1、描述 php
intval函數有個特性:」直到趕上數字或正負符號纔開始作轉換,再遇到非數字或字符串結束時()結束轉換」,在某些應用程序裏因爲對intval函數這個特性認識不夠,錯誤的使用致使繞過一些安全判斷致使安全漏洞. 安全
PHP_FUNCTION(intval) { zval **num, **arg_base; int base; switch (ZEND_NUM_ARGS()) { case 1: if (zend_get_parameters_ex(1, &num) == FAILURE) { WRONG_PARAM_COUNT; } base = 10; break; case 2: if (zend_get_parameters_ex(2, &num, &arg_base) == FAILURE) { WRONG_PARAM_COUNT; } convert_to_long_ex(arg_base); base = Z_LVAL_PP(arg_base); break; default: WRONG_PARAM_COUNT; } RETVAL_ZVAL(*num, 1, 0); convert_to_long_base(return_value, base); } Zend/zend_operators.c->>convert_to_long_base() …… case IS_STRING: strval = Z_STRVAL_P(op); Z_LVAL_P(op) = strtol(strval, NULL, base); STR_FREE(strval); break;
當intval函數接受到字符串型參數是調用convert_to_long_base()處理,接下來調用Z_LVAL_P(op) = strtol(strval, NULL, base);經過strtol函數來處理參數。 函數
函數原型以下: 測試
long int strtol(const char *nptr,char **endptr,int base); spa
這個函數會將參數nptr字符串根據參數base來轉換成長整型數,參數base範圍從2至36,或0.參數base表明採用的進制方式,如base值爲10則採用10進制,若base值爲16則採用16進制等。 code
流程爲: 字符串
strtol()會掃描參數nptr字符串,跳過前面的空格字符,直到趕上數字或正負符號纔開始作轉換,再遇到非數字或字符串結束時()結束轉換,並將結果返回。 get
那麼當intval用在if等的判斷裏面,將會致使這個判斷實去意義,從而致使安全漏洞. 原型
3、測試代碼
<?php $o = 0.1; for($a = 1; $a < 100; $a++){ $o += 0.1; echo 「<br />intval($o) = 「.intval($o); if(intval($o)){ print(「 true」); }else{ print(「 false」); } }?> 輸出結果: intval(0.2) = 0 false intval(0.3) = 0 false intval(0.4) = 0 false intval(0.5) = 0 false intval(0.6) = 0 false intval(0.7) = 0 false intval(0.8) = 0 false intval(0.9) = 0 false intval(1) = 0 false intval(1.1) = 1 true intval(1.2) = 1 true intval(1.3) = 1 true intval(1.4) = 1 true intval(1.5) = 1 true intval(1.6) = 1 true intval(1.7) = 1 true intval(1.8) = 1 true intval(1.9) = 1 true intval(2) = 2 true …..