PHP弱类型的安全问题详细总结


Posted in PHP onSeptember 25, 2016

前言

相信大家都知道PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面。在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理。

这篇文章主要就是记录我在做攻防平台上面遇到的PHP的函数中存在的问题,以及PHP的弱类型所带来的问题。对大家在学习或者使用php的时候具有一定的参考借鉴价值,下面来一起看看。

PHP弱类型简介

小编之所以认为php很强大是因为php提供了很多独有的特性工开发者使用,其中一个就是php弱类型机制。

在PHP中,可以进行一下的操作。

$param = 1;
$param = array();
$param = "stringg";

弱类型的语言对变量的数据类型没有限制,你可以在任何地时候将变量赋值给任意的其他类型的变量,同时变量也可以转换成任意地其他类型的数据。

类型转换问题

类型转换是无法避免的问题。例如需要将GET或者是POST的参数转换为int类型,或者是两个变量不匹配的时候,PHP会自动地进行变量转换。但是PHP是一个弱类型的语言,导致在进行类型转换的时候会存在很多意想不到的问题。

比较操作符

类型转换

$a==$b的比较中

$a=null;$b=flase ; //true
$a='';$b=null; //true

这样的例子还有很多,这种比较都是相等。

使用比较操作符的时候也存在类型转换的问题,如下:

0=='0' //true
0 == 'abcdefg' //true
0 === 'abcdefg' //false
1 == '1abcdef' //true

当不同类型的变量进行比较的时候就会存在变量转换的问题,在转换之后就有可能会存在问题。

Hash比较

除了以上的这种方式之外在进行hash比较的时候也会存在问题。如下:

"0e132456789"=="0e7124511451155" //true
"0e123456abc"=="0e1dddada" //false
"0e1abc"=="0"  //true

在进行比较运算时,如果遇到了0e\d+这种字符串,就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0e\d+这种模式就不会相等。这个题目在攻防平台中的md5 collision就有考到。

十六进制转换

还存在一种十六进制余字符串进行比较运算时的问题。

例子如下:

"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false

当其中的一个字符串是0x开头的时候,PHP会将此字符串解析成为十进制然后再进行比较,0x1240解析成为十进制就是123456,所以与int类型和string类型的123456比较都是相等。攻防平台中的起名字真难就是考察的这个特性。

类型转换

常见的转换主要就是int转换为string,string转换为int。

int转string:

$var = 5;
方式1:$item = (string)$var;
方式2:$item = strval($var);

string转intintval()函数。

对于这个函数,可以先看2个例子。

var_dump(intval('2')) //2
var_dump(intval('3abcd')) //3
var_dump(intval('abcd')) //0

说明intval()转换的时候,会将从字符串的开始进行转换知道遇到一个非数字的字符。即使出现无法转换的字符串,intval()不会报错而是返回0。

intval()的这种特性在攻防平台中的MYSQL这道题目中就有考到。

同时,程序员在编程的时候也不应该使用如下的这段代码:

if(intval($a)>1000) {
 mysql_query("select * from news where id=".$a)
}

这个时候$a的值有可能是1002 union…..

内置函数的参数的松散性

内置函数的松散性说的是,调用函数时给函数传递函数无法接受的参数类型。解释起来有点拗口,还是直接通过实际的例子来说明问题,下面会重点介绍几个这种函数。

md5()

$array1[] = array(
 "foo" => "bar",
 "bar" => "foo",
);
$array2 = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)); //true

PHP手册中的md5()函数的描述是string md5 ( string $str [, bool $raw_output = false ] ) md5()中的需要是一个string类型的参数。但是当你传递一个array时,md5()不会报错,知识会无法正确地求出array的md5值,这样就会导致任意2个array的md5值都会相等。这个md5()的特性在攻防平台中的bypass again同样有考到。

strcmp()

strcmp()函数在PHP官方手册中的描述是int strcmp ( string $str1 , string $str2 ) ,需要给strcmp()传递2个string类型的参数。如果str1小于str2,返回-1,相等返回0,否则返回1。strcmp函数比较字符串的本质是将两个变量转换为ascii,然后进行减法运算,然后根据运算结果来决定返回值。

如果传入给出strcmp()的参数是数字呢?

