PHP弱类型的安全问题详细总结


Posted in PHP onSeptember 25, 2016

前言

相信大家都知道PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面。在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理。

这篇文章主要就是记录我在做攻防平台上面遇到的PHP的函数中存在的问题,以及PHP的弱类型所带来的问题。对大家在学习或者使用php的时候具有一定的参考借鉴价值,下面来一起看看。

PHP弱类型简介

小编之所以认为php很强大是因为php提供了很多独有的特性工开发者使用,其中一个就是php弱类型机制。

在PHP中,可以进行一下的操作。

$param = 1;
$param = array();
$param = "stringg";

弱类型的语言对变量的数据类型没有限制,你可以在任何地时候将变量赋值给任意的其他类型的变量,同时变量也可以转换成任意地其他类型的数据。

类型转换问题

类型转换是无法避免的问题。例如需要将GET或者是POST的参数转换为int类型,或者是两个变量不匹配的时候,PHP会自动地进行变量转换。但是PHP是一个弱类型的语言,导致在进行类型转换的时候会存在很多意想不到的问题。

比较操作符

类型转换

$a==$b的比较中

$a=null;$b=flase ; //true
$a='';$b=null; //true

这样的例子还有很多,这种比较都是相等。

使用比较操作符的时候也存在类型转换的问题,如下:

0=='0' //true
0 == 'abcdefg' //true
0 === 'abcdefg' //false
1 == '1abcdef' //true

当不同类型的变量进行比较的时候就会存在变量转换的问题,在转换之后就有可能会存在问题。

Hash比较

除了以上的这种方式之外在进行hash比较的时候也会存在问题。如下:

"0e132456789"=="0e7124511451155" //true
"0e123456abc"=="0e1dddada" //false
"0e1abc"=="0"  //true

在进行比较运算时,如果遇到了0e\d+这种字符串,就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0e\d+这种模式就不会相等。这个题目在攻防平台中的md5 collision就有考到。

十六进制转换

还存在一种十六进制余字符串进行比较运算时的问题。

例子如下:

"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false

当其中的一个字符串是0x开头的时候,PHP会将此字符串解析成为十进制然后再进行比较,0x1240解析成为十进制就是123456,所以与int类型和string类型的123456比较都是相等。攻防平台中的起名字真难就是考察的这个特性。

类型转换

常见的转换主要就是int转换为string,string转换为int。

int转string:

$var = 5;
方式1:$item = (string)$var;
方式2:$item = strval($var);

string转intintval()函数。

对于这个函数,可以先看2个例子。

var_dump(intval('2')) //2
var_dump(intval('3abcd')) //3
var_dump(intval('abcd')) //0

说明intval()转换的时候,会将从字符串的开始进行转换知道遇到一个非数字的字符。即使出现无法转换的字符串,intval()不会报错而是返回0。

intval()的这种特性在攻防平台中的MYSQL这道题目中就有考到。

同时,程序员在编程的时候也不应该使用如下的这段代码:

if(intval($a)>1000) {
 mysql_query("select * from news where id=".$a)
}

这个时候$a的值有可能是1002 union…..

内置函数的参数的松散性

内置函数的松散性说的是,调用函数时给函数传递函数无法接受的参数类型。解释起来有点拗口,还是直接通过实际的例子来说明问题,下面会重点介绍几个这种函数。

md5()

$array1[] = array(
 "foo" => "bar",
 "bar" => "foo",
);
$array2 = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)); //true

PHP手册中的md5()函数的描述是string md5 ( string $str [, bool $raw_output = false ] ) md5()中的需要是一个string类型的参数。但是当你传递一个array时,md5()不会报错,知识会无法正确地求出array的md5值,这样就会导致任意2个array的md5值都会相等。这个md5()的特性在攻防平台中的bypass again同样有考到。

strcmp()

strcmp()函数在PHP官方手册中的描述是int strcmp ( string $str1 , string $str2 ) ,需要给strcmp()传递2个string类型的参数。如果str1小于str2,返回-1,相等返回0,否则返回1。strcmp函数比较字符串的本质是将两个变量转换为ascii,然后进行减法运算,然后根据运算结果来决定返回值。

如果传入给出strcmp()的参数是数字呢?

