溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

為什么PHP允許從 __toString拋出異常

發(fā)布時間:2020-06-21 16:35:57 來源:億速云 閱讀:198 作者:鴿子 欄目:編程語言

介紹

目前禁止從__toString()拋出異常,并將導(dǎo)致致命錯誤。這就使得調(diào)用任意代碼變得很危險(xiǎn),并使其成為一個有問題的通用API。此RFC旨在取消此限制。

當(dāng)前行為的基本原理是,在整個引擎和標(biāo)準(zhǔn)庫的許多地方都執(zhí)行了字符串轉(zhuǎn)換,并不是所有地方都準(zhǔn)備“正確地”處理異常,即盡可能早地處理異常。

從技術(shù)角度來看,這種限制最終是無效的,因?yàn)樽址D(zhuǎn)換期間的異常仍然可以由將可恢復(fù)錯誤轉(zhuǎn)換為異常的錯誤處理程序觸發(fā):

set_error_handler(function() {
    throw new Exception();
});
 
try {
    (string) new stdClass;
} catch (Exception $e) {
    echo "(string) threw an exception...\n";
}

事實(shí)上,Symfony利用這個漏洞來繞過當(dāng)前的限制。不幸的是,這依賴于$errcontext參數(shù),它在PHP 8中消失了.

盡管如此,在我們對該代碼庫中的字符串轉(zhuǎn)換進(jìn)行了全面審核之前,過去關(guān)于該主題的討論一直沒有放松這種限制。這已在附加的實(shí)現(xiàn)請求中完成。

建議

允許從__toString()拋出異常,它的行為與往常一樣。不再觸發(fā)致命錯誤。

另外,將“不能轉(zhuǎn)換為字符串”和“__toString()必須返回一個字符串值”可恢復(fù)的致命錯誤轉(zhuǎn)換為正確的錯誤異常,這與PHP 7中建立的錯誤策略一致。

擴(kuò)展準(zhǔn)則

想要優(yōu)雅地處理來自字符串轉(zhuǎn)換的異常的擴(kuò)展作者,應(yīng)該考慮以下準(zhǔn)則:

● 如果zval_get_string()、convert_to_string()和friends生成一個異常,它們?nèi)匀粫梢粋€字符串。這個字符串被保證是暫存的。這意味著沒有必要釋放它,但可以這樣做。在上下文中,您可以選擇更方便的選項(xiàng)。

● 如果從對象到字符串的轉(zhuǎn)換失敗,則字符串轉(zhuǎn)換的結(jié)果將為空字符串,如果將數(shù)組轉(zhuǎn)換為字符串,并且錯誤處理程序?qū)⒔Y(jié)果通知提升為異常,則為“Array”。(這種行為和以前一樣。)

● 通常情況下,使用通常的if (EG(exception))檢查來檢查是否拋出了異常就足夠了:

zend_string *str = zval_get_string(val);
if (EG(exception)) {
    // Possibly free other resources here.
    return;
}

除此之外,還提供了一些幫助api,將轉(zhuǎn)換建模為容易出錯的操作:

// Like zval_get_string() but returns NULL on conversion failure.
zend_string *str = zval_try_get_string(val);
if (!str) {
    // Possibly free other resources here.
    return;
}
// Main code.
zend_string_release(str);
 
 
// Like zval_get_tmp_string() but returns NULL on conversion failure.
zend_string *tmp, *str = zval_try_get_tmp_string(val, &tmp);
if (!str) {
    // Possibly free other resources here.
    return;
}
// Main code.
zend_tmp_string_release(tmp);
 
 
// Like convert_to_string() but returns a boolean indicating conversion success/failure.
if (!try_convert_to_string(val)) {
    // Possibly free other resources here.
    return;
}
// Main code.

如果轉(zhuǎn)換失敗,try_convert_to_string()將不會修改原始值。因此,使用它比使用convert_to_string()和異常檢查更安全。

雖然檢查每一個字符串轉(zhuǎn)換肯定會使您處于安全的一方,但忽略這些檢查通常只會導(dǎo)致一些不必要的計(jì)算和可能的冗余警告。您應(yīng)該注意的主要事情是修改持久結(jié)構(gòu)(如數(shù)據(jù)庫)的操作。

不向后兼容的變更

從可恢復(fù)的致命錯誤到錯誤異常的轉(zhuǎn)換在技術(shù)上是BC中斷的。

以上就是PHP 7.4允許從 __toString() 拋出異常的詳細(xì)內(nèi)容,更多請關(guān)注億速云其它相關(guān)文章!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI