PHP比較操做符詳解(轉自hack58)
php的比較操做符有==(等於)鬆散比較,===(徹底等於)嚴格比較,這裏面就會引入不少有意思的問題。
在鬆散比較的時候,php會將他們的類型統一,好比說字符到數字,非bool類型轉換成bool類型,爲了不意想不到的運行效果,應該使用嚴格比較。以下是php manual上的比較運算符表:
例子 名稱 結果
$a == $b 等於 TRUE,若是類型轉換後 $a 等於 $b。
$a === $b 全等 TRUE,若是 $a 等於 $b,而且它們的類型也相同。
$a != $b 不等 TRUE,若是類型轉換後 $a 不等於 $b。
$a $b 不等 TRUE,若是類型轉換後 $a 不等於 $b。
$a !== $b 不全等 TRUE,若是 $a 不等於 $b,或者它們的類型不一樣。
$a $b 大於 TRUE,若是 $a 嚴格大於 $b。
$a = $b 大於等於 TRUE,若是 $a 大於或者等於 $b。
0x01 安全問題
1 hash比較缺陷
php在處理hash字符串的時候會用到!=,==來進行hash比較,若是hash值以0e開頭,後邊都是數字,再與數字比較,就會被解釋成0*10^n仍是爲0,就會被判斷相等,繞過登陸環節。
root@kali:~/tool# php -r 'var_dump("00e0345" == "0");var_dump("0e123456789"=="0");var_dump("0e1234abc"=="0");'
bool(true)
bool(true)
bool(false)
當全是數字的時候,寬鬆的比較會執行盡力模式,如0e12345678會被解釋成0*10^12345678,除了e不全是數字的時候就不會相等,這能從var_dump("0e1234abc"=="0")能夠看出來。
2 bool 欺騙
當存在json_decode和unserialize的時候,部分結構會被解釋成bool類型,也會形成欺騙。json_decode示例代碼:
$json_str = '{"user":true,"pass":true}';
$data = json_decode($json_str,true);
if ($data['user'] == 'admin' && $data['pass']=='secirity')
{
print_r('logined in as bool'."\n");
}
運行結果:
root@kali:/var/www# php /root/php/hash.php
logined in as bool
unserialize示例代碼:
$unserialize_str = 'a:2:{s:4:"user";b:1;s:4:"pass";b:1;}';
$data_unserialize = unserialize($unserialize_str);
if ($data_unserialize['user'] == 'admin' && $data_unserialize['pass']=='secirity')
{
print_r('logined in unserialize'."\n");
}
運行結果以下:
1
2
root@kali:/var/www# php /root/php/hash.php
logined in unserialize
3 數字轉換欺騙
$user_id = ($_POST['user_id']);
if ($user_id == "1")
{
$user_id = (int)($user_id);
#$user_id = intval($user_id);
$qry = "SELECT * FROM `users` WHERE user_id='$user_id';";
}
$result = mysql_query($qry) or die('
' . mysql_error() . '' );
print_r(mysql_fetch_row($result));
將user_id=0.999999999999999999999發送出去獲得結果以下:
Array
(
[0] => 0
[1] => lxx'
[2] =>
[3] =>
[4] =>
[5] =>
)
原本是要查詢user_id的數據,結果倒是user_id=0的數據。int和intval在轉換數字的時候都是就低的,再以下代碼:
if ($_POST['uid'] != 1) {
$res = $db->query("SELECT * FROM user WHERE uid=%d", (int)$_POST['uid']);
mail(...);
} else {
die("Cannot reset password of admin");
}
假如傳入1.1,就繞過了$_POST['uid']!=1的判斷,就能對uid=1的用戶進行操做了。另外intval還有個盡力模式,就是轉換全部數字直到遇到非數字爲止,若是採用:
if (intval($qq) === '123456')
{
$db->query("select * from user where qq = $qq")
}
攻擊者傳入123456 union select version()進行攻擊。
4 PHP5.4.4 特殊狀況
這個版本的php的一個修改致使兩個數字型字符溢出致使比較相等
$ php -r 'var_dump("61529519452809720693702583126814" == "61529519452809720000000000000000");'
bool(true)
3 題外話:
一樣有相似問題的還有php strcmp函數,manual上是這麼解釋的,int strcmp ( string $str1 , string $str2 ),str1是第一個字符串,str2是第二個字符串,若是str1小於str2,返回str2,返回>0,二者相等返回0,假如str2爲一個array呢?
$_GET['key'] = array();
$key = "llocdpocuzion5dcp2bindhspiccy";
$flag = strcmp($key, $_GET['key']);
if ($flag == 0) {
print "Welcome!";
} else {
print "Bad key!";
}
運行結果:
root@kali:~/php# php strcmp.php
PHP Warning: strcmp() expects parameter 2 to be string, array given in /root/php/strcmp.php on line 13
Welcome!
參考: 1,http://phpsadness.com/sad/472,http://php.net/language.operators.comparison3,http://indico.cern.ch/event/241705/material/slides/0.pdfphp
原文連接:http://www.myhack58.com/Article/60/61/2015/65424.htmmysql
- 1. 比較操做符
- 2. Perl的比較操做符
- 3. EF數據操做比較詳解
- 4. 整數比較操做符和邏輯操做符
- 5. Mysql比較操做符概述
- 6. MongoDB Comparison Query Operators(比較操做符)
- 7. MySQL中的比較操做符<=>
- 8. PHP 操做 Excel PHPExcel 詳解 --轉
- 9. PHP 操做redis 詳細講解轉的
- 10. PHP操做redis詳細講解(轉)
- 更多相關文章...
- • PHP 類型比較 - PHP教程
- • PHP 太空船運算符(組合比較符) - PHP 7 新特性
- • RxJava操作符(十)自定義操作符
- • Flink 數據傳輸及反壓詳解
-
每一个你不满意的现在,都有一个你没有努力的曾经。