用零字節和PHP中的字符串終止解決常見的陷阱

當與C擴展或系統調用接口時，null字節（\ 0）可能會導致PHP中的意外行為，因為C將\ 0視為字符串終端，即使PHP字符串是二進制安全並保留了全長。 2。在文件操作中，包含諸如“ config.txt \ 0.php.bak”之類的null字節的文件名可以截斷為“ config.txt”，從而導致文件訪問不正確或安全風險。 3。在文件上傳期間，攻擊者可以利用$ _post ['filename']中的null字節來繞過擴展檢查，例如，“ shell.php \ 0.jpg”被保存為“ shell.php”。 4。純php中的字符串比較（===，strCMP）正確處理null字節，但是基於C的擴展或數據庫驅動程序可能會截斷字符串，冒著數據完整性的風險。 5。正則表達式可以與null字符部分匹配，除非用\ a和\ z正確錨定，否則必須在處理前檢查輸入以獲取\ 0。 6.最佳實踐包括使用str_replace（“ \ 0”，'，$輸入）過濾零字節，或使用Basename（），realpath（）和filter_input（）和filter_input（）拒絕它們，驗證所有用戶輸入，避免使用系統呼叫或SQL中的直接字符串插值，以及使用準備好的語言來確保安全的語言來確保安全。始終將零字節視為潛在的危險輸入，並明確處理它們，以防止截斷和安全漏洞。

使用PHP中的字符串通常感覺很簡單 - 直到您遇到涉及null字節（ \0 ）和字符串終止的邊緣案例，尤其是在與C擴展名，文件操作或用戶輸入的連接時。儘管PHP比低級語言更靈活地處理字符串，但這些問題仍然會導致意外的行為，安全漏洞或數據截斷。這是理解和避免最常見的陷阱的方法。

什麼是零字節，為什麼重要？

null字節（ \0 ）是一個字符，其ASCII值為0。在C風格的字符串中，它標誌著字符串的末端。但是，PHP字符串是二進制安全的，這意味著它們可以包含空字節並仍然保留全長。當PHP將字符串傳遞到C函數（例如擴展或系統調用中的\0 ）時，就會出現問題。

例如：

 $ string =“ Hello \ 0world”;
Echo strlen（$ string）; //輸出：11

即使使用零字節，PHP也知道字符串長11個字符。但是，如果該字符串傳遞給了C函數，則可以期待一個無效的字符串，則只會看到"hello" 。

陷阱1：文件操作中的意外截斷

當使用file_get_contents()或fopen()之類的函數時，就會發生最常見的問題之一。

 $ filename =“ config.txt \ 0.php.bak”;
file_get_contents（$ filename）; //可能只讀“ config.txt”

PHP可以允許通過該字符串，但是基礎系統調用（以C為編寫）在\0停止，可能導致：

• 讀錯誤的文件
• 繞過文件擴展名（文件上傳中的安全風險）

✅解決方案：始終對輸入進行消毒和驗證：

 if（strpos（$ filename，“ \ 0”）！== false）{
    拋出新的無效Exception（“在文件名中不允許null字節”）；
}

更好的是，使用白名單進行文件操作，並在可能的情況下避免動態文件名。

陷阱2：文件上傳中的安全風險

攻擊者可以將null字節注入$_GET ， $_POST或上傳文件名以利用字符串終止行為。

危險模式的例子：

 //不要這樣做
$ uploadDir ='/uploads/';
move_uploaded_file（$ _ files ['file'] ['tmp_name']，$ uploadDir。$ _post ['filename']）;

如果$_POST['filename']為"shell.php\0.jpg" ，則某些系統可能將其保存為shell.php （因為\0之後忽略.jpg ），繞過擴展檢查。

✅解決方案：

• 永遠不要相信用戶輸入文件路徑
• 使用basename()剝離目錄信息
• 驗證實際文件內容上的擴展名，而不僅僅是名稱
• 明確過濾null字節：

   if（preg_match（'/[\ x00]/'，$ filename））{
    die（“無效文件名”）;
  }

陷阱3： strcmp和字符串比較的問題

雖然PHP的本機字符串比較（ == ， === ， strcmp ）正確處理null字節，但使用依賴C字符串的擴展程序或數據庫驅動程序時可能會出現問題。

例如，比較php中的"admin\0"和"admin" ：

 var_dump（“ admin \ 0” ===“ admin”）; // 錯誤的
var_dump（strcmp（“ admin \ 0”，“ admin”））; //非零（不相等）

這在純PHP中是安全的，但是如果這些字符串通過基於C的驅動器在SQL查詢中使用，則可能會發生截斷。

✅最佳實踐：使用準備好的語句避免注入並確保數據完整性：

 $ stmt = $ pdo->準備（“從用戶select * select * username =？”）;
$ stmt->執行（[$ username]）; // PDO處理逃逸和二進制數據

陷阱4：正式表達式的不當行為

PHP中的PCRE功能通常是二進制安全的，但是NULL字節仍然會引起混亂，尤其是在處理用戶輸入時。

例子：

 preg_match（'/^[\ w \。] $/'，“ file.txt \ 0.php”）; //可能返回1（！）

正則表達式與空字節匹配，但完整的字符串不安全。

✅修復：明確拒絕null字節，然後再發行：

 if（strpos（$輸入，“ \ 0”）！== false）{
    //拒絕或處理
}

或使用\A和\z （絕對啟動/結束）使用更嚴格的模式：

 preg_match（'/\ a [\ w \。] \ z/'，$ input）; //確保完整的弦匹配

一般最佳實踐

為了避免php中的零字節陷阱：

• ✅從用戶輸入中的過濾null字節：

   $ clean = str_replace（“ \ 0”，''，$ input）; //或完全拒絕

• ✅使用basename() ， realpath()和filter_input()之類的內置功能（）
• ✅驗證和消毒所有外部數據 - 永遠不要假設它是安全的
• ✅避免在系統調用或SQL中直接插值
• ✅處理原始數據時，請使用二進制安全功能

---

零字節並不是固有的邪惡，但是它們通過PHP的高級字符串處理與C的低級世界之間的差距。

基本上：將null字節視為其他任何危險輸入，將其濾出或明確處理。

以上是用零字節和PHP中的字符串終止解決常見的陷阱的詳細內容。更多資訊請關注PHP中文網其他相關文章！