我正在使用一些高级插件,并分析他们发现的代码,在某些函数中,他们使用的代码如下:
$output .= $some_str;
以前在任何地方都没有提到过$。
这段代码有多安全?我试图在PHP手册中找到任何指导,但是就我所看到的,他们只为之前设置的$ output和$ some_str定义了它。
稍后这个$ output变量用于回显HTML代码。
您是否看到有关此的规格?也许我可以在这些插件之外做些什么来使这段代码更安全?为所有未初始化的变量定义了一些默认值?
谢谢!
答案 0 :(得分:7)
这是不好的做法,这就是为什么PHP会发出E_NOTICE(如果启用错误报告)。
也就是说,PHP变量总是自动初始化,因此不会产生任何负面影响。