PHP の弱い型のセキュリティ問題の詳細な概要

不言
リリース: 2023-03-24 07:10:02
オリジナル
1469 人が閲覧しました

弱い型付き言語は、弱い型付き定義言語とも呼ばれます。厳密に型指定された定義の逆。 VB や PHP などの言語の弱い型については、この記事で詳しく説明しますので、必要に応じて参照してください。

はじめに

PHP が世界で最高の言語であることは誰もが知っていると思いますが、PHP 自体の問題も Web セキュリティの側面とみなすことができます。 PHP の特徴は、弱い型付けと、組み込み関数による受信パラメーターの緩やかな処理です。

この記事は、主に攻守のプラットフォームで遭遇したPHP関数の問題と、PHPの弱い型によって引き起こされる問題を記録するものです。 PHP を学習または使用する際に、誰にとっても一定の参考になります。一緒に見てみましょう。

PHP の弱い型付けの概要

編集者は、php が開発者が使用できる独自の機能を多数提供しているため、php は非常に強力であると考えています。その 1 つは php の弱い型付けメカニズムです。

PHPでは以下の操作が可能です。

$param = 1;
$param = array();
$param = "stringg";
ログイン後にコピー

弱い型指定言語では、変数のデータ型に制限がなく、いつでも変数を他の型の変数に割り当てることができ、変数を他の型のデータに変換することもできます。

型変換の問題

型変換は避けられない問題です。たとえば、GET または POST パラメータを int 型に変換する必要がある場合、または 2 つの変数が一致しない場合、PHP は変数を自動的に変換します。ただし、PHP は型付けが弱い言語であるため、型変換を実行するときに多くの予期せぬ問題が発生します。

比較演算子

型変換

$a==$bの比較$a==$b的比较中

$a=null;$b=flase ; //true
$a='';$b=null; //true
ログイン後にコピー

这样的例子还有很多,这种比较都是相等。

使用比较操作符的时候也存在类型转换的问题,如下:

0=='0' //true
0 == 'abcdefg' //true
0 === 'abcdefg' //false
1 == '1abcdef' //true
ログイン後にコピー

当不同类型的变量进行比较的时候就会存在变量转换的问题,在转换之后就有可能会存在问题。

Hash比较

除了以上的这种方式之外在进行hash比较的时候也会存在问题。如下:

"0e132456789"=="0e7124511451155" //true
"0e123456abc"=="0e1dddada" //false
"0e1abc"=="0"  //true
ログイン後にコピー

在进行比较运算时,如果遇到了0ed+这种字符串,就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0ed+这种模式就不会相等。这个题目在攻防平台中的md5 collision就有考到。

十六进制转换

还存在一种十六进制余字符串进行比较运算时的问题。

例子如下:

"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false
ログイン後にコピー

当其中的一个字符串是0x开头的时候,PHP会将此字符串解析成为十进制然后再进行比较,0x1240解析成为十进制就是123456,所以与int类型和string类型的123456比较都是相等。攻防平台中的起名字真难就是考察的这个特性。

类型转换

常见的转换主要就是int转换为string,string转换为int。

int转string:

$var = 5;
方式1:$item = (string)$var;
方式2:$item = strval($var);
ログイン後にコピー

string转intintval()函数。

对于这个函数,可以先看2个例子。

var_dump(intval('2')) //2
var_dump(intval('3abcd')) //3
var_dump(intval('abcd')) //0
ログイン後にコピー

说明intval()转换的时候,会将从字符串的开始进行转换知道遇到一个非数字的字符。即使出现无法转换的字符串,intval()不会报错而是返回0。

intval()的这种特性在攻防平台中的MYSQL这道题目中就有考到。

同时,程序员在编程的时候也不应该使用如下的这段代码:

if(intval($a)>1000) {
 mysql_query("select * from news where id=".$a)
}
ログイン後にコピー

这个时候$a的值有可能是1002 union…..

内置函数的参数的松散性

内置函数的松散性说的是,调用函数时给函数传递函数无法接受的参数类型。解释起来有点拗口,还是直接通过实际的例子来说明问题,下面会重点介绍几个这种函数。

md5()

$array1[] = array(
 "foo" => "bar",
 "bar" => "foo",
);
$array2 = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)); //true
ログイン後にコピー

PHP手册中的md5()函数的描述是string md5 ( string $str [, bool $raw_output = false ] ) md5()中的需要是一个string类型的参数。但是当你传递一个array时,md5()不会报错,知识会无法正确地求出array的md5值,这样就会导致任意2个array的md5值都会相等。这个md5()

