ホームページ >バックエンド開発 >PHPチュートリアル >PHP の弱い型のセキュリティ問題の詳細な概要
弱い型付き言語は、弱い型付き定義言語とも呼ばれます。厳密に型指定された定義の逆。 VB や PHP などの言語の弱い型については、この記事で詳しく説明しますので、必要に応じて参照してください。
はじめに
PHP が世界で最高の言語であることは誰もが知っていると思いますが、PHP 自体の問題も Web セキュリティの側面とみなすことができます。 PHP の特徴は、弱い型付けと、組み込み関数による受信パラメーターの緩やかな処理です。
この記事は、主に攻守のプラットフォームで遭遇したPHP関数の問題と、PHPの弱い型によって引き起こされる問題を記録するものです。 PHP を学習または使用する際に、誰にとっても一定の参考になります。一緒に見てみましょう。
PHP の弱い型付けの概要
編集者は、php が開発者が使用できる独自の機能を多数提供しているため、php は非常に強力であると考えています。その 1 つは php の弱い型付けメカニズムです。
PHPでは以下の操作が可能です。
$param = 1; $param = array(); $param = "stringg";
弱い型指定言語では、変数のデータ型に制限がなく、いつでも変数を他の型の変数に割り当てることができ、変数を他の型のデータに変換することもできます。
型変換の問題
型変換は避けられない問題です。たとえば、GET または POST パラメータを int 型に変換する必要がある場合、または 2 つの変数が一致しない場合、PHP は変数を自動的に変換します。ただし、PHP は型付けが弱い言語であるため、型変換を実行するときに多くの予期せぬ問題が発生します。
比較演算子
型変換
$a==$b
の比較$a==$b
的比较中
$a=null;$b=flase ; //true $a='';$b=null; //true
这样的例子还有很多,这种比较都是相等。
使用比较操作符的时候也存在类型转换的问题,如下:
0=='0' //true 0 == 'abcdefg' //true 0 === 'abcdefg' //false 1 == '1abcdef' //true
当不同类型的变量进行比较的时候就会存在变量转换的问题,在转换之后就有可能会存在问题。
Hash比较
除了以上的这种方式之外在进行hash比较的时候也会存在问题。如下:
"0e132456789"=="0e7124511451155" //true "0e123456abc"=="0e1dddada" //false "0e1abc"=="0" //true
在进行比较运算时,如果遇到了0ed+
这种字符串,就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0ed+
这种模式就不会相等。这个题目在攻防平台中的md5 collision就有考到。
十六进制转换
还存在一种十六进制余字符串进行比较运算时的问题。
例子如下:
"0x1e240"=="123456" //true "0x1e240"==123456 //true "0x1e240"=="1e240" //false
当其中的一个字符串是0x开头的时候,PHP会将此字符串解析成为十进制然后再进行比较,0x1240解析成为十进制就是123456,所以与int类型和string类型的123456比较都是相等。攻防平台中的起名字真难就是考察的这个特性。
类型转换
常见的转换主要就是int转换为string,string转换为int。
int转string:
$var = 5; 方式1:$item = (string)$var; 方式2:$item = strval($var);
string转int:intval()
函数。
对于这个函数,可以先看2个例子。
var_dump(intval('2')) //2 var_dump(intval('3abcd')) //3 var_dump(intval('abcd')) //0
说明intval()
转换的时候,会将从字符串的开始进行转换知道遇到一个非数字的字符。即使出现无法转换的字符串,intval()
不会报错而是返回0。
intval()
的这种特性在攻防平台中的MYSQL这道题目中就有考到。
同时,程序员在编程的时候也不应该使用如下的这段代码:
if(intval($a)>1000) { mysql_query("select * from news where id=".$a) }
这个时候$a的值有可能是1002 union…..
