您当前位置: 首页 »

弱类型

标签归档: 弱类型

php代码审计之弱类型引发的灾难

有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型。这给开发带来了很大的便利,所有的数据类型都可以用$xx来定义,而不需要int i,string a,fload b等等这样去定义它。这样确实很方便,因为php帮助你判断了数据类型,比如整形int ,你只要$a=1;那这个1就是整形,$a=’abc’那这个abc就会被php判断为字符串类型。但是弱类型方便是方便,但是带来的安全问题也是巨大的,很多的php安全漏洞都是因为它带来的。

本文是给做代码审计漏洞挖掘和渗透测试人员总结的一个思路,有不对的地方请多多指出。 readmore

关于php弱类型的相关测试

现成的结论:

1.Var_dump(“.”==0) //true 用.可以绕过==0

2.既要等于1又要等于0 // 如果是字符串,也就是a的时候,offset取值的时候会转化为整数,也就是0

readmore