PHP內置函數intval()使用不當的安全漏洞分析

1、描述

intval函數有個特性:」直到趕上數字或正負符號纔開始作轉換，再遇到非數字或字符串結束時()結束轉換」,在某些應用程序裏因爲對intval函數這個特性認識不夠,錯誤的使用致使繞過一些安全判斷致使安全漏洞.

PHP_FUNCTION(intval)
 {
 zval **num, **arg_base;
 int base;
 switch (ZEND_NUM_ARGS()) {
 case 1:
 if (zend_get_parameters_ex(1, &num) == FAILURE) {
 WRONG_PARAM_COUNT;
 }
 base = 10;
 break;
 case 2:
 if (zend_get_parameters_ex(2, &num, &arg_base) == FAILURE) {
 WRONG_PARAM_COUNT;
 }
 convert_to_long_ex(arg_base);
 base = Z_LVAL_PP(arg_base);
 break;
 default:
 WRONG_PARAM_COUNT;
 }
 RETVAL_ZVAL(*num, 1, 0);
 convert_to_long_base(return_value, base);
 }
 Zend/zend_operators.c->>convert_to_long_base()
 ……
 case IS_STRING:
 strval = Z_STRVAL_P(op);
 Z_LVAL_P(op) = strtol(strval, NULL, base);
 STR_FREE(strval);
 break;

當intval函數接受到字符串型參數是調用convert_to_long_base()處理，接下來調用Z_LVAL_P(op) = strtol(strval, NULL, base);經過strtol函數來處理參數。

函數原型以下：

long int strtol(const char *nptr,char **endptr,int base);

這個函數會將參數nptr字符串根據參數base來轉換成長整型數,參數base範圍從2至36,或0.參數base表明採用的進制方式,如base值爲10則採用10進制,若base值爲16則採用16進制等。

流程爲：

strtol()會掃描參數nptr字符串，跳過前面的空格字符，直到趕上數字或正負符號纔開始作轉換，再遇到非數字或字符串結束時()結束轉換，並將結果返回。

那麼當intval用在if等的判斷裏面,將會致使這個判斷實去意義,從而致使安全漏洞.

3、測試代碼

<?php
 $o = 0.1;
 for($a = 1; $a < 100; $a++){
 $o += 0.1;
 echo 「<br />intval($o) = 「.intval($o);
 if(intval($o)){
 print(「&nbsp;true」);
 }else{
 print(「&nbsp;false」);
 }
 }?>
 輸出結果：
 intval(0.2) = 0 false
 intval(0.3) = 0 false
 intval(0.4) = 0 false
 intval(0.5) = 0 false
 intval(0.6) = 0 false
 intval(0.7) = 0 false
 intval(0.8) = 0 false
 intval(0.9) = 0 false
 intval(1) = 0 false
 intval(1.1) = 1 true
 intval(1.2) = 1 true
 intval(1.3) = 1 true
 intval(1.4) = 1 true
 intval(1.5) = 1 true
 intval(1.6) = 1 true
 intval(1.7) = 1 true
 intval(1.8) = 1 true
 intval(1.9) = 1 true
 intval(2) = 2 true
 …..