php的比較操作符有==（等于）松散比較，===（完全等于）嚴格比較，這里面就會引入很多有意思的問題。

在松散比較的時候，php會將他們的類型統一，比如說字符到數字，非bool類型轉換成bool類型，為了避免意想不到的運行效果，應該使用嚴格比較。如下是php manual上的比較運算符表：

例子    名稱     結果$a == $b  等于   TRUE，如果類型轉換后 $a 等于 $b。$a === $b  全等   TRUE，如果 $a 等于 $b，并且它們的類型也相同。$a != $b  不等   TRUE，如果類型轉換后 $a 不等于 $b。$a <> $b  不等   TRUE，如果類型轉換后 $a 不等于 $b。$a !== $b  不全等   TRUE，如果 $a 不等于 $b，或者它們的類型不同。$a < $b   小與   TRUE，如果 $a 嚴格小于 $b。$a > $b   大于   TRUE，如果 $a 嚴格大于 $b。$a <= $b  小于等于   TRUE，如果 $a 小于或者等于 $b。$a >= $b  大于等于   TRUE，如果 $a 大于或者等于 $b。

0x01 安全問題

1 hash比較缺陷

php在處理hash字符串的時候會用到!=,==來進行hash比較，如果hash值以0e開頭，后邊都是數字，再與數字比較，就會被解釋成0*10^n還是為0，就會被判斷相等，繞過登錄環節。

root@kali:~/tool# php -r 'var_dump("00e0345" == "0");var_dump("0e123456789"=="0");var_dump("0e1234abc"=="0");'
bool(true)
bool(true)
bool(false)

當全是數字的時候，寬松的比較會執行盡力模式，如0e12345678會被解釋成0*10^12345678,除了e不全是數字的時候就不會相等，這能從var_dump("0e1234abc"=="0")可以看出來。

2 bool 欺騙

當存在json_decode和unserialize的時候，部分結構會被解釋成bool類型，也會造成欺騙。json_decode示例代碼：

$json_str = '{"user":true,"pass":true}';$data = json_decode($json_str,true);if ($data['user'] == 'admin' && $data['pass']=='secirity'){  print_r('logined in as bool'."/n");}

運行結果：

root@kali:/var/www# php /root/php/hash.php
logined in as bool

unserialize示例代碼：

$unserialize_str = 'a:2:{s:4:"user";b:1;s:4:"pass";b:1;}';$data_unserialize = unserialize($unserialize_str);if ($data_unserialize['user'] == 'admin' && $data_unserialize['pass']=='secirity'){  print_r('logined in unserialize'."/n");}

運行結果如下：

root@kali:/var/www# php /root/php/hash.php
logined in unserialize

3 數字轉換欺騙

$user_id = ($_POST['user_id']);if ($user_id == "1"){  $user_id = (int)($user_id);  #$user_id = intval($user_id);  $qry = "SELECT * FROM `users` WHERE user_id='$user_id';";}$result = mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );print_r(mysql_fetch_row($result));

將user_id=0.999999999999999999999發送出去得到結果如下：

Array
(
    [0] => 0
    [1] => lxx'
    [2] => 
    [3] => 
    [4] => 
    [5] => 
)

本來是要查詢user_id的數據，結果卻是user_id=0的數據。int和intval在轉換數字的時候都是就低的，再如下代碼:

if ($_POST['uid'] != 1) { $res = $db->query("SELECT * FROM user WHERE uid=%d", (int)$_POST['uid']); mail(...);} else { die("Cannot reset password of admin");}

假如傳入1.1，就繞過了$_POST['uid']！=1的判斷，就能對uid=1的用戶進行操作了。另外intval還有個盡力模式，就是轉換所有數字直到遇到非數字為止，如果采用:

if (intval($qq) === '123456'){  $db->query("select * from user where qq = $qq")}

攻擊者傳入123456 union select version()進行攻擊。

4 PHP5.4.4 特殊情況

這個版本的php的一個修改導致兩個數字型字符溢出導致比較相等

$ php -r 'var_dump("61529519452809720693702583126814" == "61529519452809720000000000000000");'
bool(true)

3 題外話：

同樣有類似問題的還有php strcmp函數,manual上是這么解釋的，int strcmp ( string $str1 , string $str2 ),str1是第一個字符串，str2是第二個字符串，如果str1小于str2，返回<0,如果str1>str2,返回>0,兩者相等返回0，假如str2為一個array呢？

$_GET['key'] = array();$key = "llocdpocuzion5dcp2bindhspiccy";$flag = strcmp($key, $_GET['key']);if ($flag == 0) {  print "Welcome!";} else {  print "Bad key!";}

運行結果：

root@kali:~/php# php strcmp.php
PHP Warning:  strcmp() expects parameter 2 to be string, array given in /root/php/strcmp.php on line 13
Welcome!

比較多種類型