PHP一些特性引发的安全问题

没人质疑PHP的强大，可是它本身的一些特性也引发了一些安全问题。刚好最近在撸一些ctf题目，就对我见到的PHP存在的问题总结记录一下。

弱类型问题

在PHP中，可以执行这样操作

$var = 1;
$var = array();
$var = 'string';

它不会验证变量的类型，也可以随时转换变量类型。估计开发者原本是想让程序员更加高效的开发，所以在大量内置函数以及基本结构中使用了很多松散的比较和转换，防止程序中的变量因为程序员的不规范而频繁的报错，然而这却带来了安全问题。

• 比较运算时

$a = null; $b = ''; $a == $b  //true
$a = null; $b = false; $a == $b  //true
$a = 0; $b = '0'; $a == $b  //true
$a = 0; $b = '0'; $a === $b  //false
$a = 0; $b = 'string'; $a == $b  //true

可见PHP在处理比较运算时，不会检查表达式类型，只在恒等比较时才同时检查表达式的值与类型。

• hash比较时

var_dump('0e12345' == 0);  //true
var_dump('0e12345' == '0e54321');  //true
var_dump('0e12345' == '0e12345a');  //false

可以看到在遇到0e\d+类型的字符串时，会把此类型字符串作为科学计数法来处理，所以左右两边都为0*10^n = 0 。假如md5(str)为此类型的话，就可以构造md5(str1) == md5(str2)来绕过一些过滤。当然，这样的字符串有很多，详见PHP处理0e开头md5哈希字符串缺陷。

• 类型强制转换

1. 当string遇上int

var_dump(0 == 'abcd');  //true  
var_dump(1 == '1abcd');  //true

当有一个对比参数是整数的时候，会把另外一个参数强制转换为整数。而转换过程中，'1abcd'的转换后的值是1，而‘abcd’是0，说明了intval返回字符串中第一个非数字的字符之前的数字串所代表的整数值。

var_dump(intval('12.12a'));  //12

• 内置函数的松散

1. md5()

   md5() 函数用于对字符串进行md5加密

   var_dump(md5('1'));  //c4ca4238a0b923820dcc509a6f75849b
   

   当参数是string时正常加密，但是当你传递一个array时，函数不会报错，只是返回null

   $a[] =1;
   $b[] =2;
   var_dump(md5($a));  //null
   var_dump(md5($a)==md5($b));  //true
   

   这样就可以构造任意2个array来绕过md5函数的检测。

2. in_array()

   in_array() 函数检查数组中是否存在某个值

   $array=[0,1,2,'3'];
   var_dump(in_array('abc', $array));  //true
   

   如果第三个参数 strict 的值为 TRUE 则 in_array() 函数还会检查 needle 的类型是否相同。只有加了strict才会对类型进行严格比较， 那么我们再次把整形和字符串进行比较呢？

   var_dump(in_array('abc', $array));  //true
   var_dump(in_array('1bc', $array));  //true
   var_dump(in_array('4', $array));  //false
   

   它遍历了array的每个值，并且作"=="比较(“当设置了strict 用===”)，上面的情况前两个返回的都是true，因为’abc’会转换为0，’1bc’转换为1。那么我们完全就可以很容易的用构造好的int 0或1来绕过检测函数，使它返回为真。

3. strcmp()

   strcmp() 函数比较两个字符串，该函数返回：

   0  //如果两个字符串相等
   <0  //如果 string1 小于 string2
   >0  //如果 string1 大于 string2
   

   这里的strcmp函数实际上是将两个变量转换成ascii 然后做数学减法，返回一个int的差值。

   也就是说键入'a'和'a'进行比较得到的结果就是0

   那么如果让$array和‘a’比较呢？

   http://localhost/test.php?a[]=1
   var_dump(strcmp($_GET[a],'a'));  //null
   

   也就是说，我们让这个函数出错从而来绕过函数的检查。

浮点数精度问题

在PHP manual中有提到：

以十进制能够精确表示的有理数如 0.1 或 0.7，不能在不丢失一点点精度的情况下转换为二进制的格式。

var_dump(intval((0.1+0.7)*10));  //int(7)
var_dump(floor((0.1+0.7)*10));  //float(7)
var_dump(intval(0.58*100));  //int(57)
var_dump(floor(0.58*100));  //floatt(57)

为什么会这样的？简单分析一下

0.1 的二进制：

符号位 0 
指数 01111011 （-4）
尾数 1.10011001100110011001101 (1.60000002384185791015625)

将这个数再转回十进制：0.10000000149011612

0.7 的二进制：

符号位 0 
指数 01111110  (-1)
尾数 1.01100110011001100110011 (1.39999997615814208984375)

将这个数再转回十进制：0.699999988079071

很明显，在转换为二进制的过程中丢失了精度，0.1 + 0.7 的结果是 0.79999998956919

关于浮点数的详细分析见PHP浮点数的一个常见问题的解答

参考：

wooyun知识库