没人质疑PHP的强大,可是它本身的一些特性也引发了一些安全问题。刚好最近在撸一些ctf题目,就对我见到的PHP存在的问题总结记录一下。

弱类型问题

在PHP中,可以执行这样操作

1
2
3
$var = 1;
$var = array();
$var = 'string';

它不会验证变量的类型,也可以随时转换变量类型。估计开发者原本是想让程序员更加高效的开发,所以在大量内置函数以及基本结构中使用了很多松散的比较和转换,防止程序中的变量因为程序员的不规范而频繁的报错,然而这却带来了安全问题。

  • 比较运算时
1
2
3
4
5
$a = null; $b = ''; $a == $b  //true
$a = null; $b = false; $a == $b  //true
$a = 0; $b = '0'; $a == $b  //true
$a = 0; $b = '0'; $a === $b  //false
$a = 0; $b = 'string'; $a == $b  //true

可见PHP在处理比较运算时,不会检查表达式类型,只在恒等比较时才同时检查表达式的值与类型。

  • hash比较时
1
2
3
var_dump('0e12345' == 0);  //true
var_dump('0e12345' == '0e54321');  //true
var_dump('0e12345' == '0e12345a');  //false

可以看到在遇到0e\d+类型的字符串时,会把此类型字符串作为科学计数法来处理,所以左右两边都为0*10^n = 0 。假如md5(str)为此类型的话,就可以构造md5(str1) == md5(str2)来绕过一些过滤。当然,这样的字符串有很多,详见PHP处理0e开头md5哈希字符串缺陷

  • 类型强制转换
  1. 当string遇上int
1
2
var_dump(0 == 'abcd');  //true  
var_dump(1 == '1abcd');  //true

当有一个对比参数是整数的时候,会把另外一个参数强制转换为整数。而转换过程中,’1abcd’的转换后的值是1,而‘abcd’是0,说明了intval返回字符串中第一个非数字的字符之前的数字串所代表的整数值。

1
var_dump(intval('12.12a'));  //12
  • 内置函数的松散

  1. md5()

    md5() 函数用于对字符串进行md5加密

    1
    var_dump(md5('1'));  //c4ca4238a0b923820dcc509a6f75849b

    当参数是string时正常加密,但是当你传递一个array时,函数不会报错,只是返回null

    1
    2
    3
    4
    $a[] =1;
    $b[] =2;
    var_dump(md5($a));  //null
    var_dump(md5($a)===md5($b));  //true

    这样就可以构造任意2个array来绕过md5函数的检测。

  2. in_array()

    in_array() 函数检查数组中是否存在某个值

    1
    2
    $array=[0,1,2,'3'];
    var_dump(in_array('abc', $array));  //true

    如果第三个参数 strict 的值为 TRUE 则 in_array() 函数还会检查 needle 的类型是否相同。只有加了strict才会对类型进行严格比较, 那么我们再次把整形和字符串进行比较呢?

    1
    2
    3
    var_dump(in_array('abc', $array));  //true
    var_dump(in_array('1bc', $array));  //true
    var_dump(in_array('4', $array));  //false

    它遍历了array的每个值,并且作”\==”比较(当设置了strict 用”===”),上面的情况前两个返回的都是true,因为’abc’会转换为0,’1bc’转换为1。那么我们完全就可以很容易的用构造好的int 0或1来绕过检测函数,使它返回为真。

  3. strcmp()

    strcmp() 函数比较两个字符串,该函数返回:

    1
    2
    3
    0  //如果两个字符串相等
    <0  //如果 string1 小于 string2
    >0  //如果 string1 大于 string2

    这里的strcmp函数实际上是将两个变量转换成ascii 然后做数学减法,返回一个int的差值。

    也就是说键入’a’和’a’进行比较得到的结果就是0

    那么如果让$array和‘a’比较呢?

    1
    2
    http://localhost/test.php?a[]=1
    var_dump(strcmp($_GET[a],'a'));  //null

    也就是说,我们让这个函数出错从而来绕过函数的检查。

浮点数精度问题

在PHP manual中有提到:

以十进制能够精确表示的有理数如 0.1 或 0.7,不能在不丢失一点点精度的情况下转换为二进制的格式。

1
2
3
4
var_dump(intval((0.1+0.7)*10));  //int(7)
var_dump(floor((0.1+0.7)*10));  //float(7)
var_dump(intval(0.58*100));  //int(57)
var_dump(floor(0.58*100));  //floatt(57)

为什么会这样的?简单分析一下

0.1 的二进制:

1
2
3
符号位 0 
指数 01111011-4
尾数 1.10011001100110011001101 (1.60000002384185791015625)

将这个数再转回十进制:0.10000000149011612

0.7 的二进制:

1
2
3
符号位 0 
指数 01111110  (-1)
尾数 1.01100110011001100110011 (1.39999997615814208984375)

将这个数再转回十进制:0.699999988079071

很明显,在转换为二进制的过程中丢失了精度,0.1 + 0.7 的结果是 0.79999998956919


参考:

浅谈PHP弱类型安全

PHP浮点数的一个常见问题的解答