0x00 弱型別初探
沒有人質疑php的簡單強大,它提供了很多特性供開發者使用,其中一個就是弱型別機制。
在弱型別機制下 你能夠執行這樣的操作
<?php $var = 1; $var = array(); $var = "string"; ?>
php不會嚴格檢驗傳入的變數型別,也可以將變數自由的轉換型別。
比如 在$a == $b的比較中
$a = null; $b = false; //為真 $a = ''; $b = 0; //同樣為真
然而,php核心的開發者原本是想讓程式設計師藉由這種不需要宣告的體系,更加高效的開發,所以在 幾乎所有內建函數以及基本結構 中使用了很多鬆散的比較和轉換,防止程式中的變數因為程式設計師的不規範而頻繁的報錯,然而這卻帶來了安全問題。
0x02 知識預備 php核心之zval結構
在PHP中宣告的變數,在ZE中都是用結構體zval來儲存的
zval的定義在zend/zend.h
typedef struct _zval_struct zval;
struct _zval_struct {
/* Variable information */
zvalue_value value; /* value */
zend_uint refcount__gc;
zend_uchar type;/* active type */
zend_uchar is_ref__gc;
};
typedef union _zvalue_value {
long lval; /* long value */
double dval;/* double value */
struct {
char *val;
int len;
} str;
HashTable *ht; /* hash table value */
zend_object_value obj;
} zvalue_value;其中php通過type判斷變數型別 存入value
如上也就是php核心中弱型別的封裝,也是我們後面講的所有東西的原理和基礎。
0x03變數的強制轉換
通過剛剛的了解,我們知道zval.type決定了儲存到zval.value的型別。
當原始碼進行一些未限制型別的比較,或數學運算的時候,可能會導致zval.type的改變,同時影響zval.value的內容改變。
當int遇上string
cp.1 數學運算
當php進行一些數學計算的時候
ar_dump(0 == '0'); // true var_dump(0 == 'abcdefg'); // true var_dump(0 === 'abcdefg'); // false var_dump(1 == '1abcdef'); // true
當有一個對比引數是整數的時候,會把另外一個引數強制轉換為整數。
相當於對字串部分
intval再和整數部分比較,其實也就是改變了zval.type的內容 尤為注意的是,'1assd'的轉換後的值是1,而‘asdaf’是0
也說明了intval會從第一位不是數位的單位開始進行
所有也有
var_dump(intval('3389a'));//輸出3389這個例子就告訴我們,永遠不要相信下面的程式碼
if($a>1000){
mysql_query('update ... .... set value=$a')
}你以為這時候進入該支的萬無一失為整數了
其實$a可能是1001/**/union...
cp.2 語句條件的鬆散判斷
舉個例子php的switch使用了鬆散比較. $which會被自動intval變成0如果每個case裡面沒有break ,就會一直執行到包含,最終執行到我們需要的函數,這裡是成功包含
<?php
if (isset($_GET['which']))
{
$which = $_GET['which'];
switch ($which)
{
case 0:
case 1:
case 2:
require_once $which.'.php';
break;
default:
echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);
break;
}cp.3 函數的鬆散判斷
var_dump(in_array("abc", $array));in_array — 檢查陣列中是否存在某個值 引數
needle 待搜尋的值。
Note: 如果 needle 是字串,則比較是區分大小寫的。 haystack 這個陣列。
strict 如果第三個引數 strict 的值為 TRUE 則 in_array() 函數還會檢查 needle 的型別是否和 haystack 中的相同。
可以看到,只有加了strict才會對型別進行嚴格比較, 那麼我們再次把×××和字串進行比較呢?
var_dump(in_array("abc", $array1));</br>
var_dump(in_array("1bc", $array2));它遍歷了array的每個值,並且作"=="比較(「當設定了strict 用===」)
結果很明顯了
如果array1裡面有個值為0,那麼第一條返回就會為真//intval('abc')=0
如果array2裡面有個值為1,那麼第二條就會為真//intval('1bc')=1
array_search也是一樣的原理
這裡的應用就很廣泛了,
很多程式設計師都會檢查陣列的值,
那麼我們完全可以用構造好的int 0或1 騙過檢測函數,使它返回為真
總結一下, 在所有php認為是int的地方輸入string,都會被強制轉換 ,比如
$a = 'asdfgh';//字串型別的a</br> echo $a[2]; //根據php的offset 會輸出'd'</br> echo $a[x]; //根據php的預測,這裡應該是int型,那麼輸入string,就會被intval成為0 也就是輸出'a'
當陣列遇上string
這一個例子我是在德國的一個ctf中遇到,很有意思前面我們講的都是string和int的比較
那麼array碰上int或者是string會有什麼化學反應?
由php手冊我們知道
Array轉換整型int/浮點型float會返回元素個數;
轉換bool返回Array中是否有元素;轉換成string返回'Array',並丟擲warning。
那麼實際應用是怎樣的呢?
if(!strcmp($c[1],$d) && $c[1]!==$d){
...
}可以發現,這個分支通過strcmp函數比較要求兩者相等且「==」要求兩者不相等才能進入。
strcmp() 函數比較兩個字串。
該函數返回:
0 - 如果兩個字串相等
<0 - 如果 string1 小於 string2
>0 - 如果 string1 大於 string2
這裡的strcmp函數實際上是將兩個變數轉換成ascii 然後做數學減法,返回一個int的差值。
也就是說鍵入'a'和'a'進行比較得到的結果就是0
那麼如果讓$array和‘a’比較呢?
http://localhost:8888/1.php?a[]=1 var_dump(strcmp($_GET[a],'a'));
這時候php返回了null!
也就是說,我們讓這個函數出錯從而使它恆真,繞過函數的檢查。
0x04時時防備弱型別
作為一個程式設計師,弱型別確實給程式設計師書寫程式碼帶來了很大的便利,但是也讓程式設計師忘記了$array =array();的習慣。都說一切輸入都是有害的
那麼其實可以說一切輸入的型別也是可疑的,永遠不要相信弱型別的php下任何比較函數,任何數學運算。否則,你絕對是被php出賣的那一個。
相關教學:PHP視訊教學
以上就是談談PHP弱型別安全問題的詳細內容,更多請關注TW511.COM其它相關文章!