在 PHP 中，intval 是一個常用的函數，用于將字符串轉換為整數。但是，如果不小心使用會存在被繞過的風險。

首先，我們來看一個常見的使用方式：

$num = intval($_GET['num']);

此時的 $_GET['num'] 可以是任意一個字符串，包括非數值字符串。但是 intval 會將非數值字符串轉換為 0，這樣就達到了防止 SQL 注入及其他攻擊的目的。

然而，如果攻擊者有意投入一個字符串“0123ABC”，intval 會將其轉換為十進制數123，很可能繞過了對數據類型的檢驗，造成安全漏洞。

另外，intval 還存在第二個參數 base，用于將指定進制數值字符串轉換為十進制數。這個參數被濫用時也可能會導致安全問題。

例如，我們再來看另一個使用示例：

$num = intval($_GET['num'], 16);

這里指定進制為16，意味著 $_GET['num'] 中的數值都將被視作十六進制數值。如果 $_GET['num'] 中包含惡意數據，比如 “abc” 或 “123abc” 等字符串，就會被轉換為十進制數值。攻擊者可能會投入這些字符串來繞過數據類型的檢驗，以達到他想要的目的。

綜上，使用 intval 函數時一定要注意數據來源和參數使用，防止被繞過造成不必要的安全問題。