微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

详解php比较操作符的安全问题

分类:PHP作者:编程之家

PHP的比较操作符有==(等于)松散比较,===(完全等于)严格比较,这里面就会引入很多有意思的问题。

在松散比较的时候,PHP会将他们的类型统一,比如说字符到数字,非bool类型转换成bool类型,为了避免意想不到的运行效果,应该使用严格比较。如下是PHP manual上的比较运算符表:

Box-sizing: border-Box; border-bottom: rgb(204,204,204) 1px solid; border-left: rgb(204,204) 1px solid; padding-bottom: 0.4em; widows: 1; text-transform: none; text-indent: 0px; margin: 1em 0px; padding-left: 0.6em; width: auto; letter-spacing: normal; padding-right: 0.6em; display: block; font: 15px/1.5 Menlo,Monaco,Consolas,'AnDale Mono','lucida console','Courier New',monospace; word-wrap: normal; background: rgb(248,248,248); color: rgb(51,51,51); overflow: auto; word-break: break-all; border-top: rgb(204,204) 1px solid; border-right: rgb(204,204) 1px solid; word-spacing: 0px; padding-top: 0.4em; border-radius: 2px; -webkit-text-stroke-width: 0px">
例子    名称     结果
$a == $b  等于   TRUE,如果类型转换后 $a 等于 $b。
$a === $b  全等   TRUE,如果 $a 等于 $b,并且它们的类型也相同。
$a != $b  不等   TRUE,如果类型转换后 $a 不等于 $b。
$a <> $b  不等   TRUE,如果类型转换后 $a 不等于 $b。
$a !== $b  不全等   TRUE,如果 $a 不等于 $b,或者它们的类型不同。
$a < $b   小与   TRUE,如果 $a 严格小于 $b。
$a > $b   大于   TRUE,如果 $a 严格大于 $b。
$a <= $b  小于等于   TRUE,如果 $a 小于或者等于 $b。
$a >= $b  大于等于   TRUE,如果 $a 大于或者等于 $b。

0x01 安全问题

1 hash比较缺陷

PHP在处理hash字符串的时候会用到!=,==来进行hash比较,如果hash值以0e开头,后边都是数字,再与数字比较,就会被解释成0*10^n还是为0,就会被判断相等,绕过登录环节。

# php -r 'var_dump("00e0345" == "0");var_dump("0e123456789"=="0");var_dump("0e1234abc"=="0");' bool(true) bool(true) bool(false)

当全是数字的时候,宽松的比较会执行尽力模式,如0e12345678会被解释成0*10^12345678,除了e不全是数字的时候就不会相等,这能从var_dump("0e1234abc"=="0")可以看出来。

2 bool 欺骗

当存在json_decode和unserialize的时候,部分结构会被解释成bool类型,也会造成欺骗。json_decode示例代码:

运行结果:

# PHP /root/PHP/hash.PHP logined in as bool

unserialize示例代码

rush:PHP;"> $unserialize_str = 'a:2:{s:4:"user";b:1;s:4:"pass";b:1;}'; $data_unserialize = unserialize($unserialize_str); if ($data_unserialize['user'] == 'admin' && $data_unserialize['pass']=='secirity') { print_r('logined in unserialize'."\n"); }

运行结果如下:

# php /root/php/hash.php logined in unserialize

3 数字转换欺骗

' . mysql_error() . '' ); print_r(mysql_fetch_row($result));

将user_id=0.999999999999999999999发送出去得到结果如下:

Array ( [0] => 0 [1] => lxx' [2] => [3] => [4] => [5] => )

本来是要查询user_id的数据,结果却是user_id=0的数据。int和intval在转换数字的时候都是就低的,再如下代码:

query("SELECT * FROM user WHERE uid=%d",(int)$_POST['uid']); mail(...); } else { die("Cannot reset password of admin"); }

假如传入1.1,就绕过了$_POST['uid']!=1的判断,就能对uid=1的用户进行操作了。另外intval还有个尽力模式,就是转换所有数字直到遇到非数字为止,如果采用:

query("select * from user where qq = $qq") }

攻击者传入123456 union select version()进行攻击。

4 PHP5.4.4 特殊情况

这个版本的php的一个修改导致两个数字型字符溢出导致比较相等

$ php -r 'var_dump("61529519452809720693702583126814" == "61529519452809720000000000000000");' bool(true)

3 题外话:

同样有类似问题的还有php strcmp函数,manual上是这么解释的,int strcmp ( string $str1,string $str2 ),str1是第一个字符串,str2是第二个字符串,如果str1小于str2,返回<0,如果str1>str2,返回>0,两者相等返回0,假如str2为一个array呢?

