PHP弱类型的安全问题详细总结


Posted in PHP onSeptember 25, 2016

前言

相信大家都知道PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面。在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理。

这篇文章主要就是记录我在做攻防平台上面遇到的PHP的函数中存在的问题,以及PHP的弱类型所带来的问题。对大家在学习或者使用php的时候具有一定的参考借鉴价值,下面来一起看看。

PHP弱类型简介

小编之所以认为php很强大是因为php提供了很多独有的特性工开发者使用,其中一个就是php弱类型机制。

在PHP中,可以进行一下的操作。

$param = 1;
$param = array();
$param = "stringg";

弱类型的语言对变量的数据类型没有限制,你可以在任何地时候将变量赋值给任意的其他类型的变量,同时变量也可以转换成任意地其他类型的数据。

类型转换问题

类型转换是无法避免的问题。例如需要将GET或者是POST的参数转换为int类型,或者是两个变量不匹配的时候,PHP会自动地进行变量转换。但是PHP是一个弱类型的语言,导致在进行类型转换的时候会存在很多意想不到的问题。

比较操作符

类型转换

$a==$b的比较中

$a=null;$b=flase ; //true
$a='';$b=null; //true

这样的例子还有很多,这种比较都是相等。

使用比较操作符的时候也存在类型转换的问题,如下:

0=='0' //true
0 == 'abcdefg' //true
0 === 'abcdefg' //false
1 == '1abcdef' //true

当不同类型的变量进行比较的时候就会存在变量转换的问题,在转换之后就有可能会存在问题。

Hash比较

除了以上的这种方式之外在进行hash比较的时候也会存在问题。如下:

"0e132456789"=="0e7124511451155" //true
"0e123456abc"=="0e1dddada" //false
"0e1abc"=="0"  //true

在进行比较运算时,如果遇到了0e\d+这种字符串,就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0e\d+这种模式就不会相等。这个题目在攻防平台中的md5 collision就有考到。

十六进制转换

还存在一种十六进制余字符串进行比较运算时的问题。

例子如下:

"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false

当其中的一个字符串是0x开头的时候,PHP会将此字符串解析成为十进制然后再进行比较,0x1240解析成为十进制就是123456,所以与int类型和string类型的123456比较都是相等。攻防平台中的起名字真难就是考察的这个特性。

类型转换

常见的转换主要就是int转换为string,string转换为int。

int转string:

$var = 5;
方式1:$item = (string)$var;
方式2:$item = strval($var);

string转intintval()函数。

对于这个函数,可以先看2个例子。

var_dump(intval('2')) //2
var_dump(intval('3abcd')) //3
var_dump(intval('abcd')) //0

说明intval()转换的时候,会将从字符串的开始进行转换知道遇到一个非数字的字符。即使出现无法转换的字符串,intval()不会报错而是返回0。

intval()的这种特性在攻防平台中的MYSQL这道题目中就有考到。

同时,程序员在编程的时候也不应该使用如下的这段代码:

if(intval($a)>1000) {
 mysql_query("select * from news where id=".$a)
}

这个时候$a的值有可能是1002 union…..

内置函数的参数的松散性

内置函数的松散性说的是,调用函数时给函数传递函数无法接受的参数类型。解释起来有点拗口,还是直接通过实际的例子来说明问题,下面会重点介绍几个这种函数。

md5()

$array1[] = array(
 "foo" => "bar",
 "bar" => "foo",
);
$array2 = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)); //true

PHP手册中的md5()函数的描述是string md5 ( string $str [, bool $raw_output = false ] ) md5()中的需要是一个string类型的参数。但是当你传递一个array时,md5()不会报错,知识会无法正确地求出array的md5值,这样就会导致任意2个array的md5值都会相等。这个md5()的特性在攻防平台中的bypass again同样有考到。

strcmp()

strcmp()函数在PHP官方手册中的描述是int strcmp ( string $str1 , string $str2 ) ,需要给strcmp()传递2个string类型的参数。如果str1小于str2,返回-1,相等返回0,否则返回1。strcmp函数比较字符串的本质是将两个变量转换为ascii,然后进行减法运算,然后根据运算结果来决定返回值。

如果传入给出strcmp()的参数是数字呢?

