PHP の弱い型を使用するときに注意する必要があるセキュリティ問題のまとめ

弱い型付き言語は、弱い型付き定義言語とも呼ばれます。厳密に型指定された定義の逆。 VB や PHP などの言語の弱い型については、この記事で詳しく説明しますので、必要に応じて参照してください。

はじめに

PHP が世界で最高の言語であることは誰もが知っていると思いますが、PHP 自体の問題も Web セキュリティの側面とみなすことができます。 PHP の特徴は、弱い型と、受信パラメーターの組み込み関数の緩い処理です。

この記事は、主に攻守のプラットフォームで遭遇したPHP関数の問題と、PHPの弱い型によって引き起こされる問題を記録するものです。 PHP を学習または使用する場合、誰にとっても一定の参考になります。以下を見てみましょう。

PHP の弱い型付けの概要

編集者は、php が開発者が使用できる独自の機能を多数提供しているため、php は非常に強力であると考えています。その 1 つは php の弱い型付けメカニズムです。

PHPでは以下の操作が可能です。

$param = 1;
$param = array();
$param = "stringg";

弱い型指定言語では、変数の データ型 に制限がなく、いつでも変数を他の型の変数に割り当てることができ、変数を他の型のデータに変換することもできます。

型変換問題

型変換は避けられない問題です。たとえば、GET または POST パラメータを int 型に変換する必要がある場合、または 2 つの変数が一致しない場合、PHP は変数を自動的に変換します。ただし、PHP は型付けが弱い言語であるため、型変換を実行するときに多くの予期せぬ問題が発生します。

比較演算子

型変換

$a==$b の比較では$a==$b的比较中

$a=null;$b=flase ; //true
$a='';$b=null; //true

这样的例子还有很多，这种比较都是相等。

使用比较操作符的时候也存在类型转换的问题，如下：

0=='0' //true
0 == 'abcdefg' //true
0 === 'abcdefg' //false
1 == '1abcdef' //true

当不同类型的变量进行比较的时候就会存在变量转换的问题，在转换之后就有可能会存在问题。

Hash比较

除了以上的这种方式之外在进行hash比较的时候也会存在问题。如下：

"0e132456789"=="0e7124511451155" //true
"0e123456abc"=="0e1dddada" //false
"0e1abc"=="0"  //true

在进行比较运算时，如果遇到了0ed+这种字符串，就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0ed+这种模式就不会相等。这个题目在攻防平台中的md5 collision就有考到。

十六进制转换

还存在一种十六进制余字符串进行比较运算时的问题。

例子如下：

"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false

当其中的一个字符串是0x开头的时候，PHP会将此字符串解析成为十进制然后再进行比较，0x1240解析成为十进制就是123456，所以与int类型和string类型的123456比较都是相等。攻防平台中的起名字真难就是考察的这个特性。

类型转换

常见的转换主要就是int转换为string，string转换为int。

int转string：

$var = 5;
方式1：$item = (string)$var;
方式2：$item = strval($var);

string转int：intval()函数。

对于这个函数，可以先看2个例子。

var_dump(intval('2')) //2
var_dump(intval('3abcd')) //3
var_dump(intval('abcd')) //0

说明intval()转换的时候，会将从字符串的开始进行转换知道遇到一个非数字的字符。即使出现无法转换的字符串，intval()不会报错而是返回0。

intval()的这种特性在攻防平台中的MYSQL这道题目中就有考到。

同时，程序员在编程的时候也不应该使用如下的这段代码：

if(intval($a)>1000) {
 mysql_query("select * from news where id=".$a)
}

这个时候$a的值有可能是1002 union…..

内置函数的参数的松散性

内置函数的松散性说的是，调用函数时给函数传递函数无法接受的参数类型。解释起来有点拗口，还是直接通过实际的例子来说明问题，下面会重点介绍几个这种函数。

md5()

$array1[] = array(
 "foo" => "bar",
 "bar" => "foo",
);
$array2 = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)); //true

PHP手册中的md5()函数的描述是string md5 ( string $str [, bool $raw_output = false ] ) ，md5()中的需要是一个string类型的参数。但是当你传递一个array时，md5()不会报错，知识会无法正确地求出array的md5值，这样就会导致任意2个array的md5值都会相等。这个md5()