运行结果:

# PHP strcmp.PHP PHP Warning: strcmp() expects parameter 2 to be string,array given in /root/PHP/strcmp.PHP on line 13 Welcome!

比较多种类型

ottom: rgb(176,190,199) 1px solid; border-left: rgb(176,199) 1px solid; padding-bottom: 0px; widows: 1; text-transform: none; text-indent: 0px; margin: 5px 0px 10px; padding-left: 0px; letter-spacing: normal; padding-right: 0px; border-collapse: collapse; font: medium/23px Verdana,Tahoma,'BitStream vera Sans',Arial,Helvetica,sans-serif; white-space: normal; background: rgb(255,255,255); color: rgb(51,51); border-top: rgb(176,199) 1px solid; border-right: rgb(176,199) 1px solid; word-spacing: 0px; padding-top: 0px; -webkit-text-stroke-width: 0px"> ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px"> ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px"> ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px"> ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">
ottom: rgb(176,199) 1px solid; text-align: left; border-left: rgb(176,199) 1px dotted; padding-bottom: 5px; margin: 0px; padding-left: 10px; padding-right: 10px; background: rgb(246,249,231); vertical-align: middle; border-top: rgb(176,199) 1px dotted; padding-top: 5px">运算数 1 类型 ottom: rgb(176,199) 1px dotted; padding-top: 5px">结果
ottom: rgb(176,199) 1px dotted; padding-bottom: 5px; margin: 0px; padding-left: 10px; padding-right: 10px; vertical-align: middle; border-top: rgb(176,199) 1px dotted; padding-top: 5px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">ottom: rgb(176,199) 1px dotted; padding-top: 5px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">imsun">FALSEottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">imsun">TRUEottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px"> ottom: rgb(176,199) 1px dotted; padding-top: 5px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px"> ottom: rgb(176,136); text-decoration: none; padding-top: 0px">string,ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">ottom: rgb(176,199) 1px dotted; padding-top: 5px">将字符串和资源转换成数字,按普通数学比较ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px"> ottom: rgb(176,199) 1px dotted; padding-top: 5px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px">ottom: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px"> ottom: rgb(176,136); text-decoration: none; padding-top: 0px">object

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

php操作符

相关推荐

vue+thinkphp5实现微信扫码支付(NATIVE支付)
统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单,返回预支付订单号的接口,目前微信支付所有场景均使用这一接口。下面介绍的是其中NATIVE的支付实现流程与PC端实现扫码支付流程
uniapp+thinkphp5实现微信扫码支付(APP支付)
统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单,返回预支付订单号的接口,目前微信支付所有场景均使用这一接口。下面介绍的是其中APP的支付的配置与实现流程
uniapp+thinkphp5实现微信登录
前言 之前做了微信登录,所以总结一下微信授权登录并获取用户信息这个功能的开发流程。 配置 1.首先得在微信公众平台申请一下微信小程序账号并获取到小程序的AppID和AppSecret https://mp.weixin.qq.com/cgi-bin/loginpage?url=%2Fwxamp%2F
【PHP】关于fastadmin框架中使用with进行连表查询时setEagerlyType字段的理解
FastAdmin是我第一个接触的后台管理系统框架。FastAdmin是一款开源且免费商用的后台开发框架,它基于ThinkPHP和Bootstrap两大主流技术构建的极速后台开发框架,它有着非常完善且强大的功能和便捷的开发体验,使我逐渐喜欢上了它。
【workerman】uniapp+thinkPHP5使用GatewayWorker实现实时通讯
之前公司需要一个内部的通讯软件,就叫我做一个。通讯软件嘛,就离不开通讯了,然后我就想到了长连接。这里本人用的是GatewayWorker框架。
uniapp+thinkphp5实现微信支付(JSAPI支付)
统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单,返回预支付订单号的接口,目前微信支付所有场景均使用这一接口。下面介绍的是其中JSAPI的支付实现流程
服务器优化必备:深入了解PHP8底层开发原理
服务器优化必备:深入了解PHP8底层开发原理
Golang的网络编程:如何快速构建高性能的网络应用?
Golang的网络编程:如何快速构建高性能的网络应用?
Golang和其他编程语言的对比:为什么它的开发效率更高?
Golang和其他编程语言的对比:为什么它的开发效率更高?
PHP8底层开发原理揭秘:如何利用新特性创建出色的Web应用
PHP8底层开发原理揭秘:如何利用新特性创建出色的Web应用
苹果市值2025年有望达4万亿美元
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot