久久99久久综合,美女穿湿丝袜一区二区三区

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

php==操作符帶來的安全問題

1 比較操作符

php的比較操作符有==（等于）松散比較，===（完全等于）嚴(yán)格比較，這里面就會引入很多有意思的問題。在松散比較的時候，php會將他們的類型統(tǒng)一，比如說字符到數(shù)字，非bool類型轉(zhuǎn)換成bool類型，為了避免意想不到的運行效果，應(yīng)該使用嚴(yán)格比較。如下是php manual上的比較運算符表：

創(chuàng)新互聯(lián)是一家專注于成都網(wǎng)站制作、做網(wǎng)站、外貿(mào)營銷網(wǎng)站建設(shè)與策劃設(shè)計,阿爾山網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十余年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:阿爾山等地區(qū)。阿爾山做網(wǎng)站價格咨詢:18982081108

例子名稱結(jié)果
$a == $b 等于 TRUE，如果類型轉(zhuǎn)換后 $a 等于 $b。
$a === $b 全等 TRUE，如果 $a 等于 $b，并且它們的類型也相同。
$a != $b 不等 TRUE，如果類型轉(zhuǎn)換后 $a 不等于 $b。
$a <> $b 不等 TRUE，如果類型轉(zhuǎn)換后 $a 不等于 $b。
$a !== $b 不全等 TRUE，如果 $a 不等于 $b，或者它們的類型不同。
$a < $b 小與 TRUE，如果 $a 嚴(yán)格小于 $b。
$a > $b 大于 TRUE，如果 $a 嚴(yán)格大于 $b。
$a <= $b 小于等于 TRUE，如果 $a 小于或者等于 $b。
$a >= $b 大于等于 TRUE，如果 $a 大于或者等于 $b。

2 安全問題

2.1 hash比較缺陷

php在處理hash字符串的時候會用到!=,==來進(jìn)行hash比較，如果hash值以0e開頭，后邊都是數(shù)字，再與數(shù)字比較，就會被解釋成0*10^n還是為0，就會被判斷相等，繞過登錄環(huán)節(jié)。

root@kali:~/tool# php -r 'var_dump("00e0345" == "0");var_dump("0e123456789"=="0");var_dump("0e1234abc"=="0");'
bool(true)
bool(true)
bool(false)

當(dāng)全是數(shù)字的時候，寬松的比較會執(zhí)行盡力模式，如0e12345678會被解釋成0*10^12345678,除了e不全是數(shù)字的時候就不會相等，這能從var_dump("0e1234abc"=="0")可以看出來。

2.2 bool 欺騙

當(dāng)存在json_decode和unserialize的時候，部分結(jié)構(gòu)會被解釋成bool類型，也會造成欺騙。json_decode示例代碼：

$json_str = '{"user":true,"pass":true}';
$data = json_decode($json_str,true);
if ($data['user'] == 'admin' && $data['pass']=='secirity')
{
print_r('logined in as bool'."\n");
}

運行結(jié)果：

root@kali:/var/www# php /root/php/hash.php
logined in as bool

unserialize示例代碼：

$unserialize_str = 'a:2:{s:4:"user";b:1;s:4:"pass";b:1;}';
$data_unserialize = unserialize($unserialize_str);
if ($data_unserialize['user'] == 'admin' && $data_unserialize['pass']=='secirity')
{
print_r('logined in unserialize'."\n");
}

運行結(jié)果如下：

root@kali:/var/www# php /root/php/hash.php
logined in unserialize

2.3 數(shù)字轉(zhuǎn)換欺騙

$user_id = ($_POST['user_id']);
if ($user_id == "1")
{
$user_id = (int)($user_id);
#$user_id = intval($user_id);
$qry = "SELECT * FROM `users` WHERE user_id='$user_id';";
}
$result = MySQL_query($qry) or die('
```
' . mysql_error() . '
```
' );
print_r(mysql_fetch_row($result));

將user_id=0.999999999999999999999發(fā)送出去得到結(jié)果如下：

Array
(
[0] => 0
[1] => lxx'
[2] =>
[3] =>
[4] =>
[5] =>
)

本來是要查詢user_id的數(shù)據(jù)，結(jié)果卻是user_id=0的數(shù)據(jù)。int和intval在轉(zhuǎn)換數(shù)字的時候都是就低的，再如下代碼:

if ($_POST['uid'] != 1) {
$res = $db->query("SELECT * FROM user WHERE uid=%d", (int)$_POST['uid']);
mail(...);
} else {
die("Cannot reset password of admin");
}

假如傳入1.1，就繞過了$_POST['uid']！=1的判斷，就能對uid=1的用戶進(jìn)行操作了。另外intval還有個盡力模式，就是轉(zhuǎn)換所有數(shù)字直到遇到非數(shù)字為止，如果采用:

if (intval($qq) === '123456')
{
$db->query("select * from user where qq = $qq")
}

***者傳入123456 union select version()進(jìn)行***。

2.4 PHP5.4.4 特殊情況

這個版本的php的一個修改導(dǎo)致兩個數(shù)字型字符溢出導(dǎo)致比較相等

$ php -r 'var_dump("61529519452809720693702583126814" == "61529519452809720000000000000000");'
bool(true)

3 題外話：

同樣有類似問題的還有php strcmp函數(shù),manual上是這么解釋的，int strcmp ( string $str1 , string $str2 ),str1是第一個字符串，str2是第二個字符串，如果str1小于str2，返回<0,如果str1>str2,返回>0,兩者相等返回0，假如str2為一個array呢？

$_GET['key'] = array();
$key = "llocdpocuzion5dcp2bindhspiccy";
$flag = strcmp($key, $_GET['key']);
if ($flag == 0) {
print "Welcome!";
} else {
print "Bad key!";
}

運行結(jié)果：

root@kali:~/php# php strcmp.php
PHP Warning: strcmp() expects parameter 2 to be string, array given in /root/php/strcmp.php on line 13
Welcome!

參考：
1，http://phpsadness.com/sad/47
2，http://php.net/language.operators.comparison
3，http://indico.cern.ch/event/241705/material/slides/0.pdf

當(dāng)前題目：php==操作符帶來的安全問題
網(wǎng)站URL：http://www.dlmjj.cn/article/jgeepe.html

日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区