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

そのような例はたくさんありますが、これらの比較はすべて等しいです。

また、比較演算子を使用する場合には、次のような型変換の問題も発生します。

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}

異なる型の変数を比較すると、変数の変換の問題が発生し、変換後に問題が発生する可能性があります。 🎜🎜🎜ハッシュ比較🎜🎜🎜上記の方法に加えて、ハッシュ比較を行う際にも問題があります。次のように: 🎜

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true

🎜 比較演算を実行するときに、0ed+ のような文字列が見つかった場合、この文字列は科学的表記法に解析されます。したがって、上の例の 2 つの数値の値は両方とも 0 であり、等しいです。 0ed+ が満たされない場合、このパターンは等しくなりません。この質問は、攻撃的および防御的なプラットフォームの md5 衝突でテストされます。 🎜🎜🎜16進数16進数変換🎜🎜🎜🎜16進数の剰余文字列もあります 比較演算に関する問題。 🎜🎜例は次のとおりです:🎜rrreee🎜 文字列の 1 つが 0x で始まる場合、PHP は文字列を 10 進数に解析し、10 進数に解析された 0x1240 は 123456 であるため、int 型と文字列の 123456 と同じになります。すべての比較は等しいです。攻守のプラットフォームにおけるネーミングの難しさは、この検査の特性によるものです。 🎜🎜🎜🎜型変換🎜🎜🎜🎜一般的な変換は、主に int から string への変換、および string から int への変換です。
🎜🎜🎜int から文字列へ: 🎜🎜rrreee🎜🎜文字列から int🎜: intval() 関数。
🎜🎜この関数については、まず 2 つの例を見てください。 🎜rrreee🎜説明: intval() を変換する場合、文字列の先頭から数値以外の文字が検出されるまで変換されます。変換できない文字列が現れた場合でも、intval() はエラーを報告せずに 0 を返します。
🎜🎜intval() この機能は、攻撃的および防御的なプラットフォームの MYSQL の問題でテストされます。
🎜🎜同時に、プログラマーはプログラミング時に次のコードを使用しないでください: 🎜rrreee🎜現時点では、$a の値は 1002 Union である可能性があります...🎜🎜🎜🎜組み込み 関数のパラメータの緩さ🎜🎜🎜🎜🎜組み込み関数の緩さとは、関数を呼び出すときに、関数が関数に渡されるパラメータの型が受け入れられません。説明は少しわかりにくいので、以下ではそのような関数のいくつかに焦点を当てて、実際の例を通して問題を説明します。 🎜🎜🎜md5()🎜🎜rrreee🎜PHPマニュアルのmd5()関数の説明は、 string md5 ( string $str [, bool $raw_output = false ] ) , md5 () 内の要件は文字列型パラメータです。しかし、配列を渡すと、md5() はエラーを報告せず、配列の md5 値を正しく計算できなくなります。これにより、任意の 2 つの md5 値が発生します。配列が等しくなるようにします。 md5() のこの機能も、攻撃および防御プラットフォームでバイパスされると考えられます。 🎜🎜🎜strcmp()🎜🎜

strcmp()函数在PHP官方手册中的描述是int strcmp ( string $str1 , string $str2 ) ,需要给strcmp()传递2个string类型的参数。如果str1小于str2,返回-1，相等返回0，否则返回1。strcmp函数比较字符串的本质是将两个变量转换为ascii，然后进行减法运算，然后根据运算结果来决定返回值。

如果传入给出strcmp()的参数是数字呢？

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

strcmp这种特性在攻防平台中的pass check有考到。

switch()

如果switch是数字类型的case的判断时，switch会将其中的参数转换为int类型。如下：

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}

这个时候程序输出的是i is less than 3 but not negative，是由于switch()函数将$i进行了类型转换，转换结果为2。

in_array()

在PHP手册中，in_array()函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ,如果strict参数没有提供，那么in_array就会使用松散比较来判断$needle是否在$haystack中。当strince的值为true时，in_array()会比较needls的类型和haystack中的类型是否相同。

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true

可以看到上面的情况返回的都是true,因为'abc'会转换为0，'1bc'转换为1。

<a href="http://www.php.cn/wiki/1007.html" target="_blank">array_search</a>()与in_array()也是一样的问题。

以上がPHP の弱い型を使用するときに注意する必要があるセキュリティ問題のまとめの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。