溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇內容介紹了“php比較操作符的安全問題”的有關知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領大家學習一下如何處理這些情況吧!希望大家仔細閱讀,能夠學有所成!
php的比較操作符有==(等于)松散比較,===(完全等于)嚴格比較,這里面就會引入很多有意思的問題。
在松散比較的時候,php會將他們的類型統一,比如說字符到數字,非bool類型轉換成bool類型,為了避免意想不到的運行效果,應該使用嚴格比較。如下是php manual上的比較運算符表:
例子 名稱 結果 $a == $b 等于 TRUE,如果類型轉換后 $a 等于 $b。 $a === $b 全等 TRUE,如果 $a 等于 $b,并且它們的類型也相同。 $a != $b 不等 TRUE,如果類型轉換后 $a 不等于 $b。 $a <> $b 不等 TRUE,如果類型轉換后 $a 不等于 $b。 $a !== $b 不全等 TRUE,如果 $a 不等于 $b,或者它們的類型不同。 $a < $b 小與 TRUE,如果 $a 嚴格小于 $b。 $a > $b 大于 TRUE,如果 $a 嚴格大于 $b。 $a <= $b 小于等于 TRUE,如果 $a 小于或者等于 $b。 $a >= $b 大于等于 TRUE,如果 $a 大于或者等于 $b。
0x01 安全問題
1 hash比較缺陷
php在處理hash字符串的時候會用到!=,==來進行hash比較,如果hash值以0e開頭,后邊都是數字,再與數字比較,就會被解釋成0*10^n還是為0,就會被判斷相等,繞過登錄環節。
root@kali:~/tool# php -r 'var_dump("00e0345" == "0");var_dump("0e123456789"=="0");var_dump("0e1234abc"=="0");'
bool(true)
bool(true)
bool(false)
當全是數字的時候,寬松的比較會執行盡力模式,如0e12345678會被解釋成0*10^12345678,除了e不全是數字的時候就不會相等,這能從var_dump("0e1234abc"=="0")可以看出來。
2 bool 欺騙
當存在json_decode和unserialize的時候,部分結構會被解釋成bool類型,也會造成欺騙。json_decode示例代碼:
$json_str = '{"user":true,"pass":true}';
$data = json_decode($json_str,true);
if ($data['user'] == 'admin' && $data['pass']=='secirity')
{
print_r('logined in as bool'."\n");
}運行結果:
root@kali:/var/www# php /root/php/hash.php
logined in as bool
unserialize示例代碼:
$unserialize_str = 'a:2:{s:4:"user";b:1;s:4:"pass";b:1;}';
$data_unserialize = unserialize($unserialize_str);
if ($data_unserialize['user'] == 'admin' && $data_unserialize['pass']=='secirity')
{
print_r('logined in unserialize'."\n");
}運行結果如下:
root@kali:/var/www# php /root/php/hash.php
logined in unserialize
3 數字轉換欺騙
$user_id = ($_POST['user_id']);
if ($user_id == "1")
{
$user_id = (int)($user_id);
#$user_id = intval($user_id);
$qry = "SELECT * FROM `users` WHERE user_id='$user_id';";
}
$result = mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );
print_r(mysql_fetch_row($result));將user_id=0.999999999999999999999發送出去得到結果如下:
Array
(
[0] => 0
[1] => lxx'
[2] =>
[3] =>
[4] =>
[5] =>
)
本來是要查詢user_id的數據,結果卻是user_id=0的數據。int和intval在轉換數字的時候都是就低的,再如下代碼:
if ($_POST['uid'] != 1) {
$res = $db->query("SELECT * FROM user WHERE uid=%d", (int)$_POST['uid']);
mail(...);
} else {
die("Cannot reset password of admin");
}假如傳入1.1,就繞過了$_POST['uid']!=1的判斷,就能對uid=1的用戶進行操作了。另外intval還有個盡力模式,就是轉換所有數字直到遇到非數字為止,如果采用:
if (intval($qq) === '123456')
{
$db->query("select * from user where qq = $qq")
}攻擊者傳入123456 union select version()進行攻擊。
4 PHP5.4.4 特殊情況
這個版本的php的一個修改導致兩個數字型字符溢出導致比較相等
$ php -r 'var_dump("61529519452809720693702583126814" == "61529519452809720000000000000000");'
bool(true)
3 題外話:
同樣有類似問題的還有php strcmp函數,manual上是這么解釋的,int strcmp ( string $str1 , string $str2 ),str1是第一個字符串,str2是第二個字符串,如果str1小于str2,返回<0,如果str1>str2,返回>0,兩者相等返回0,假如str2為一個array呢?
$_GET['key'] = array();
$key = "llocdpocuzion5dcp2bindhspiccy";
$flag = strcmp($key, $_GET['key']);
if ($flag == 0) {
print "Welcome!";
} else {
print "Bad key!";
}運行結果:
root@kali:~/php# php strcmp.php
PHP Warning: strcmp() expects parameter 2 to be string, array given in /root/php/strcmp.php on line 13
Welcome!
比較多種類型
| 運算數 1 類型 | 運算數 1 類型 | 結果 |
|---|---|---|
| null 或 string | string | 將 NULL 轉換為 "",進行數字或詞匯比較 |
| bool 或 null | 任何其它類型 | 轉換為 bool,FALSE < TRUE |
| object | object | 內置類可以定義自己的比較,不同類不能比較,相同類和數組同樣方式比較屬性(PHP 4 中),PHP 5 有其自己的說明 |
| string,resource或 number | string,resource或 number | 將字符串和資源轉換成數字,按普通數學比較 |
| array | array | 具有較少成員的數組較小,如果運算數 1 中的鍵不存在于運算數 2 中則數組無法比較,否則挨個值比較(見下例) |
| array | 任何其它類型 | array 總是更大 |
| object | 任何其它類型 | object 總是更大 |
“php比較操作符的安全問題”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站,小編將為大家輸出更多高質量的實用文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
