PHP の弱い型のセキュリティ問題の詳細な概要

弱い型付き言語は、弱い型付き定義言語とも呼ばれます。厳密に型指定された定義の逆。 VB や PHP などの言語の弱い型については、この記事で詳しく説明しますので、必要に応じて参照してください。

はじめに

PHP が世界で最高の言語であることは誰もが知っていると思いますが、PHP 自体の問題も Web セキュリティの側面とみなすことができます。 PHP の特徴は、弱い型付けと、組み込み関数による受信パラメーターの緩やかな処理です。

この記事は、主に攻守のプラットフォームで遭遇したPHP関数の問題と、PHPの弱い型によって引き起こされる問題を記録するものです。 PHP を学習または使用する際に、誰にとっても一定の参考になります。一緒に見てみましょう。

PHP の弱い型付けの概要

編集者は、php が開発者が使用できる独自の機能を多数提供しているため、php は非常に強力であると考えています。その 1 つは php の弱い型付けメカニズムです。

PHPでは以下の操作が可能です。

$param = 1;
$param = array();
$param = "stringg";

弱い型指定言語では、変数のデータ型に制限がなく、いつでも変数を他の型の変数に割り当てることができ、変数を他の型のデータに変換することもできます。

型変換の問題

型変換は避けられない問題です。たとえば、GET または POST パラメータを int 型に変換する必要がある場合、または 2 つの変数が一致しない場合、PHP は変数を自動的に変換します。ただし、PHP は型付けが弱い言語であるため、型変換を実行するときに多くの予期せぬ問題が発生します。

比較演算子

型変換

$a==$bの比較$a==$b的比较中

$a=null;$b=flase ; //true
$a='';$b=null; //true

这样的例子还有很多，这种比较都是相等。

使用比较操作符的时候也存在类型转换的问题，如下：

0=='0' //true
0 == 'abcdefg' //true
0 === 'abcdefg' //false
1 == '1abcdef' //true

当不同类型的变量进行比较的时候就会存在变量转换的问题，在转换之后就有可能会存在问题。

Hash比较

除了以上的这种方式之外在进行hash比较的时候也会存在问题。如下：

"0e132456789"=="0e7124511451155" //true
"0e123456abc"=="0e1dddada" //false
"0e1abc"=="0"  //true

在进行比较运算时，如果遇到了0ed+这种字符串，就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0ed+这种模式就不会相等。这个题目在攻防平台中的md5 collision就有考到。

十六进制转换

还存在一种十六进制余字符串进行比较运算时的问题。

例子如下：

"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false

当其中的一个字符串是0x开头的时候，PHP会将此字符串解析成为十进制然后再进行比较，0x1240解析成为十进制就是123456，所以与int类型和string类型的123456比较都是相等。攻防平台中的起名字真难就是考察的这个特性。

类型转换

常见的转换主要就是int转换为string，string转换为int。

int转string：

$var = 5;
方式1：$item = (string)$var;
方式2：$item = strval($var);

string转int：intval()函数。

对于这个函数，可以先看2个例子。

var_dump(intval('2')) //2
var_dump(intval('3abcd')) //3
var_dump(intval('abcd')) //0

说明intval()转换的时候，会将从字符串的开始进行转换知道遇到一个非数字的字符。即使出现无法转换的字符串，intval()不会报错而是返回0。

intval()的这种特性在攻防平台中的MYSQL这道题目中就有考到。

同时，程序员在编程的时候也不应该使用如下的这段代码：

if(intval($a)>1000) {
 mysql_query("select * from news where id=".$a)
}

这个时候$a的值有可能是1002 union…..

内置函数的参数的松散性

内置函数的松散性说的是，调用函数时给函数传递函数无法接受的参数类型。解释起来有点拗口，还是直接通过实际的例子来说明问题，下面会重点介绍几个这种函数。

md5()

$array1[] = array(
 "foo" => "bar",
 "bar" => "foo",
);
$array2 = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)); //true

PHP手册中的md5()函数的描述是string md5 ( string $str [, bool $raw_output = false ] ) ，md5()中的需要是一个string类型的参数。但是当你传递一个array时，md5()不会报错，知识会无法正确地求出array的md5值，这样就会导致任意2个array的md5值都会相等。这个md5()