内置函数的参数的松散性
内置函数的松散性说的是,调用函数时给函数传递函数无法接受的参数类型。解释起来有点拗口,还是直接通过实际的例子来说明问题,下面会重点介绍几个这种函数。
md5()
$array1[] = array( "foo" => "bar", "bar" => "foo", ); $array2 = array("foo", "bar", "hello", "world"); var_dump(md5($array1)==var_dump($array2)); //true
PHP手册中的md5()函数的描述是string md5 ( string $str [, bool $raw_output = false ] )
,md5()
中的需要是一个string类型的参数。但是当你传递一个array时,md5()
不会报错,知识会无法正确地求出array的md5值,这样就会导致任意2个array的md5值都会相等。这个md5()
$array=[1,2,3]; var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。このような例はたくさんあります、この種のすべての比較は同じ。
$i ="2abc"; switch ($i) { case 0: case 1: case 2: echo "i is less than 3 but not negative"; break; case 3: echo "i is 3"; }🎜🎜🎜 異なる型の変数を比較すると、変換後に変数変換の問題が発生します。問題があるかもしれません。 🎜🎜🎜ハッシュ比較🎜🎜🎜 上記の方法に加えて、ハッシュ比較を行う際にも問題があります。次のように: 🎜🎜🎜
$array=[0,1,2,'3']; var_dump(in_array('abc', $array)); //true var_dump(in_array('1bc', $array)); //true🎜🎜🎜 比較演算を実行するときに、
0ed+
のような文字列が見つかった場合、この文字列は科学的表記法に解析されます。したがって、上の例の 2 つの数値の値は両方とも 0 であり、等しいです。 0ed+
が満たされない場合、このパターンは等しくなりません。この質問は、攻撃的および防御的なプラットフォームの md5 衝突でテストされます。 🎜🎜🎜16 進数変換🎜🎜🎜16 進数の剰余文字列を比較する場合にも問題があります。 🎜🎜例は次のとおりです: 🎜🎜🎜rrreee🎜🎜🎜 文字列の 1 つが 0x で始まる場合、PHP は文字列を 10 進数に解析してから、0x1240 を 10 進数に解析すると 123456 であるため、それを比較します。 int 型と同じであり、string 型の 123456 の比較はすべて等しい。攻守のプラットフォームで名前を付けるのが難しいのは、捜査の特性によるものです。 🎜🎜🎜🎜型変換🎜🎜🎜🎜一般的な変換は、主に int から string への変換、および string から int への変換です。 intval()
関数。 intval()
が変換されるとき、文字列の先頭から数値以外の文字が検出されるまで変換されます。 intval()
は変換できない文字列が現れてもエラーにはならずに 0 を返します。 intval()
この機能は、攻撃的および防御的なプラットフォームの MYSQL の問題でテストされます。 string md5 ( string $str [, bool $raw_output = false ] )
、 md5()
の要件は文字列型パラメータです。しかし、配列を渡すと、md5()
はエラーを報告せず、配列の md5 値を正しく計算できなくなり、任意の 2 つの md5 値が発生します。配列が等しくなるようにします。 md5()
のこの機能も、攻撃および防御プラットフォームでバイパスされると考えられます。 🎜🎜🎜strcmp()🎜🎜strcmp()
函数在PHP官方手册中的描述是int strcmp ( string $str1 , string $str2 )
,需要给strcmp()
传递2个string类型的参数。如果str1小于str2,返回-1,相等返回0,否则返回1。strcmp函数比较字符串的本质是将两个变量转换为ascii,然后进行减法运算,然后根据运算结果来决定返回值。
如果传入给出strcmp()
的参数是数字呢?
$array=[1,2,3]; var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。
strcmp这种特性在攻防平台中的pass check有考到。
switch()
如果switch是数字类型的case的判断时,switch会将其中的参数转换为int类型。如下:
$i ="2abc"; switch ($i) { case 0: case 1: case 2: echo "i is less than 3 but not negative"; break; case 3: echo "i is 3"; }
这个时候程序输出的是i is less than 3 but not negative
,是由于switch()
函数将$i进行了类型转换,转换结果为2。
in_array()
在PHP手册中,in_array()
函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )
,如果strict参数没有提供,那么in_array就会使用松散比较来判断$needle
是否在$haystack
中。当strince的值为true时,in_array()
会比较needls的类型和haystack中的类型是否相同。
$array=[0,1,2,'3']; var_dump(in_array('abc', $array)); //true var_dump(in_array('1bc', $array)); //true
可以看到上面的情况返回的都是true,因为'abc'会转换为0,'1bc'转换为1。
array_search()
与in_array()
也是一样的问题。
相关推荐:
以上がPHP の弱い型のセキュリティ問題の詳細な概要の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。