正在查看的不是您的客户 - 您仍然会被注销.
这是一个小的修改,开始工作:
if($current_user_id != $session_user_id && access_level($session_user_id) != 3) {
header('Location: logout.php');
exit();
}
切换到&&"如果条件1和条件2都为真,则为真",它开始正常工作,这意味着您可能不是客户的所有者,但如果您是管理员,您将被允许访问而不会注销.
在这一点上,我害怕我向后理解它,有人可以解释为什么它看起来不合逻辑吗?它究竟是如何工作的?先感谢您.
您的逻辑是,在以下情况下应允许用户访问:
通过这种逻辑,您可以构造此语句:
if( $user == $owner || access_level($user) == 3) {
// allow access
}
但你正在使用负面立场,即.如果他们不是所有者NOR管理员,则禁止访问.这意味着你必须否定整个if陈述.
查看真值表||并&&:
A B A||B A&&B
0 0 0 0
0 1 1 0
1 0 1 0
1 1 1 1
你可以从中看到,为了得到相反的结果A||B,我们需要!A && !B:
A B !A !B A||B !A&&!B
0 0 1 1 0 1
0 1 1 0 1 0
1 0 0 1 1 0
1 1 0 0 1 0
因此,要编写此代码,请执行以下操作:
if( !($user == $owner) && !(access_level($user) == 3) ) { /* deny access */ }
当然可以写成:
if( $user != $owner && access_level($user) != 3) { /* deny access */ }