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

strcmp这种特性在攻防平台中的pass check有考到。

switch()

如果switch是数字类型的case的判断时,switch会将其中的参数转换为int类型。如下:

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}

这个时候程序输出的是i is less than 3 but not negative,是由于switch()函数将$i进行了类型转换,转换结果为2。

in_array()

在PHP手册中,in_array()函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ,如果strict参数没有提供,那么in_array就会使用松散比较来判断$needle是否在$haystack中。当strince的值为true时,in_array()会比较needls的类型和haystack中的类型是否相同。

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true

可以看到上面的情况返回的都是true,因为'abc'会转换为0,'1bc'转换为1。

array_search()in_array()也是一样的问题。

总结

以上就是为大家总结的一些关于PHP弱类型的安全问题,希望这篇文章对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。

PHP 相关文章推荐
将PHP作为Shell脚本语言使用
Oct 09 PHP
一个程序下载的管理程序(一)
Oct 09 PHP
很好用的PHP数据库类
May 27 PHP
深入理解:单一入口、MVC、ORM、CURD、ActiveRecord概念
Jun 06 PHP
php实现session自定义会话处理器的方法
Jan 27 PHP
实例讲解yii2.0在php命令行中运行的步骤
Dec 01 PHP
php 的反射详解及示例代码
Aug 25 PHP
Zend Framework常用校验器详解
Dec 09 PHP
Windows平台实现PHP连接SQL Server2008的方法
Jul 26 PHP
PHP生成随机码的思路与方法实例探索
Apr 11 PHP
laravel异步监控定时调度器实例详解
Jun 21 PHP
PHP 对象继承原理与简单用法示例
Apr 21 PHP
php中mkdir()函数的权限问题分析
Sep 24 #PHP
php 生成Tab键或逗号分隔的CSV
Sep 24 #PHP
php 使用fopen函数创建、打开文件详解及实例代码
Sep 24 #PHP
php fread读取文件注意事项
Sep 24 #PHP
一个简单安全的PHP验证码类、PHP验证码
Sep 24 #PHP
jquery不支持toggle()高(新)版本的问题解决
Sep 24 #PHP
php getcwd与dirname(__FILE__)区别详解
Sep 24 #PHP
You might like
日本收入最高的漫画家:海贼王作者版税年收入高达8.45亿元
2020/03/04 日漫
从零开始学YII2框架(四)扩展插件yii2-kartikgii
2014/08/20 PHP
php 运算符与表达式详细介绍
2016/11/30 PHP
jQueryUI如何自定义组件实现代码
2010/11/14 Javascript
js jquery分别实现动态的文件上传操作按钮的添加和删除
2014/01/13 Javascript
table对象中的insertRow与deleteRow使用示例
2014/01/26 Javascript
IE8中使用javascript动态加载CSS的解决方法
2014/06/17 Javascript
JS数组的常见用法实例
2015/02/10 Javascript
Nodejs学习笔记之测试驱动
2015/04/16 NodeJs
不依赖Flash和任何JS库实现文本复制与剪切附源码下载
2015/10/09 Javascript
jquery获取文档高度和窗口高度汇总
2016/01/25 Javascript
JavaScript定义全局对象的方法示例
2017/01/12 Javascript
vue图片加载与显示默认图片实例代码
2017/03/16 Javascript
集合Bootstrap自定义confirm提示效果
2017/09/19 Javascript
seajs中模块依赖的加载处理实例分析
2017/10/10 Javascript
讲解vue-router之什么是嵌套路由
2018/05/28 Javascript
layDate插件设置开始和结束时间
2018/11/15 Javascript
angular 用Observable实现异步调用的方法
2018/12/27 Javascript
创建与框架无关的JavaScript插件
2020/12/01 Javascript
uniapp开发小程序实现滑动页面控制元素的显示和隐藏效果
2020/12/10 Javascript
浅谈JSON5解决了JSON的两大痛点
2020/12/14 Javascript
微信小程序 接入腾讯地图的两种写法
2021/01/12 Javascript
[06:59]DOTA2-DPC中国联赛3月7日Recap集锦
2021/03/11 DOTA
python脚本设置系统时间的两种方法
2016/02/21 Python
解决python selenium3启动不了firefox的问题
2018/10/13 Python
Django REST framework内置路由用法
2019/07/26 Python
Python类成员继承重写的实现
2020/09/16 Python
Bealls Florida百货商店:生活服饰、家居装饰和鞋子
2018/02/23 全球购物
第一批党的群众路线教育实践活动工作总结
2014/03/03 职场文书
雾霾停课通知
2015/04/24 职场文书
幼儿园开学家长寄语(2016春季)
2015/12/03 职场文书
《分一些蚊子进来》读后感3篇
2020/01/09 职场文书
HTML+CSS实现导航条下拉菜单的示例代码
2021/08/02 HTML / CSS
Vue鼠标滚轮滚动切换路由效果的实现方法
2021/08/04 Vue.js
 Python 中 logging 模块使用详情
2022/03/03 Python
vue实现书本翻页动画效果实例详解
2022/04/08 Vue.js