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

strcmp这种特性在攻防平台中的pass check有考到。

switch()

如果switch是数字类型的case的判断时,switch会将其中的参数转换为int类型。如下:

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}

这个时候程序输出的是i is less than 3 but not negative,是由于switch()函数将$i进行了类型转换,转换结果为2。

in_array()

在PHP手册中,in_array()函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ,如果strict参数没有提供,那么in_array就会使用松散比较来判断$needle是否在$haystack中。当strince的值为true时,in_array()会比较needls的类型和haystack中的类型是否相同。

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true

可以看到上面的情况返回的都是true,因为'abc'会转换为0,'1bc'转换为1。

array_search()in_array()也是一样的问题。

总结

以上就是为大家总结的一些关于PHP弱类型的安全问题,希望这篇文章对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。

PHP 相关文章推荐
PHP 增加了对 .ZIP 文件的读取功能
Oct 09 PHP
phpmyadmin3 安装配置图解教程
Mar 29 PHP
PHP Class&Object -- 解析PHP实现二叉树
Jun 25 PHP
php 在windows下配置虚拟目录的方法介绍
Jun 26 PHP
限制ckeditor上传图片文件大小的方法
Nov 15 PHP
PHP中比较两个字符串找出第一个不同字符位置例子
Apr 08 PHP
在openSUSE42.1下编译安装PHP7 的方法
Dec 24 PHP
微信支付开发告警通知实例
Jul 12 PHP
Yii统计不同类型邮箱数量的方法
Oct 18 PHP
ThinkPHP框架分布式数据库连接方法详解
Mar 14 PHP
thinkPHP框架RBAC实现原理分析
Feb 01 PHP
PhpStorm2020.1 安装 debug - Postman 调用的详细教程
Aug 17 PHP
php中mkdir()函数的权限问题分析
Sep 24 #PHP
php 生成Tab键或逗号分隔的CSV
Sep 24 #PHP
php 使用fopen函数创建、打开文件详解及实例代码
Sep 24 #PHP
php fread读取文件注意事项
Sep 24 #PHP
一个简单安全的PHP验证码类、PHP验证码
Sep 24 #PHP
jquery不支持toggle()高(新)版本的问题解决
Sep 24 #PHP
php getcwd与dirname(__FILE__)区别详解
Sep 24 #PHP
You might like
php中几种常见安全设置详解
2010/04/06 PHP
PHP批量查询WordPress留言者E-mail地址实现方法
2015/02/15 PHP
php中PDO方式实现数据库的增删改查
2015/05/17 PHP
前台js改变Session的值(用ajax实现)
2012/12/28 Javascript
鼠标滚轮改变图片大小的示例代码
2013/11/20 Javascript
通过Javascript读取本地Excel文件内容的代码示例
2014/04/08 Javascript
node.js实现逐行读取文件内容的代码
2014/06/27 Javascript
js css+html实现简单的日历
2016/07/14 Javascript
AngularJs验证重复密码的方法(两种)
2016/11/25 Javascript
JavaScript中的高级函数
2018/01/04 Javascript
vue 实现在函数中触发路由跳转的示例
2018/09/01 Javascript
自己动手封装一个React Native多级联动
2018/09/19 Javascript
JavaScript 性能提升之路(推荐)
2019/04/10 Javascript
jQuery实现的鼠标拖动画矩形框示例【可兼容IE8】
2019/05/17 jQuery
Vue+Element实现动态生成新表单并添加验证功能
2019/05/23 Javascript
javascript面向对象三大特征之多态实例详解
2019/07/24 Javascript
使用VScode 插件debugger for chrome 调试react源码的方法
2019/09/13 Javascript
JavaScript进制转换实现方法解析
2020/01/18 Javascript
关于vue的列表图片选中打钩操作
2020/09/09 Javascript
[01:04:06]DOTA2上海特级锦标赛A组资格赛#2 Secret VS EHOME第一局
2016/02/26 DOTA
python缩进区别分析
2014/02/15 Python
使用Python编写简单的端口扫描器的实例分享
2015/12/18 Python
Python执行时间的计算方法小结
2017/03/17 Python
python2 与python3的print区别小结
2018/01/16 Python
python中format()函数的简单使用教程
2018/03/14 Python
英国精品买手店:Browns Fashion
2016/09/29 全球购物
计算机专业自荐信
2013/10/14 职场文书
汽车维修求职信
2014/06/15 职场文书
2014年重阳节敬老活动方案
2014/09/16 职场文书
公司授权委托书范文
2014/09/21 职场文书
无财产离婚协议书范本
2014/10/28 职场文书
运动会表扬稿
2015/01/16 职场文书
教你如何用python开发一款数字推盘小游戏
2021/04/14 Python
Golang 实现超大文件读取的两种方法
2021/04/27 Golang
MySQL 重命名表的操作方法及注意事项
2021/05/21 MySQL
postman中form-data、x-www-form-urlencoded、raw、binary的区别介绍
2022/01/18 HTML / CSS