Parlez des problèmes de sécurité des types faibles PHP

Dans cet article, l'éditeur veut vous parler du typage faible PHP. Le typage faible PHP apporte une grande commodité aux programmeurs lors de l'écriture de code, mais tout a deux côtés. Voyons maintenant cela avec l'éditeur.

0x00 Une étude préliminaire sur les types faibles

Personne ne remet en question la simplicité et la puissance de PHP Il offre de nombreuses fonctionnalités que les développeurs peuvent utiliser, dont l'un est un mécanisme de type faible.

Sous le mécanisme de type faible, vous pouvez effectuer de telles opérations

<?php
$var = 1;
$var = array();
$var = "string";
?>

php ne vérifiera pas strictement le type de la variable entrante, mais pourra également convertir librement le type de variable.

Par exemple, dans la comparaison de $a == $b

$a = null; $b = false; //为真
$a = ''; $b = 0; //同样为真

Cependant, les développeurs du noyau PHP voulaient à l'origine que les programmeurs utilisent ce système qui ne nécessite pas de déclarations plus efficace. Développement efficace, donc de nombreuses comparaisons et conversions lâches sont utilisées dans presque toutes les fonctions intégrées et structures de base pour empêcher les variables du programme de signaler fréquemment des erreurs dues aux irrégularités des programmeurs. Cependant, cela entraîne des problèmes de sécurité.

0x02 Préparation des connaissances Structure zval du noyau PHP

Les variables déclarées en PHP sont stockées dans ZE en utilisant la structure zval Le

zval est défini dans zend/zend.h

typedef struct _zval_struct zval;  
struct _zval_struct {  
  /* Variable information */  
  zvalue_value value; /* value */  
  zend_uint refcount__gc;  
  zend_uchar type;/* active type */  
  zend_uchar is_ref__gc;  
};  
typedef union _zvalue_value {  
  long lval;  /* long value */  
  double dval;/* double value */  
  struct {  
    char *val;  
    int len;  
  } str;  
  HashTable *ht;  /* hash table value */  
  zend_object_value obj;  
} zvalue_value;

où php juge le type de variable par type et stocke la valeur

comme ci-dessus, qui est le type faible dans le noyau php. L'encapsulation est aussi le principe et le fondement de tout ce dont nous parlerons plus tard.

Coercition de la variable 0x03

Grâce à ce que nous venons d'apprendre, nous savons que zval.type détermine le type stocké dans zval.value.

Lorsque le code source effectue des comparaisons de types ou des opérations mathématiques sans restriction, cela peut entraîner une modification de zval.type et, en même temps, affecter le contenu de zval.value.

Quand int rencontre une chaîne

cp.1 Opérations mathématiques

Quand PHP effectue des calculs mathématiques

ar_dump(0 == '0'); // true
var_dump(0 == 'abcdefg'); // true  
var_dump(0 === 'abcdefg'); // false
var_dump(1 == '1abcdef'); // true

Lorsqu'un paramètre de comparaison est un entier, l'autre paramètre sera forcé d'être converti en un entier.

équivaut à comparer la partie chaîne

intval avec la partie entière. En fait, cela modifie le contenu de zval.type. Notez en particulier que la valeur convertie de '1assd' est 1 , et 'asdaf' est 0

Cela montre également que intval commencera à partir de la première unité qui n'est pas un nombre

Tous il y en a aussi

var_dump(intval('3389a'));//输出3389

Cet exemple indique nous, ne croyez jamais le code suivant

if($a>1000){    
mysql_query('update ... .... set value=$a')
}

Vous pensez qu'entrer dans la succursale à ce moment est un entier

En fait, $a peut être 1001/**/union...

cp.2 Jugement lâche des conditions de déclaration

Par exemple, le commutateur PHP utilise une comparaison lâche $qui sera automatiquement changé à 0 s'il n'y en a pas dans chacun. case break , il sera exécuté jusqu'à ce qu'il soit inclus, et enfin la fonction dont nous avons besoin est exécutée Voici le jugement libre de la

<?php
if (isset($_GET[&#39;which&#39;]))
{
  $which = $_GET[&#39;which&#39;];
  switch ($which)
  {
  case 0:
  case 1:
  case 2:
    require_once $which.&#39;.php&#39;;
    break;
  default:
    echo GWF_HTML::error(&#39;PHP-0817&#39;, &#39;Hacker NoNoNo!&#39;, false);
    break;
  }

fonction cp.3 <.>

var_dump(in_array("abc", $array));

in_array — Vérifiez si une certaine valeur existe dans le paramètre du tableau

needle La valeur à rechercher.