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

strcmp这种特性在攻防平台中的pass check有考到。

switch()

如果switch是数字类型的case的判断时,switch会将其中的参数转换为int类型。如下:

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}

这个时候程序输出的是i is less than 3 but not negative,是由于switch()函数将$i进行了类型转换,转换结果为2。

in_array()

在PHP手册中,in_array()函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ,如果strict参数没有提供,那么in_array就会使用松散比较来判断$needle是否在$haystack中。当strince的值为true时,in_array()会比较needls的类型和haystack中的类型是否相同。

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true

可以看到上面的情况返回的都是true,因为'abc'会转换为0,'1bc'转换为1。

array_search()in_array()也是一样的问题。

总结

以上就是为大家总结的一些关于PHP弱类型的安全问题,希望这篇文章对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。

PHP 相关文章推荐
PHP4实际应用经验篇(4)
Oct 09 PHP
PHP 向右侧拉菜单实现代码,测试使用中
Nov 03 PHP
IP攻击升级,程序改进以对付新的攻击
Nov 23 PHP
php使用Jpgraph绘制简单X-Y坐标图的方法
Jun 10 PHP
在php中设置session用memcache来存储的方法总结
Jan 14 PHP
Zend Framework教程之Zend_Layout布局助手详解
Mar 04 PHP
php图片添加水印例子
Jul 20 PHP
thinkPHP商城公告功能开发问题分析
Dec 01 PHP
php简单实现文件或图片强制下载的方法
Dec 06 PHP
php实现与python进行socket通信的方法示例
Aug 30 PHP
php表单处理操作
Nov 16 PHP
PHP扩展Swoole实现实时异步任务队列示例
Apr 13 PHP
php中mkdir()函数的权限问题分析
Sep 24 #PHP
php 生成Tab键或逗号分隔的CSV
Sep 24 #PHP
php 使用fopen函数创建、打开文件详解及实例代码
Sep 24 #PHP
php fread读取文件注意事项
Sep 24 #PHP
一个简单安全的PHP验证码类、PHP验证码
Sep 24 #PHP
jquery不支持toggle()高(新)版本的问题解决
Sep 24 #PHP
php getcwd与dirname(__FILE__)区别详解
Sep 24 #PHP
You might like
比较详细PHP生成静态页面教程
2012/01/10 PHP
Laravel 4.2 中队列服务(queue)使用感受
2014/10/30 PHP
PHP 快速排序算法详解
2014/11/10 PHP
详解PHP处理字符串类似indexof的方法函数
2017/06/11 PHP
PHP实现将优酷土豆腾讯视频html地址转换成flash swf地址的方法
2017/08/04 PHP
jQuery Ajax之load()方法
2009/10/12 Javascript
基于jQuery的Spin Button自定义文本框数值自增或自减
2010/07/17 Javascript
JavaScript简单实现网页回到顶部功能
2013/11/12 Javascript
jquery无刷新验证邮箱地址实现实例
2014/02/19 Javascript
详解在Vue中有条件地使用CSS类
2017/09/30 Javascript
jQuery实现表单动态添加数据并提交的方法
2018/07/19 jQuery
JS实现秒杀倒计时特效
2020/01/02 Javascript
详解JS函数防抖
2020/06/05 Javascript
[02:41]《西雅图我们来了》2015国际邀请赛出征全记录
2015/07/23 DOTA
Python解析nginx日志文件
2015/05/11 Python
Python Requests安装与简单运用
2016/04/07 Python
python 环境变量和import模块导入方法(详解)
2017/07/11 Python
利用pyinstaller将py文件打包为exe的方法
2018/05/14 Python
python使用turtle绘制分形树
2018/06/22 Python
python使用matplotlib绘制热图
2018/11/07 Python
python中的数据结构比较
2019/05/13 Python
利用Django模版生成树状结构实例代码
2019/05/19 Python
Python控制Firefox方法总结
2019/06/03 Python
localStorage、sessionStorage使用总结
2017/11/17 HTML / CSS
Links of London官方网站:英国标志性的珠宝品牌
2017/04/09 全球购物
Mansur Gavriel官网:纽约市的一个设计品牌
2019/05/02 全球购物
工程地质勘察专业大学生求职信
2013/10/13 职场文书
生物科学系大学生的自我评价
2013/12/20 职场文书
贷款工资证明范本
2015/06/12 职场文书
农贸批发市场管理制度
2015/08/07 职场文书
高一地理教学工作总结
2015/08/12 职场文书
AI:如何训练机器学习的模型
2021/04/16 Python
小程序实现文字循环滚动动画
2021/06/14 Javascript
解决Mysql的left join无效及使用的注意事项说明
2021/07/01 MySQL
Apache POI的基本使用详解
2021/11/07 Servers
MySQL如何使备份得数据保持一致
2022/05/02 MySQL