浅谈PHP弱类型安全-小飞.PDFVIP

原原文文地地址址:/tips/4483 0x00 弱弱类类型型初初探探 没有人质疑php的简单强大，它提供了很多特性供开发者 用，其中一个就是弱类型机制。 在弱类型机制下 你能够执行这样的操作 #!php ?php $var = 1; $var = array(); $var = string; ? php不会严格检验传入的变量类型，也可以将变量自由的转换类型。 比如 在$a == $b的比较中 $a = null; $b = false; //为真 $a = ; $b = 0; //同样为真 然而，php 内核的开发者原本是想让程序员借由这种不需要声明的体系，更加高效的开发，所以在几几乎乎所所有有内内置置函函数数以以 及及基基本本结结构构中 用了很多松散的比较和转换，防止程序中的变量因为程序员的不规范而频繁的报错，然而这却带来了安 全问题。 0x02 知知识识预预备备 php 内内核核之之zval结结构构 在PHP中声明的变量，在ZE中都是用结构体zval来保存的 zval的定义在zend/zend.h #!c typedef struct _zva _struct zva ; struct _zva _struct { /* Variab e information */ zva ue_va ue va ue; /* va ue */ zend_uint refcount__gc; zend_uchar type; /* active type */ zend_uchar is_ref__gc; }; typedef union _zva ue_va ue { ong va ; /* ong va ue */ doub e dva ; /* doub e va ue */ struct { char *va ; int en; } str; HashTab e *ht; /* hash tab e va ue */ zend_object_va ue obj; } zva ue_va ue; 其中php通过type判断变量类型 存入value 如上也就是php 内核中弱类型的封装，也是我们后面讲的所有东西的原理和基础。 0x03变变量量的的强强制制转转换换 通过刚刚的了解，我们知道zval.type决定了存储到zval.value的类型。 当源代码进行一些未限制类型的比较，或数学运算的时候，可能会导致zval.type的改变，同时影响zval.value的内容改变。 当当int遇遇上上string cp.1 数数学学运运算算 当php进行一些数学计算的时候 #!php var_dump (0 == 0); // true var_dump (0 == abcdefg); // true var_dump (0 === abcdefg); // fa se var_dump (1 == 1abcdef); // true 当有一个对比参数是整数的时候，会把另外一个参数强制转换为整数。 相当于对字符串部分 intval再和整数部分比较,其实也就是改变了zval.type的内容 尤为注意的是，1assd的转换后的值是1，而‘asdaf 是0 也说明了intval会从第一位不是数字的单位开始进行 所有也有 #!php var_dump (intva (3389a));//输出3389 这个例子就告诉我们，永远不要相信下面的代码 #!php if($a1000){ mysq _query(update ... set va ue=$a) } 你以为这时候进入该支的万无一失为整数了 其实$a可能是1001/**/union... cp.2 语语句句条条件件的的松松散散判判断断 举个例子 php的switch 用了松散比较. $which会被自动intval变成0 如果每个case里面没有break ，就会一直执行到包含，最终执行到我们需要的函数，这里是成功包含 #!php ?php if (isset($_GET[which])) { $which = $_GET[which]; switch ($which) { case 0: c