PHP弱类型的安全问题详细总结


Posted in PHP onSeptember 25, 2016

前言

相信大家都知道PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面。在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理。

这篇文章主要就是记录我在做攻防平台上面遇到的PHP的函数中存在的问题,以及PHP的弱类型所带来的问题。对大家在学习或者使用php的时候具有一定的参考借鉴价值,下面来一起看看。

PHP弱类型简介

小编之所以认为php很强大是因为php提供了很多独有的特性工开发者使用,其中一个就是php弱类型机制。

在PHP中,可以进行一下的操作。

$param = 1;
$param = array();
$param = "stringg";

弱类型的语言对变量的数据类型没有限制,你可以在任何地时候将变量赋值给任意的其他类型的变量,同时变量也可以转换成任意地其他类型的数据。

类型转换问题

类型转换是无法避免的问题。例如需要将GET或者是POST的参数转换为int类型,或者是两个变量不匹配的时候,PHP会自动地进行变量转换。但是PHP是一个弱类型的语言,导致在进行类型转换的时候会存在很多意想不到的问题。

比较操作符

类型转换

$a==$b的比较中

$a=null;$b=flase ; //true
$a='';$b=null; //true

这样的例子还有很多,这种比较都是相等。

使用比较操作符的时候也存在类型转换的问题,如下:

0=='0' //true
0 == 'abcdefg' //true
0 === 'abcdefg' //false
1 == '1abcdef' //true

当不同类型的变量进行比较的时候就会存在变量转换的问题,在转换之后就有可能会存在问题。

Hash比较

除了以上的这种方式之外在进行hash比较的时候也会存在问题。如下:

"0e132456789"=="0e7124511451155" //true
"0e123456abc"=="0e1dddada" //false
"0e1abc"=="0"  //true

在进行比较运算时,如果遇到了0e\d+这种字符串,就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0e\d+这种模式就不会相等。这个题目在攻防平台中的md5 collision就有考到。

十六进制转换

还存在一种十六进制余字符串进行比较运算时的问题。

例子如下:

"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false

当其中的一个字符串是0x开头的时候,PHP会将此字符串解析成为十进制然后再进行比较,0x1240解析成为十进制就是123456,所以与int类型和string类型的123456比较都是相等。攻防平台中的起名字真难就是考察的这个特性。

类型转换

常见的转换主要就是int转换为string,string转换为int。

int转string:

$var = 5;
方式1:$item = (string)$var;
方式2:$item = strval($var);

string转intintval()函数。

对于这个函数,可以先看2个例子。

var_dump(intval('2')) //2
var_dump(intval('3abcd')) //3
var_dump(intval('abcd')) //0

说明intval()转换的时候,会将从字符串的开始进行转换知道遇到一个非数字的字符。即使出现无法转换的字符串,intval()不会报错而是返回0。

intval()的这种特性在攻防平台中的MYSQL这道题目中就有考到。

同时,程序员在编程的时候也不应该使用如下的这段代码:

if(intval($a)>1000) {
 mysql_query("select * from news where id=".$a)
}

这个时候$a的值有可能是1002 union…..

内置函数的参数的松散性

内置函数的松散性说的是,调用函数时给函数传递函数无法接受的参数类型。解释起来有点拗口,还是直接通过实际的例子来说明问题,下面会重点介绍几个这种函数。

md5()

$array1[] = array(
 "foo" => "bar",
 "bar" => "foo",
);
$array2 = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)); //true

PHP手册中的md5()函数的描述是string md5 ( string $str [, bool $raw_output = false ] ) md5()中的需要是一个string类型的参数。但是当你传递一个array时,md5()不会报错,知识会无法正确地求出array的md5值,这样就会导致任意2个array的md5值都会相等。这个md5()的特性在攻防平台中的bypass again同样有考到。

strcmp()

strcmp()函数在PHP官方手册中的描述是int strcmp ( string $str1 , string $str2 ) ,需要给strcmp()传递2个string类型的参数。如果str1小于str2,返回-1,相等返回0,否则返回1。strcmp函数比较字符串的本质是将两个变量转换为ascii,然后进行减法运算,然后根据运算结果来决定返回值。

如果传入给出strcmp()的参数是数字呢?

