编码安全指南

编程本身就应该是一门艺术,而安全编程更是一种在刀尖上舞蹈的艺术,不仅要小心脚下的锋利寒刃,更要小心来自网络黑客或攻击者的狂轰乱炸。

- by code artist

  • 1.hash比较的缺陷

    经过试验发现,当Hash值以"0e"开头且后面都为数字,当和数字进行比较的时候总会被判断和0相等

例如:

var_dump('0e1327544' == 0); // bool(true)

当密码被md5计算后,可能会以"0e"开头,下面这个例子可以绕过密码验证。

经过我的验证PHP 7.1.x后没有这种问题。

<?php

    $password_from_db = "0e23434";

    $password = "2323"; // 随意的一个密码。来自$_POST,即表单提交

    if ($password_from_db == md5($password)) {

        echo "login success!";

    } else {

        echo "login fails";

    }

更安全的hash比较:

可以使用内置函数hash_equals()来比较hash值。(PHP版本必须是5.6及其以上)

 if (hash_equals($password_from_db, md5($password)) {

     .....// other logic

 }
  • 2.bool比较的缺陷

json_decode和unserialize函数可能将部分结构解析成bool值,造成一些比较上的缺陷。

先举例json_decode的案例:

<?php

$str = '{"user":true, "pass": true}';

$data = json_decode($str, true);

if ($data['user'] == 'root' && $data['pass'] == 'pass') {

    echo "login success\r\n";

} else {

    echo "login fails\r\n";

}

执行结果为:login success

这样利用bool比较的漏洞就绕过了登录或者授权验证。

unserialize过程相逆,结果类似,也会出现安全问题。

正确的做法还是使用"==="来进行比较,这不光是php,包括一些其他脚本语言或者静态语言,都请严谨地使用全等于符号进行比较。

  • 3.数值比较

PHP虽然是弱类型语言,但是数据类型也有数值范围。对于整型而言,最大值为PHP_INT_MAX(即9223372036854775807)

攻击者可以利用最大值越界,绕过一些验证,如登录、账号充值等等。

举例:

$a = 9223372036854775807;

$b = 9223372036854775827;

var_dump($a === $b); // bool(true)

var_dump($a % 100); // int(0)

由此,可见全等号(===)也不是万能的,具体场景下要更小心。经验证,PHP7.1.x后不会出现该问题,5.x的可能出现。

在实际业务逻辑里面一定要注意判断最大值问题,避免越界带来的问题。

当使用超长浮点数变量的时候,PHP也会出错。

<?php

$uid = 0.999999999999999999;

if ($uid == "1") {

    echo "search uid is 1 for data\r\n"; // 这里PHP将$uid约等于1了,进入该判断条件里的逻辑

}

同理,2.999999999999也会被当成3,这就是超越浮点数精度造成的偏差。

解决办法有很多,最简单的就是用is_int()函数进行判断,如果不是整型,则报错或做错误处理。

  • 4.switch缺陷

当用case判断数字的时候,switch会把参数转换成int类型进行计算,代码如下:

<?php

$num = "1FreePHP";

switch ($num) {

    case 0: echo "nothing";

        break;

    case 1: echo "1 hacker here!";

        break;

    case 2: echo "2 hackers here";

        break;

    default:

        echo "confused";

}

最后输出:1 hacker here!

所以,请使用is_numeric()函数进行判断,保证数据类型如预期的一致。

  • 5.数组缺陷。

    in_array()和array_search()函数在没有使用严格模式的情况下会用松散比较,可能造成一些错误。

    例如:
<?php

$arr = [0, 2, 3, "4"];

var_dump(in_array('freephp', $arr)); // true

var_dump(array_search('freephp', $arr)); // 0: 下标

var_dump(in_array('2freephp', $arr)); // true

var_dump(array_search('3freephp', $arr)); // 2: 下标

总的来说,PHP工程师对于这种弱类型语言的使用上要更加小心,虽然平时写起业务来“短平快”,但安全编程也不要忘记,能用上hint的高版本PHP就进行标注清楚入参、出参,让PHP代码更加健壮。

PHP安全之道学习笔记2:编码安全指南的更多相关文章

  1. MySQL学习笔记5——编码

    MySQL学习笔记5之编码 编码 1.查看MySQL数据库编码 *SHOW VARIABLES LIK 'char%'; 2.编码解释 *character_set_client:MySQL使用该编码 ...

