详解php比较操作符的安全问题


Posted in PHP onDecember 03, 2015

php的比较操作符有==(等于)松散比较,===(完全等于)严格比较,这里面就会引入很多有意思的问题。

在松散比较的时候,php会将他们的类型统一,比如说字符到数字,非bool类型转换成bool类型,为了避免意想不到的运行效果,应该使用严格比较。如下是php manual上的比较运算符表:

例子    名称     结果
$a == $b  等于   TRUE,如果类型转换后 $a 等于 $b。
$a === $b  全等   TRUE,如果 $a 等于 $b,并且它们的类型也相同。
$a != $b  不等   TRUE,如果类型转换后 $a 不等于 $b。
$a <> $b  不等   TRUE,如果类型转换后 $a 不等于 $b。
$a !== $b  不全等   TRUE,如果 $a 不等于 $b,或者它们的类型不同。
$a < $b   小与   TRUE,如果 $a 严格小于 $b。
$a > $b   大于   TRUE,如果 $a 严格大于 $b。
$a <= $b  小于等于   TRUE,如果 $a 小于或者等于 $b。
$a >= $b  大于等于   TRUE,如果 $a 大于或者等于 $b。

0x01 安全问题

1 hash比较缺陷

php在处理hash字符串的时候会用到!=,==来进行hash比较,如果hash值以0e开头,后边都是数字,再与数字比较,就会被解释成0*10^n还是为0,就会被判断相等,绕过登录环节。

root@kali:~/tool# php -r 'var_dump("00e0345" == "0");var_dump("0e123456789"=="0");var_dump("0e1234abc"=="0");'
bool(true)
bool(true)
bool(false)

当全是数字的时候,宽松的比较会执行尽力模式,如0e12345678会被解释成0*10^12345678,除了e不全是数字的时候就不会相等,这能从var_dump("0e1234abc"=="0")可以看出来。

2 bool 欺骗

当存在json_decode和unserialize的时候,部分结构会被解释成bool类型,也会造成欺骗。json_decode示例代码:

$json_str = '{"user":true,"pass":true}';
$data = json_decode($json_str,true);
if ($data['user'] == 'admin' && $data['pass']=='secirity')
{
  print_r('logined in as bool'."\n");
}

运行结果:

root@kali:/var/www# php /root/php/hash.php
logined in as bool

unserialize示例代码:

$unserialize_str = 'a:2:{s:4:"user";b:1;s:4:"pass";b:1;}';
$data_unserialize = unserialize($unserialize_str);
if ($data_unserialize['user'] == 'admin' && $data_unserialize['pass']=='secirity')
{
  print_r('logined in unserialize'."\n");
}

运行结果如下:

root@kali:/var/www# php /root/php/hash.php
logined in unserialize

3 数字转换欺骗

$user_id = ($_POST['user_id']);
if ($user_id == "1")
{
  $user_id = (int)($user_id);
  #$user_id = intval($user_id);
  $qry = "SELECT * FROM `users` WHERE user_id='$user_id';";
}
$result = mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );
print_r(mysql_fetch_row($result));

将user_id=0.999999999999999999999发送出去得到结果如下:

Array
(
    [0] => 0
    [1] => lxx'
    [2] =>
    [3] =>
    [4] =>
    [5] =>
)

本来是要查询user_id的数据,结果却是user_id=0的数据。int和intval在转换数字的时候都是就低的,再如下代码:

if ($_POST['uid'] != 1) {
 $res = $db->query("SELECT * FROM user WHERE uid=%d", (int)$_POST['uid']);
 mail(...);
} else {
 die("Cannot reset password of admin");
}

假如传入1.1,就绕过了$_POST['uid']!=1的判断,就能对uid=1的用户进行操作了。另外intval还有个尽力模式,就是转换所有数字直到遇到非数字为止,如果采用:

if (intval($qq) === '123456')
{
  $db->query("select * from user where qq = $qq")
}

攻击者传入123456 union select version()进行攻击。

4 PHP5.4.4 特殊情况

这个版本的php的一个修改导致两个数字型字符溢出导致比较相等

$ php -r 'var_dump("61529519452809720693702583126814" == "61529519452809720000000000000000");'
bool(true)

3 题外话:

同样有类似问题的还有php strcmp函数,manual上是这么解释的,int strcmp ( string $str1 , string $str2 ),str1是第一个字符串,str2是第二个字符串,如果str1小于str2,返回<0,如果str1>str2,返回>0,两者相等返回0,假如str2为一个array呢?

$_GET['key'] = array();
$key = "llocdpocuzion5dcp2bindhspiccy";
$flag = strcmp($key, $_GET['key']);
if ($flag == 0) {
  print "Welcome!";
} else {
  print "Bad key!";
}

运行结果:

root@kali:~/php# php strcmp.php
PHP Warning:  strcmp() expects parameter 2 to be string, array given in /root/php/strcmp.php on line 13
Welcome!