Remarque : Si l'aiguille est une chaîne, la comparaison est sensible à la casse. botte de foin ce tableau.

strict Si la valeur du troisième paramètre strict est VRAI, la fonction in_array() vérifiera également si le type d'aiguille est le même que celui de la botte de foin.

Comme vous pouvez le voir, ce n'est qu'en ajoutant strict que les types seront strictement comparés. Et si nous comparions à nouveau ××× avec des chaînes ?

var_dump(in_array("abc", $array1));</br>
var_dump(in_array("1bc", $array2));

Il parcourt chaque valeur du tableau et effectue une comparaison "==" ("utiliser === lorsque strict est défini")

Le résultat est évident

S'il y a une valeur dans le tableau1 qui est 0, alors le premier retour sera vrai //intval('abc')=0

S'il y a une valeur dans le tableau2 qui est 1, alors le le deuxième sera vrai sera vrai//intval('1bc')=1

Le même principe s'applique à array_search

L'application ici est très large,

Beaucoup les programmeurs vérifieront la valeur du tableau,

alors nous pourrons complètement utiliser l'int construit 0 ou 1 pour tromper la fonction de détection et lui faire renvoyer vrai

Pour résumer, entrez tous les endroits où PHP pense qu'il s'agit d'une chaîne int et sera obligé de se convertir, comme

$a = &#39;asdfgh&#39;；//字符串类型的a</br>
echo $a[2]；  //根据php的offset 会输出&#39;d&#39;</br>
echo $a[x]；  //根据php的预测，这里应该是int型，那么输入string，就会被intval成为0 也就是输出&#39;a&#39;

lorsque le tableau rencontre une chaîne

. J'ai rencontré cet exemple dans un ctf. en Allemagne, c'est très intéressant. Ce dont nous avons parlé plus tôt était la comparaison entre une chaîne et un int

Alors, quelle sera la réaction chimique lorsque le tableau rencontre un int ou une chaîne ?

D'après le manuel PHP, nous savons que

La conversion de tableau en int/floating virgule float renverra le nombre d'éléments

la conversion en bool renvoie s'il y a des éléments dans le ; Tableau ; la conversion en chaîne renvoie « Array » et renvoie un avertissement.

Alors quelle est l’application pratique ?

if(!strcmp($c[1],$d) && $c[1]!==$d){
...
}

On peut constater que cette branche exige que les deux soient égaux via la comparaison de la fonction strcmp et "==" exige que les deux ne soient pas égaux pour entrer.

La fonction strcmp() compare deux chaînes.

La fonction renvoie :

0 - si les deux chaînes sont égales

0b44e558dd6aae1d5a5c7532303adf450 - if string1 Supérieur à string2

La fonction strcmp ici convertit en fait les deux variables en ascii, puis effectue une soustraction mathématique pour renvoyer la différence d'un int.

C'est-à-dire que le résultat de la saisie de « a » et « a » pour comparer est 0

Et si $array est comparé à «a' ?

http://localhost:8888/1.php?a[]=1
var_dump(strcmp($_GET[a],'a'));

À ce moment-là, php renvoyait null !

En d'autres termes, nous créons cette erreur de fonction pour qu'elle soit toujours vraie, en contournant la vérification de fonction.

0x04 Méfiez-vous toujours des types faibles

En tant que programmeur, les types faibles apportent une grande commodité aux programmeurs lors de l'écriture de code. les programmeurs oublient l'habitude de $array =array();. On dit que toutes les entrées sont nuisibles

En fait, on peut dire que les types de toutes les entrées sont également suspects. Ne faites jamais confiance à aucune fonction de comparaison ou à aucune opération mathématique sous PHP faiblement typé. Sinon, c'est vous qui êtes définitivement trahi par php.

Tutoriels associés : Tutoriel vidéo PHP

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!