  2. 树莓派学习笔记——USB wifi配置指南

    0 前言     树莓派既能够使用有线网络又能够无线网络,假设使用有线网络不方便的话能够借助USB wifi无线网卡让树莓派也插上无线"翅膀". 可是和使用有线网络即插即用的方式不 ...

  3. postgresql修炼之道学习笔记(1)

    好好学习吧. 本笔记 仅作为摘要记录 前两章,主要是数据库对比和安装等. 对比,就比多说了,总是和别人比较,会显得自己身价低,呵呵. 安装也有很多文章,不多说. 第二章提到了一些简单的配置, 其在 d ...

  4. postgresql修炼之道学习笔记(2)

    随后的章节  介绍了基础的sql,这个我略过了,我喜欢在开发的时候,慢慢的研究,毕竟有oracle的基础. 现在,学习psql工具 使用create database创建数据库的时候,出现如下问题: ...

  5. python学习笔记09-python编码与解码

    二进制编码: --->ASCII:只能存英文和拉丁字符 一个字符占一个字节:8位 ------>gb2312:只能存6700多个中文: 1980年发表 ----------->gbk ...

  6. Swift学习笔记 - URL编码encode与解码decode

    使用swift有一段时间了,api的变换造成了很多困扰,下面是关于url编码和解码问题的解决方案 在Swift中URL编码 在Swift中URL编码用到的是String的方法 func addingP ...

  7. IntelliJ IDEA 学习笔记 - 修改编码

    感谢原文作者:codeke 原文链接:https://blog.csdn.net/cgl125167016/article/details/78666432 仓库:https://github.com ...

  8. 学习笔记_Java_day14—编码实战___一个注册页面的完整流程

  9. PHP安全之道学习笔记1:PHP项目安全设置

    在全球范围来看,超过了80%的网站是使用php进行搭建的,由于脚本语言和早期版本设计的诸多原因,php项目存在不少安全隐患.从配置选项来看,可以做如下的优化. 1.屏蔽PHP错误输出. 在/etc/p ...

随机推荐

  1. 双系统开机引导菜单修复方法 进win7无须重启|metro引导|双系统菜单名字修改

    此文转自互联网,一部分是原创. 主要内容 1.修复双系统菜单(win7与win8双系统),进入win7不再需要重启,普通菜单样式(普通引导,非metro界面),更加简洁,实用,开机即可选择操作系统 2 ...

  2. Java基础(43)Queue队列

    Collection接口的第三个子接口是Queue接口,而Queue接口的子接口又是Deque接口和BlockingQueue接口. 实现了Deque接口的类有:ArrayDeque类.Concurr ...

  3. Andriod Studio设置代码字体大小

  4. Python环境的搭建(windows系统)

    1.首先访问http://www.python.org/download/去下载最新的python版本. 2.安装下载包,一路next. 3.为计算机添加安装目录搭到环境变量,如图把python的安装 ...

  5. 2018.8.1 python中字典的增删改查及其它操作

    一.字典的简单介绍 1.dict 用{}来表示       键值对数据           {key:value} 唯一性 2.键都必须是可哈希,不可变的数据类型就可以当做字典中的键 值没有任何限制 ...

  6. SpringBoot集成JWT实现权限认证

    目录 一.JWT认证流程 二.SpringBoot整合JWT 三.测试 上一篇文章<一分钟带你了解JWT认证!>介绍了JWT的组成和认证原理,本文将介绍下SpringBoot整合JWT实现 ...

  7. 重磅!微软发布 Visual Studio Online:Web 版 VS Code + 云开发环境

    北京时间 2019 年 11 月 4 日,在 Microsoft Ignite 2019 大会上,微软正式发布了 Visual Studio Online (VS Online)公开预览版! 如今发布 ...

  8. MIT线性代数:5.转置,置换,向量空间

  9. 学习笔记12JS异步请求

    *一般用JS来监听按钮事件,都应该先监听页面OnLoad事件. *Js写在哪里,就会在页面解析到哪里执行. 异步请求:所谓异步请求,就是使用JS来监听按钮点击事件,并且发送请求,等到回复后,再使用JS ...

  10. 一文教您如何通过 Java 压缩文件,打包一个 tar.gz Filebeat 采集器包

    欢迎关注笔者的公众号: 小哈学Java, 专注于推送 Java 领域优质干货文章!! 个人网站: https://www.exception.site/essay/create-tar-gz-by-j ...