比较多种类型

运算数 1 类型 运算数 1 类型 结果
null 或 string string 将 NULL 转换为 "",进行数字或词汇比较
bool 或 null 任何其它类型 转换为 bool,FALSE 
object object 内置类可以定义自己的比较,不同类不能比较,相同类和数组同样方式比较属性(PHP 4 中),PHP 5 有其自己的说明
string,resource或 number string,resource或 number 将字符串和资源转换成数字,按普通数学比较
array array 具有较少成员的数组较小,如果运算数 1 中的键不存在于运算数 2 中则数组无法比较,否则挨个值比较(见下例)
array 任何其它类型 array 总是更大
object 任何其它类型 object 总是更大
PHP 相关文章推荐
php mysql索引问题
Jun 07 PHP
php 信息采集程序代码
Mar 17 PHP
使用dump函数,给php加断点测试
Jun 25 PHP
thinkphp数据查询和遍历数组实例
Nov 28 PHP
php实现word转html的方法
Jan 22 PHP
Laravel中间件实现原理详解
Oct 09 PHP
Yii2 队列 shmilyzxt/yii2-queue 简单概述
Aug 02 PHP
PHPExcel 修改已存在Excel的方法
May 03 PHP
PHP实现redis限制单ip、单用户的访问次数功能示例
Jun 16 PHP
PHP+redis实现微博的推模型案例分析
Jul 10 PHP
php解决安全问题的方法实例
Sep 19 PHP
PHP 实现 JSON 数据的编码和解码操作详解
Apr 22 PHP
thinkPHP模型初始化实例分析
Dec 03 #PHP
ZF框架实现发送邮件的方法
Dec 03 #PHP
PHP实现的蚂蚁爬杆路径算法代码
Dec 03 #PHP
PHP实现QQ空间自动回复说说的方法
Dec 02 #PHP
如何在旧的PHP系统中使用PHP 5.3之后的库
Dec 02 #PHP
thinkphp微信开发(消息加密解密)
Dec 02 #PHP
thinkphp微信开之安全模式消息加密解密不成功的解决办法
Dec 02 #PHP
You might like
56.com视频采集接口程序(PHP)
2007/09/22 PHP
生成卡号php代码
2008/04/09 PHP
PHP 缓存实现代码及详细注释
2010/05/16 PHP
php中get_meta_tags()、CURL与user-agent用法分析
2014/12/16 PHP
Yii2实现跨mysql数据库关联查询排序功能代码
2017/02/10 PHP
fckeditor 获取文本框值的实现代码
2009/02/09 Javascript
javascript 文档的编码问题解决
2009/03/01 Javascript
JavaScript中的变量声明早于赋值分析
2012/03/01 Javascript
textarea不能通过maxlength属性来限制字数的解决方法
2014/09/01 Javascript
JavaScript实现的简单烟花特效代码
2015/10/20 Javascript
JavaScript+html5 canvas制作的圆中圆效果实例
2016/01/27 Javascript
一道常被人轻视的web前端常见面试题(JS)
2016/02/15 Javascript
JS按钮闪烁功能的实现代码
2017/07/21 Javascript
JScript实现地址选择功能
2017/08/15 Javascript
详解Vuex管理登录状态
2017/11/13 Javascript
vue中实现左右联动的效果
2018/06/22 Javascript
Nodejs把接收图片base64格式保存为文件存储到服务器上
2018/09/26 NodeJs
vue cli3 配置proxy代理无效的解决
2019/10/30 Javascript
Nodejs + Websocket 指定发送及群聊的实现
2020/01/09 NodeJs
vue3.0 项目搭建和使用流程
2021/03/04 Vue.js
由浅入深讲解python中的yield与generator
2017/04/05 Python
tensorflow识别自己手写数字
2018/03/14 Python
Python实现基于SVM的分类器的方法
2019/07/19 Python
matplotlib基础绘图命令之bar的使用方法
2020/08/13 Python
Python绘制数码晶体管日期
2021/02/19 Python
曼城官方网上商店:Manchester City
2019/09/10 全球购物
美国眼镜在线零售商:Dualens
2019/12/07 全球购物
Python面试题集
2012/03/08 面试题
思想品德自我评价
2014/02/04 职场文书
安全演讲稿开场白
2014/08/25 职场文书
北京导游词
2015/02/12 职场文书
学校节水倡议书
2015/04/29 职场文书
酒店员工管理制度
2015/08/05 职场文书
详解SpringBoot异常处理流程及原理
2021/06/21 Java/Android
Python Django获取URL中的数据详解
2021/11/01 Python
Java基础——Map集合
2022/04/01 Java/Android