详解php比较操作符的安全问题

发布时间：2020-12-13 02:58:06 所属栏目：PHP教程来源：网络整理

导读：《详解php比较操作符的安全问题》要点：本文介绍了详解php比较操作符的安全问题，希望对您有用。如果有疑问，可以联系我们。 PHP教程 php的比较操作符有==(等于)松散比较,===(完全等于)严格比较,这里面就会引入很多有意思的问题. PHP教程在松散比较的时候,

《详解php比较操作符的安全问题》要点：
本文介绍了详解php比较操作符的安全问题，希望对您有用。如果有疑问，可以联系我们。

PHP教程php的比较操作符有==(等于)松散比较,===(完全等于)严格比较,这里面就会引入很多有意思的问题.

PHP教程在松散比较的时候,php会将他们的类型统一,比如说字符到数字,非bool类型转换成bool类型,为了避免意想不到的运行效果,应该使用严格比较.如下是php manual上的比较运算符表：

PHP教程
例子    名称     结果
$a == $b  等于   TRUE,如果类型转换后 $a 等于 $b.
$a === $b  全等   TRUE,如果 $a 等于 $b,并且它们的类型也相同.
$a != $b  不等   TRUE,如果类型转换后 $a 不等于 $b.
$a <> $b  不等   TRUE,如果类型转换后 $a 不等于 $b.
$a !== $b  不全等   TRUE,如果 $a 不等于 $b,或者它们的类型不同.
$a < $b   小与   TRUE,如果 $a 严格小于 $b.
$a > $b   大于   TRUE,如果 $a 严格大于 $b.
$a <= $b  小于等于   TRUE,如果 $a 小于或者等于 $b.
$a >= $b  大于等于   TRUE,如果 $a 大于或者等于 $b.

PHP教程0x01 平安问题

PHP教程1 hash比较缺陷

PHP教程php在处理hash字符串的时候会用到!=,==来进行hash比较,如果hash值以0e开头,后边都是数字,再与数字比较,就会被解释成0*10^n还是为0,就会被判断相等,绕过登录环节.

PHP教程root@kali:~/tool# php -r 'var_dump("00e0345" == "0");var_dump("0e123456789"=="0");var_dump("0e1234abc"=="0");'
bool(true)
bool(true)
bool(false)

PHP教程当全是数字的时候,宽松的比较会执行尽力模式,如0e12345678会被解释成0*10^12345678,除了e不全是数字的时候就不会相等,这能从var_dump("0e1234abc"=="0")可以看出来.

PHP教程2 bool 欺骗

PHP教程当存在json_decode和unserialize的时候,部分结构会被解释成bool类型,也会造成欺骗.json_decode示例代码：

PHP教程
$json_str = '{"user":true,"pass":true}';
$data = json_decode($json_str,true);
if ($data['user'] == 'admin' && $data['pass']=='secirity')
{
  print_r('logined in as bool'."n");
}

PHP教程运行结果：

PHP教程root@kali:/var/www# php /root/php/hash.php
logined in as bool

PHP教程unserialize示例代码：

PHP教程
$unserialize_str = 'a:2:{s:4:"user";b:1;s:4:"pass";b:1;}';
$data_unserialize = unserialize($unserialize_str);
if ($data_unserialize['user'] == 'admin' && $data_unserialize['pass']=='secirity')
{
  print_r('logined in unserialize'."n");
}

PHP教程运行结果如下：

PHP教程root@kali:/var/www# php /root/php/hash.php
logined in unserialize

PHP教程3 数字转换欺骗

PHP教程
$user_id = ($_POST['user_id']);
if ($user_id == "1")
{
  $user_id = (int)($user_id);
  #$user_id = intval($user_id);
  $qry = "SELECT * FROM `users` WHERE user_id='$user_id';";
}
$result = mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );
print_r(mysql_fetch_row($result));

PHP教程将user_id=0.999999999999999999999发送出去得到结果如下：

PHP教程Array
(
??? [0] => 0
??? [1] => lxx'
??? [2] =>
??? [3] =>
??? [4] =>
??? [5] =>
)

PHP教程原来是要查询user_id的数据,结果却是user_id=0的数据.int和intval在转换数字的时候都是就低的,再如下代码:

PHP教程
if ($_POST['uid'] != 1) {
 $res = $db->query("SELECT * FROM user WHERE uid=%d",(int)$_POST['uid']);
 mail(...);
} else {
 die("Cannot reset password of admin");
}

PHP教程假如传入1.1,就绕过了$_POST['uid']!=1的判断,就能对uid=1的用户进行操作了.另外intval还有个尽力模式,就是转换所有数字直到遇到非数字为止,如果采用:

PHP教程
if (intval($qq) === '123456')
{
  $db->query("select * from user where qq = $qq")
}

PHP教程攻击者传入123456 union select version()进行攻击.

PHP教程4 PHP5.4.4 特殊情况

PHP教程这个版本的php的一个修改导致两个数字型字符溢出导致比较相等

PHP教程$ php -r 'var_dump("61529519452809720693702583126814" == "61529519452809720000000000000000");'
bool(true)

PHP教程3 题外话：

PHP教程同样有类似问题的还有php strcmp函数,manual上是这么解释的,int strcmp ( string $str1,string $str2 ),str1是第一个字符串,str2是第二个字符串,如果str1小于str2,返回<0,如果str1>str2,返回>0,两者相等返回0,假如str2为一个array呢?

PHP教程
$_GET['key'] = array();
$key = "llocdpocuzion5dcp2bindhspiccy";
$flag = strcmp($key,$_GET['key']);
if ($flag == 0) {
  print "Welcome!";
} else {
  print "Bad key!";
}

PHP教程运行结果：

PHP教程root@kali:~/php# php strcmp.php
PHP Warning:? strcmp() expects parameter 2 to be string,array given in /root/php/strcmp.php on line 13
Welcome!

PHP教程比较多种类型

运算数 1 类型	结果
null?或?string	string	将?`NULL`?转换为 "",进行数字或词汇比较
bool?或?null	任何其它类型	转换为?bool,`FALSE`?<?`TRUE`
object	内置类可以定义本身的比较,不同类不能比较,相同类和数组同样方式比较属性(PHP 4 中),PHP 5 有其本身的说明
string,resource或?number	将字符串和资源转换成数字,按普通数学比较
array	具有较少成员的数组较小,如果运算数 1 中的键不存在于运算数 2 中则数组无法比较,否则挨个值比较(见下例)
array?总是更大
object?总是更大

编程之家培训学院每天发布《详解php比较操作符的安全问题》等实战技能，PHP、MYSQL、LINUX、APP、JS,CSS全面培养人才。

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!