| 一、描述 intval函數(shù)有個特性:"直到遇上數(shù)字或正負符號才開始做轉(zhuǎn)換,再遇到非數(shù)字或字符串結(jié)束時(\0)結(jié)束轉(zhuǎn)換",在某些應用程序里由于對intval函數(shù)這個特性認識不夠,錯誤的使用導致繞過一些安全判斷導致安全漏洞. 二、分析 php程序員站代碼如下: PHP_FUNCTION(intval) { zval **num, **arg_base; int base; switch (ZEND_NUM_ARGS()) { case 1: if (zend_get_parameters_ex(1, &num) == FAILURE) { WRONG_PARAM_COUNT; } base = 10; break; case 2: if (zend_get_parameters_ex(2, &num, &arg_base) == FAILURE) { WRONG_PARAM_COUNT; } convert_to_long_ex(arg_base); base = Z_LVAL_PP(arg_base); break; default: WRONG_PARAM_COUNT; } RETVAL_ZVAL(*num, 1, 0); convert_to_long_base(return_value, base); } Zend/zend_operators.c->>convert_to_long_base() …… case IS_STRING: strval = Z_STRVAL_P(op); Z_LVAL_P(op) = strtol(strval, NULL, base); STR_FREE(strval); break; 當intval函數(shù)接受到字符串型參數(shù)是調(diào)用convert_to_long_base()處理,接下來調(diào)用Z_LVAL_P(op) = strtol(strval, NULL, base);通過strtol函數(shù)來處理參數(shù)。 函數(shù)原型如下: long int strtol(const char *nptr,char **endptr,int base); 這個函數(shù)會將參數(shù)nptr字符串根據(jù)參數(shù)base來轉(zhuǎn)換成長整型數(shù),參數(shù)base范圍從2至36,或0.參數(shù)base代表采用的進制方式,如base值為10則采用10進制,若base值為16則采用16進制等。 流程為: strtol()會掃描參數(shù)nptr字符串,跳過前面的空格字符,直到遇上數(shù)字或正負符號才開始做轉(zhuǎn)換,再遇到非數(shù)字或字符串結(jié)束時(\0)結(jié)束轉(zhuǎn)換,并將結(jié)果返回。 那么當intval用在if等的判斷里面,將會導致這個判斷實去意義,從而導致安全漏洞. 三、測試代碼 代碼如下: //intval.php $var="20070601"; if (intval($var)) echo "it's safe"; echo '$var='.$var; echo ""; $var1="1 union select 1,1,1 from admin"; if (intval($var1)) echo "it's safe too"; echo '$var1='.$var1; ?> 四、實際應用 WordPress <= 2.0.6 wp-trackback.php Zend_Hash_Del_Key_Or_Index / sql injection exploit |
免責聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學習與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務,與站長一起進步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
