php新手常见隐患是逻辑错误而非语法错误,包括变量未初始化导致isset()/empty()误判、==松散比较引发类型转换异常、数组引用与复制混淆、误用过时mysql函数及预处理漏洞。
PHP新手最常栽在“看起来能跑,其实逻辑已错”的地方——不是语法报错,而是值不对、类型错位、作用域混乱、资源没释放。
变量未初始化就直接 isset() 或 empty() 判断
很多新手以为 isset($a) 是“检查变量是否存在”,其实它只判断是否已声明且不为 NULL;而 empty($a) 会强制转换类型再判“空”,比如 0、"0"、[] 都返回 true。
- 真实场景:表单提交后用
$_POST['age']做判断,但用户可能没填,或填了字符串"0",结果被empty()误判为“没提交” - 更安全的做法是先用
array_key_exists('age', $_POST)确认键存在,再用is_numeric($_POST['age']) && $_POST['age'] >= 0校验值 - 若只是防 Notice,应显式初始化:
$age = $_POST['age'] ?? null;(PHP 7.0+)
== 和 === 混用导致类型隐式转换出错
PHP 的松散比较 == 会自动类型转换,比如 "123abc" == 123 居然为 true(字符串开头数字被截取),null == false 也是 true。
- 典型翻车点:数据库查出的
status字段是字符串"0",用if ($row['status'] == 1)判启用,结果"0" == 1是false,看似正常;但换成if ($row['status'] != 1),"0" != 1却是true,逻辑就反了 - 除极少数明确需要类型转换的场景(如兼容旧接口),一律用
===和!== - 调试时可用
var_dump($val)看完整类型和值,别只靠echo
函数参数传引用却忘了加 &,或误以为所有数组操作都“原地修改”
PHP 数组默认按值传递,foreach ($arr as $v) 中改 $v 不影响原数组;但 foreach ($arr as &$v) 才真正引用,且容易遗留悬空引用。
立即学习“PHP免费学习笔记(深入)”;
- 常见错误:循环后忘记
unset($v),导致下次对同一数组的foreach把最后一个元素和后续变量绑定,值被意外覆盖 -
sort()、array_push()等函数确实修改原数组,但array_merge()、array_map()返回新数组,原数组不变 - 想确保安全,可显式复制:
$new_arr = $old_arr;(PHP 7.4+ 支持[...$arr]展开)
MySQL 扩展过时还硬套 mysql_* 函数,或 pdo 预处理写成拼接
mysql_* 函数早在 PHP 5.5.0 被弃用、7.0.0 彻底移除;而用 PDO::prepare() 却把变量直接拼进 SQL 字符串,等于白做预处理。
- 错误示例:
$sql = "SELECT * FROM user WHERE id = " . $_GET['id']; $pdo->query($sql);—— 完全没防注入 - 正确写法:
$stmt = $pdo->prepare("SELECT * FROM user WHERE id = ?"); $stmt->execute([$_GET['id']]); - 注意:PDO 默认不开启
PDO::ATTR_EMULATE_PREPARES = false,某些低版本 MySQL 驱动下仍可能模拟预处理,建议显式设置
这些坑往往不报错、不崩溃,只让数据错得悄无声息——尤其在条件分支多、类型混合、跨请求状态依赖的业务里,最容易漏查。写完一段逻辑,别急着测功能,先盯三眼:var_dump() 输出类型、=== 替换 ==、?? 替代裸访问超全局变量。