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

このような例はたくさんあります、この種のすべての比較は同じ。
🎜🎜比較演算子を使用する場合、次のような型変換の問題もあります。 🎜🎜🎜

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}

🎜🎜🎜 異なる型の変数を比較すると、変換後に変数変換の問題が発生します。問題があるかもしれません。 🎜🎜🎜ハッシュ比較🎜🎜🎜 上記の方法に加えて、ハッシュ比較を行う際にも問題があります。次のように: 🎜🎜🎜

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true

🎜🎜🎜 比較演算を実行するときに、0ed+ のような文字列が見つかった場合、この文字列は科学的表記法に解析されます。したがって、上の例の 2 つの数値の値は両方とも 0 であり、等しいです。 0ed+ が満たされない場合、このパターンは等しくなりません。この質問は、攻撃的および防御的なプラットフォームの md5 衝突でテストされます。 🎜🎜🎜16 進数変換🎜🎜🎜16 進数の剰余文字列を比較する場合にも問題があります。 🎜🎜例は次のとおりです: 🎜🎜🎜rrreee🎜🎜🎜 文字列の 1 つが 0x で始まる場合、PHP は文字列を 10 進数に解析してから、0x1240 を 10 進数に解析すると 123456 であるため、それを比較します。 int 型と同じであり、string 型の 123456 の比較はすべて等しい。攻守のプラットフォームで名前を付けるのが難しいのは、捜査の特性によるものです。 🎜🎜🎜🎜型変換🎜🎜🎜🎜一般的な変換は、主に int から string への変換、および string から int への変換です。
🎜🎜🎜int から文字列へ: 🎜🎜🎜🎜rrreee🎜🎜🎜🎜文字列から int🎜: intval() 関数。
🎜🎜この関数については、まず 2 つの例を見てください。 🎜🎜🎜rrreee🎜🎜🎜説明: intval() が変換されるとき、文字列の先頭から数値以外の文字が検出されるまで変換されます。 intval() は変換できない文字列が現れてもエラーにはならずに 0 を返します。
🎜🎜intval() この機能は、攻撃的および防御的なプラットフォームの MYSQL の問題でテストされます。
🎜🎜同時に、プログラマはプログラミング時に次のコードを使用しないでください: 🎜🎜🎜rrreee🎜🎜🎜現時点では、$a の値は 1002 Union である可能性があります...🎜🎜🎜🎜Built- in 関数のパラメータの緩さ🎜🎜🎜🎜 組み込み関数の緩さは、関数を呼び出すときに、関数が受け入れることができないパラメータの型が関数に渡されることを意味します。説明は少しわかりにくいので、以下ではそのような関数のいくつかに焦点を当てて、実際の例を通して問題を説明します。 🎜🎜🎜md5()🎜🎜🎜🎜rrreee🎜🎜🎜PHPマニュアルのmd5()関数の説明はstring md5 ( string $str [, bool $raw_output = false ] ) 、 md5() の要件は文字列型パラメータです。しかし、配列を渡すと、md5() はエラーを報告せず、配列の md5 値を正しく計算できなくなり、任意の 2 つの md5 値が発生します。配列が等しくなるようにします。 md5() のこの機能も、攻撃および防御プラットフォームでバイパスされると考えられます。 🎜🎜🎜strcmp()🎜🎜

strcmp()函数在PHP官方手册中的描述是int strcmp ( string $str1 , string $str2 ) ,需要给strcmp()传递2个string类型的参数。如果str1小于str2,返回-1，相等返回0，否则返回1。strcmp函数比较字符串的本质是将两个变量转换为ascii，然后进行减法运算，然后根据运算结果来决定返回值。

如果传入给出strcmp()的参数是数字呢？

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

strcmp这种特性在攻防平台中的pass check有考到。

switch()

如果switch是数字类型的case的判断时，switch会将其中的参数转换为int类型。如下：

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}

这个时候程序输出的是i is less than 3 but not negative，是由于switch()函数将$i进行了类型转换，转换结果为2。

in_array()

在PHP手册中，in_array()函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ,如果strict参数没有提供，那么in_array就会使用松散比较来判断$needle是否在$haystack中。当strince的值为true时，in_array()会比较needls的类型和haystack中的类型是否相同。

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true

可以看到上面的情况返回的都是true,因为'abc'会转换为0，'1bc'转换为1。

array_search()与in_array()也是一样的问题。

相关推荐：

PHP弱类型详解

php弱类型语言中关于类型判断的实例分析

以上がPHP の弱い型のセキュリティ問題の詳細な概要の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。