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。
ログイン後にコピー
ログイン後にコピー

このような例はたくさんあります、この種のすべての比較は同じ。
🎜🎜比較演算子を使用する場合、次のような型変換の問題もあります。 🎜🎜🎜
$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}
ログイン後にコピー
ログイン後にコピー
🎜🎜🎜 異なる型の変数を比較すると、変換後に変数変換の問題が発生します。問題があるかもしれません。 🎜🎜🎜ハッシュ比較🎜🎜🎜 上記の方法に加えて、ハッシュ比較を行う際にも問題があります。次のように: 🎜🎜🎜
$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true
ログイン後にコピー
ログイン後にコピー
🎜🎜🎜 比較演算を実行するときに、0ed+ のような文字列が見つかった場合、この文字列は科学的表記法に解析されます。したがって、上の例の 2 つの数値の値は両方とも 0 であり、等しいです。 0ed+ が満たされない場合、このパターンは等しくなりません。この質問は、攻撃的および防御的なプラットフォームの md5 衝突でテストされます。 🎜🎜🎜16 進数変換🎜🎜🎜16 進数の剰余文字列を比較する場合にも問題があります。 🎜🎜例は次のとおりです: 🎜🎜🎜rrreee🎜🎜🎜 文字列の 1 つが 0x で始まる場合、PHP は文字列を 10 進数に解析してから、0x1240 を 10 進数に解析すると 123456 であるため、それを比較します。 int 型と同じであり、string 型の 123456 の比較はすべて等しい。攻守のプラットフォームで名前を付けるのが難しいのは、捜査の特性によるものです。 🎜🎜🎜🎜型変換🎜🎜🎜🎜一般的な変換は、主に int から string への変換、および string から int への変換です。
🎜🎜🎜int から文字列へ: 🎜🎜🎜🎜rrreee🎜🎜🎜🎜文字列から int🎜: intval() 関数。
🎜🎜この関数については、まず 2 つの例を見てください。 🎜🎜🎜rrreee🎜🎜🎜説明: intval() が変換されるとき、文字列の先頭から数値以外の文字が検出されるまで変換されます。 intval() は変換できない文字列が現れてもエラーにはならずに 0 を返します。
🎜🎜intval() この機能は、攻撃的および防御的なプラットフォームの MYSQL の問題でテストされます。
🎜🎜同時に、プログラマはプログラミング時に次のコードを使用しないでください: 🎜🎜🎜rrreee🎜🎜🎜現時点では、$a の値は 1002 Union である可能性があります...🎜🎜🎜🎜Built- in 関数のパラメータの緩さ🎜🎜🎜🎜 組み込み関数の緩さは、関数を呼び出すときに、関数が受け入れることができないパラメータの型が関数に渡されることを意味します。説明は少しわかりにくいので、以下ではそのような関数のいくつかに焦点を当てて、実際の例を通して問題を説明します。 🎜🎜🎜md5()🎜🎜🎜🎜rrreee🎜🎜🎜PHPマニュアルのmd5()関数の説明はstring md5 ( string $str [, bool $raw_output = false ] ) md5() の要件は文字列型パラメータです。しかし、配列を渡すと、md5() はエラーを報告せず、配列の md5 値を正しく計算できなくなり、任意の 2 つの md5 値が発生します。配列が等しくなるようにします。 md5() のこの機能も、攻撃および防御プラットフォームでバイパスされると考えられます。 🎜🎜🎜strcmp()🎜🎜

strcmp()函数在PHP官方手册中的描述是int strcmp ( string $str1 , string $str2 ) ,需要给strcmp()传递2个string类型的参数。如果str1小于str2,返回-1,相等返回0,否则返回1。strcmp函数比较字符串的本质是将两个变量转换为ascii,然后进行减法运算,然后根据运算结果来决定返回值。

如果传入给出strcmp()的参数是数字呢?

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。
ログイン後にコピー
ログイン後にコピー

strcmp这种特性在攻防平台中的pass check有考到。

switch()

如果switch是数字类型的case的判断时,switch会将其中的参数转换为int类型。如下:

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
 echo "i is less than 3 but not negative";
 break;
case 3:
 echo "i is 3";
}
ログイン後にコピー
ログイン後にコピー

这个时候程序输出的是i is less than 3 but not negative,是由于switch()函数将$i进行了类型转换,转换结果为2。

in_array()

在PHP手册中,in_array()函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ,如果strict参数没有提供,那么in_array就会使用松散比较来判断$needle是否在$haystack中。当strince的值为true时,in_array()会比较needls的类型和haystack中的类型是否相同。

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true
ログイン後にコピー
ログイン後にコピー

可以看到上面的情况返回的都是true,因为'abc'会转换为0,'1bc'转换为1。

array_search()in_array()也是一样的问题。

相关推荐:

PHP弱类型详解

php弱类型语言中关于类型判断的实例分析

以上がPHP の弱い型のセキュリティ問題の詳細な概要の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
最新の問題
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート