Dans cet article, l'éditeur veut vous parler du typage faible PHP. Le typage faible PHP apporte une grande commodité aux programmeurs lors de l'écriture de code, mais tout a deux côtés. Voyons maintenant cela avec l'éditeur.
0x00 Une étude préliminaire sur les types faibles
Personne ne remet en question la simplicité et la puissance de PHP Il offre de nombreuses fonctionnalités que les développeurs peuvent utiliser, dont l'un est un mécanisme de type faible.
Sous le mécanisme de type faible, vous pouvez effectuer de telles opérations
<?php $var = 1; $var = array(); $var = "string"; ?>
php ne vérifiera pas strictement le type de la variable entrante, mais pourra également convertir librement le type de variable.
Par exemple, dans la comparaison de $a == $b
$a = null; $b = false; //为真 $a = ''; $b = 0; //同样为真
Cependant, les développeurs du noyau PHP voulaient à l'origine que les programmeurs utilisent ce système qui ne nécessite pas de déclarations plus efficace. Développement efficace, donc de nombreuses comparaisons et conversions lâches sont utilisées dans presque toutes les fonctions intégrées et structures de base pour empêcher les variables du programme de signaler fréquemment des erreurs dues aux irrégularités des programmeurs. Cependant, cela entraîne des problèmes de sécurité.
0x02 Préparation des connaissances Structure zval du noyau PHP
Les variables déclarées en PHP sont stockées dans ZE en utilisant la structure zval Le
zval est défini dans zend/zend.h
typedef struct _zval_struct zval; struct _zval_struct { /* Variable information */ zvalue_value value; /* value */ zend_uint refcount__gc; zend_uchar type;/* active type */ zend_uchar is_ref__gc; }; typedef union _zvalue_value { long lval; /* long value */ double dval;/* double value */ struct { char *val; int len; } str; HashTable *ht; /* hash table value */ zend_object_value obj; } zvalue_value;
où php juge le type de variable par type et stocke la valeur
comme ci-dessus, qui est le type faible dans le noyau php. L'encapsulation est aussi le principe et le fondement de tout ce dont nous parlerons plus tard.
Coercition de la variable 0x03
Grâce à ce que nous venons d'apprendre, nous savons que zval.type détermine le type stocké dans zval.value.
Lorsque le code source effectue des comparaisons de types ou des opérations mathématiques sans restriction, cela peut entraîner une modification de zval.type et, en même temps, affecter le contenu de zval.value.
Quand int rencontre une chaîne
cp.1 Opérations mathématiques
Quand PHP effectue des calculs mathématiques
ar_dump(0 == '0'); // true var_dump(0 == 'abcdefg'); // true var_dump(0 === 'abcdefg'); // false var_dump(1 == '1abcdef'); // true
Lorsqu'un paramètre de comparaison est un entier, l'autre paramètre sera forcé d'être converti en un entier.
équivaut à comparer la partie chaîne
intval avec la partie entière. En fait, cela modifie le contenu de zval.type. Notez en particulier que la valeur convertie de '1assd' est 1 , et 'asdaf' est 0
Cela montre également que intval commencera à partir de la première unité qui n'est pas un nombre
Tous il y en a aussi
var_dump(intval('3389a'));//输出3389
Cet exemple indique nous, ne croyez jamais le code suivant
if($a>1000){ mysql_query('update ... .... set value=$a') }
Vous pensez qu'entrer dans la succursale à ce moment est un entier
En fait, $a peut être 1001/**/union...
cp.2 Jugement lâche des conditions de déclaration
Par exemple, le commutateur PHP utilise une comparaison lâche $qui sera automatiquement changé à 0 s'il n'y en a pas dans chacun. case break , il sera exécuté jusqu'à ce qu'il soit inclus, et enfin la fonction dont nous avons besoin est exécutée Voici le jugement libre de la
<?php if (isset($_GET['which'])) { $which = $_GET['which']; switch ($which) { case 0: case 1: case 2: require_once $which.'.php'; break; default: echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false); break; }
fonction cp.3 <. 🎜>
var_dump(in_array("abc", $array));
var_dump(in_array("abc", $array1));</br> var_dump(in_array("1bc", $array2));
S'il y a une valeur dans le tableau1 qui est 0, alors le premier retour sera vrai //intval('abc')=0S'il y a une valeur dans le tableau2 qui est 1, alors le le deuxième sera vrai sera vrai//intval('1bc')=1Le même principe s'applique à array_searchL'application ici est très large, Beaucoup les programmeurs vérifieront la valeur du tableau, alors nous pourrons complètement utiliser l'int construit 0 ou 1 pour tromper la fonction de détection et lui faire renvoyer vrai Pour résumer, entrez tous les endroits où PHP pense qu'il s'agit d'une chaîne int et sera obligé de se convertir, comme
$a = 'asdfgh';//字符串类型的a</br> echo $a[2]; //根据php的offset 会输出'd'</br> echo $a[x]; //根据php的预测,这里应该是int型,那么输入string,就会被intval成为0 也就是输出'a'
lorsque le tableau rencontre une chaîne
. J'ai rencontré cet exemple dans un ctf. en Allemagne, c'est très intéressant. Ce dont nous avons parlé plus tôt était la comparaison entre une chaîne et un int Alors, quelle sera la réaction chimique lorsque le tableau rencontre un int ou une chaîne ? D'après le manuel PHP, nous savons que La conversion de tableau en int/floating virgule float renverra le nombre d'éléments la conversion en bool renvoie s'il y a des éléments dans le ; Tableau ; la conversion en chaîne renvoie « Array » et renvoie un avertissement. Alors quelle est l’application pratique ?if(!strcmp($c[1],$d) && $c[1]!==$d){ ... }
http://localhost:8888/1.php?a[]=1 var_dump(strcmp($_GET[a],'a'));
En d'autres termes, nous créons cette erreur de fonction pour qu'elle soit toujours vraie, en contournant la vérification de fonction.
0x04 Méfiez-vous toujours des types faibles
En tant que programmeur, les types faibles apportent une grande commodité aux programmeurs lors de l'écriture de code. les programmeurs oublient l'habitude de $array =array();. On dit que toutes les entrées sont nuisibles
En fait, on peut dire que les types de toutes les entrées sont également suspects. Ne faites jamais confiance à aucune fonction de comparaison ou à aucune opération mathématique sous PHP faiblement typé. Sinon, c'est vous qui êtes définitivement trahi par php.
Tutoriels associés : Tutoriel vidéo PHP
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!