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

strcmp这种特性在攻防平台中的pass check有考到。

switch()

如果switch是数字类型的case的判断时,switch会将其中的参数转换为int类型。如下:

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}

这个时候程序输出的是i is less than 3 but not negative,是由于switch()函数将$i进行了类型转换,转换结果为2。

in_array()

在PHP手册中,in_array()函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ,如果strict参数没有提供,那么in_array就会使用松散比较来判断$needle是否在$haystack中。当strince的值为true时,in_array()会比较needls的类型和haystack中的类型是否相同。

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true

可以看到上面的情况返回的都是true,因为'abc'会转换为0,'1bc'转换为1。

array_search()in_array()也是一样的问题。

总结

以上就是为大家总结的一些关于PHP弱类型的安全问题,希望这篇文章对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。

PHP 相关文章推荐
hessian 在PHP中的使用介绍
Dec 13 PHP
遭遇php的in_array低性能问题
Sep 17 PHP
php缓冲 output_buffering和ob_start使用介绍
Jan 30 PHP
php分页函数示例代码分享
Feb 24 PHP
PHP常用技术文之文件操作和目录操作总结
Sep 27 PHP
php传值赋值和传地址赋值用法实例分析
Jun 20 PHP
ThinkPHP控制器详解
Jul 27 PHP
WordPress中自定义后台管理界面配色方案的小技巧
Dec 29 PHP
PHP简单实现无限级分类的方法
May 13 PHP
CodeIgniter生成静态页的方法
May 17 PHP
基于Laravel实现的用户动态模块开发
Sep 21 PHP
PHP支付宝当面付2.0代码
Dec 21 PHP
php中mkdir()函数的权限问题分析
Sep 24 #PHP
php 生成Tab键或逗号分隔的CSV
Sep 24 #PHP
php 使用fopen函数创建、打开文件详解及实例代码
Sep 24 #PHP
php fread读取文件注意事项
Sep 24 #PHP
一个简单安全的PHP验证码类、PHP验证码
Sep 24 #PHP
jquery不支持toggle()高(新)版本的问题解决
Sep 24 #PHP
php getcwd与dirname(__FILE__)区别详解
Sep 24 #PHP
You might like
一些常用的JS功能函数代码
2009/06/23 Javascript
jQuery学习基础知识小结
2010/11/25 Javascript
精选的10款用于构建良好易用性网站的jQuery插件
2011/01/23 Javascript
wangEditor编辑器失去焦点后仍然可以在原位置插入图片分析
2015/05/06 Javascript
如何消除inline-block属性带来的标签间间隙
2016/03/31 Javascript
jQuery使用正则表达式限制文本框只能输入数字
2016/06/18 Javascript
浅谈移动端之js touch事件 手势滑动事件
2016/11/07 Javascript
浅谈JsonObject中的key-value数据解析排序问题
2017/12/06 Javascript
使用JS模拟锚点跳转的实例
2018/02/01 Javascript
vue加载自定义的js文件方法
2018/03/13 Javascript
vue中使用echarts制作圆环图的实例代码
2018/07/27 Javascript
vue实现瀑布流组件滑动加载更多
2020/03/10 Javascript
Vue+elementUI实现多图片上传与回显功能(含回显后继续上传或删除)
2020/03/23 Javascript
Vue实现购物车实例代码两则
2020/05/30 Javascript
[00:47]DOTA2荣耀之路6:天火,天火!
2018/05/30 DOTA
[42:56]VGJ.S vs Serenity 2018国际邀请赛小组赛BO2 第二场 8.19
2018/08/21 DOTA
Python数据类型详解(三)元祖:tuple
2016/05/08 Python
各种Python库安装包下载地址与安装过程详细介绍(Windows版)
2016/11/02 Python
Python实现 多进程导入CSV数据到 MySQL
2017/02/26 Python
Python生成任意范围任意精度的随机数方法
2018/04/09 Python
解决Python3中的中文字符编码的问题
2018/07/18 Python
对Python w和w+权限的区别详解
2019/01/23 Python
python如何实现代码检查
2019/06/28 Python
python爬虫豆瓣网的模拟登录实现
2019/08/21 Python
Django返回HTML文件的实现方法
2020/09/17 Python
IE兼容css3圆角的实现代码
2011/07/21 HTML / CSS
HTML5 video循环播放多个视频的方法步骤
2020/08/06 HTML / CSS
Abbacino官网:包、钱包和女士配饰
2019/04/15 全球购物
入党自我鉴定范文
2013/10/04 职场文书
电子商务自荐书范文
2014/01/04 职场文书
六一儿童节活动总结
2014/08/27 职场文书
刑事申诉状范文
2015/05/20 职场文书
无工作证明怎么写
2015/06/15 职场文书
赞美教师的句子
2019/09/02 职场文书
Django开发RESTful API实现增删改查(入门级)
2021/05/10 Python
SpringBoot快速入门详解
2021/07/21 Java/Android