亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

php == 操作符帶來的安全問題

發布時間:2020-07-16 09:29:05 來源:網絡 閱讀:418 作者:shengqi158 欄目:web開發

1 比較操作符

php的比較操作符有==(等于)松散比較,===(完全等于)嚴格比較,這里面就會引入很多有意思的問題。在松散比較的時候,php會將他們的類型統一,比如說字符到數字,非bool類型轉換成bool類型,為了避免意想不到的運行效果,應該使用嚴格比較。如下是php manual上的比較運算符表:


  1. 例子 名稱 結果

  2. $a == $b 等于 TRUE,如果類型轉換后 $a 等于 $b

  3. $a === $b 全等 TRUE,如果 $a 等于 $b,并且它們的類型也相同。

  4. $a != $b 不等 TRUE,如果類型轉換后 $a 不等于 $b

  5. $a <> $b 不等 TRUE,如果類型轉換后 $a 不等于 $b

  6. $a !== $b 不全等 TRUE,如果 $a 不等于 $b,或者它們的類型不同。

  7. $a < $b 小與 TRUE,如果 $a 嚴格小于 $b

  8. $a > $b 大于 TRUE,如果 $a 嚴格大于 $b

  9. $a <= $b 小于等于 TRUE,如果 $a 小于或者等于 $b

  10. $a >= $b 大于等于 TRUE,如果 $a 大于或者等于 $b

2 安全問題

2.1 hash比較缺陷

php在處理hash字符串的時候會用到!=,==來進行hash比較,如果hash值以0e開頭,后邊都是數字,再與數字比較,就會被解釋成0*10^n還是為0,就會被判斷相等,繞過登錄環節。


  1. root@kali:~/tool# php -r 'var_dump("00e0345" == "0");var_dump("0e123456789"=="0");var_dump("0e1234abc"=="0");'

  2. bool(true)

  3. bool(true)

  4. bool(false)

當全是數字的時候,寬松的比較會執行盡力模式,如0e12345678會被解釋成0*10^12345678,除了e不全是數字的時候就不會相等,這能從var_dump("0e1234abc"=="0")可以看出來。

2.2 bool 欺騙

當存在json_decode和unserialize的時候,部分結構會被解釋成bool類型,也會造成欺騙。json_decode示例代碼:


  1. $json_str = '{"user":true,"pass":true}';

  2. $data = json_decode($json_str,true);

  3. if ($data['user'] == 'admin' && $data['pass']=='secirity')

  4. {

  5. print_r('logined in as bool'."\n");

  6. }

運行結果:


  1. root@kali:/var/www# php /root/php/hash.php

  2. logined in as bool

unserialize示例代碼:


  1. $unserialize_str = 'a:2:{s:4:"user";b:1;s:4:"pass";b:1;}';

  2. $data_unserialize = unserialize($unserialize_str);

  3. if ($data_unserialize['user'] == 'admin' && $data_unserialize['pass']=='secirity')

  4. {

  5. print_r('logined in unserialize'."\n");

  6. }

運行結果如下:


  1. root@kali:/var/www# php /root/php/hash.php

  2. logined in unserialize

2.3 數字轉換欺騙


  1. $user_id = ($_POST['user_id']);

  2. if ($user_id == "1")

  3. {

  4. $user_id = (int)($user_id);

  5. #$user_id = intval($user_id);

  6. $qry = "SELECT * FROM `users` WHERE user_id='$user_id';";

  7. }

  8. $result = mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );

  9. print_r(mysql_fetch_row($result));

將user_id=0.999999999999999999999發送出去得到結果如下:


  1. Array

  2. (

  3. [0] => 0

  4. [1] => lxx'

  5. [2] =>

  6. [3] =>

  7. [4] =>

  8. [5] =>

  9. )

本來是要查詢user_id的數據,結果卻是user_id=0的數據。int和intval在轉換數字的時候都是就低的,再如下代碼:


  1. if ($_POST['uid'] != 1) {

  2. $res = $db->query("SELECT * FROM user WHERE uid=%d", (int)$_POST['uid']);

  3. mail(...);

  4. } else {

  5. die("Cannot reset password of admin");

  6. }

假如傳入1.1,就繞過了$_POST['uid']!=1的判斷,就能對uid=1的用戶進行操作了。另外intval還有個盡力模式,就是轉換所有數字直到遇到非數字為止,如果采用:


  1. if (intval($qq) === '123456')

  2. {

  3. $db->query("select * from user where qq = $qq")

  4. }

***者傳入123456 union select version()進行***。

2.4 PHP5.4.4 特殊情況

這個版本的php的一個修改導致兩個數字型字符溢出導致比較相等


  1. $ php -r 'var_dump("61529519452809720693702583126814" == "61529519452809720000000000000000");'

  2. bool(true)

3 題外話:

同樣有類似問題的還有php strcmp函數,manual上是這么解釋的,int strcmp ( string $str1 , string $str2 ),str1是第一個字符串,str2是第二個字符串,如果str1小于str2,返回<0,如果str1>str2,返回>0,兩者相等返回0,假如str2為一個array呢?


  1. $_GET['key'] = array();

  2. $key = "llocdpocuzion5dcp2bindhspiccy";

  3. $flag = strcmp($key, $_GET['key']);

  4. if ($flag == 0) {

  5. print "Welcome!";

  6. } else {

  7. print "Bad key!";

  8. }

運行結果:


  1. root@kali:~/php# php strcmp.php

  2. PHP Warning: strcmp() expects parameter 2 to be string, array given in /root/php/strcmp.php on line 13

  3. Welcome!

參考: 
1,http://phpsadness.com/sad/47 
2,http://php.net/language.operators.comparison 
3,http://indico.cern.ch/event/241705/material/slides/0.pdf


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

蒲江县| 南溪县| 龙川县| 义马市| 泾源县| 蓝田县| 黄龙县| 正宁县| 漾濞| 翁源县| 长乐市| 建瓯市| 友谊县| 民丰县| 宁乡县| 双江| 庆云县| 平安县| 安仁县| 甘孜| 杭锦旗| 长寿区| 曲麻莱县| 垫江县| 霍林郭勒市| 扎囊县| 石景山区| 翁牛特旗| 铁力市| 石家庄市| 霍邱县| 四平市| 方正县| 屏边| 宝兴县| 秦安县| 全州县| 保康县| 霍林郭勒市| 广西| 中牟县|