构建简单安全函数时的 PHP 逻辑运算符 "&&"和 "||"

Question

几天前，我开始在我的项目中实现简单的安全功能，以防止用户查看其他用户添加到数据库中的客户。当我这样做时，我感到困惑，因为我意识到标准逻辑运算符的工作方式很奇怪。

这是我最初写的代码:

if($current_user_id != $session_user_id || access_level($session_user_id) != 3) {
    header('Location: logout.php');
    exit();
}

这意味着如果您尝试查看的存储客户不属于您或您的访问级别不是 3(管理员)，您将被注销。它应该按照这个工作:

http://www.w3schools.com/php/php_operators.asp

他们说 || 的意思是“如果条件 1 或条件 2 为真，则为真”，因此如果任何条件没有失败，它应该允许访问。当然不是，脚本的行为就像只写了第一个条件，这意味着如果您是管理员，那么您的访问级别是 3 并且您正在查看的不是您的客户 - 您仍然会被注销。

这是开始起作用的小修改:

if($current_user_id != $session_user_id && access_level($session_user_id) != 3) {
    header('Location: logout.php');
    exit();
}

切换到 && 后，这意味着“如果条件 1 和条件 2 都为真，则为真”它开始正常工作，这意味着您可能不是客户的所有者，但如果您是管理员，您将被允许访问并且不会注销。

在这一点上我恐怕理解倒退了，有人能解释一下为什么它看起来不合逻辑吗？它究竟是如何工作的？提前谢谢你。

Answer 1

您的逻辑是在以下情况下应允许用户访问:

• 他们是所有者，或者
• 他们是管理员

按照这个逻辑，你可以构造这个语句:

if( $user == $owner || access_level($user) == 3) {
    // allow access
}

但是您使用的是否定位置，即。如果他们既不是所有者也不是管理员，则不允许访问。这意味着您必须否定整个 if 语句。

查看 || 和 && 的真值表:

A B A||B A&&B
0 0  0    0
0 1  1    0
1 0  1    0
1 1  1    1

从这里可以看出，为了得到A||B的反义词，我们需要!A && !B:

A B !A !B A||B !A&&!B
0 0 1  1   0     1
0 1 1  0   1     0
1 0 0  1   1     0
1 1 0  0   1     0

因此，要编写此代码，您需要执行以下操作:

if( !($user == $owner) && !(access_level($user) == 3) ) { /* deny access */ }

当然可以写成:

if( $user != $owner && access_level($user) != 3) { /* deny access */ }