注：結合現在所學，把以前的一些很散的部落格給彙總起來方便利用【刪了黑歷史，哈哈哈】

1、判等型別
1.1、”==”與”===”比較漏洞/switch
如果你認為“==”和"==="最大的區別在於，“==”是判斷數值是否相等，“===”則是判斷數值和型別是否相等，那就錯了，這並沒有說到最核心的一個關鍵點，要知道“==”最可怕的一點是，如果型別不同的進行比較，其會將型別轉換成相同的再進行比較

<?php  
var_dump("admin" ==0);
var_dump("1admin" ==1);
var_dump("2admin" ==2);
var_dump("admin1" ==1);
var_dump("admin1" ==0);
var_dump("0e123456" =="0e4456789");
?>
#bool(true)
bool(true)
bool(true)
bool(false)
bool(true)
bool(true)
[Finished in 2.9s]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
"0e123456"=="0e456789"相互比較的時候，會將0e這類字串識別為科學技術法的數字，0乘以10的無論多少次方都是零，所以相等 
當一個字串欸當作一個數值來取值，其結果和型別如下:

如果該字串沒有包含'.'，'e'，'E'並且其數值值在整形的範圍之內，該字串被當作int來取值，其他所有情況下都被作為float來取值，該字串的開始部分決定了它的值
如果該字串以合法的數值開始，則使用該數值，否則其值為0
<?php  
var_dump(1+"admin1");
var_dump(1+"1admin");
var_dump(1+"2e2");
var_dump(1+"-2e2");
var_dump(1+"hh-2e2");
var_dump(1+"1hh-2e2");
?>
#int(1)
int(2)
float(201)
float(-199)
int(1)
int(2)
[Finished in 0.3s]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
switch同等原理的利用，這裡不再做解釋：

<?php  
$a = "2admin";
switch ($a) {
    case '1':
        echo "1";
        break;
    case '2':
        echo "2";
        break;
    default:
        echo "3";
        break;
}
?>
#3[Finished in 0.4s]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
1.2、bool型別的true比較
bool型別的true跟任意字串可以弱型別相等

<?php  
if(true == "GETF"){
    echo "OK";
}
?>
#OK[Finished in 0.3s]
1
2
3
4
5
6
1.3、strcmp比較漏洞
注意VERSION>5.3的官方文件

Note a difference between 5.2 and 5.3 versions  

echo (int)strcmp('pending',array());  
will output -1 in PHP 5.2.16 (probably in all versions prior 5.3)  
but will output 0 in PHP 5.3.3  

Of course, you never need to use array as a parameter in string comparisions. 
1
2
3
4
5
6
7
所以說5.3版本後對輸入引數錯誤（陣列）會返回0，從正常返回邏輯來說，也可以解釋為相等

1.4、sha1加密比較
$_GET['name'] == $_GET['password']
sha1($_GET['name']) === sha1($_GET['password'])
#要求滿足上述條件
1
2
3
其實最簡單的是報錯，false，至於為什麼，其實仔細研究SHA1加密你就發現，其要求引數不能為陣列，那我將傳入的引數改成陣列，兩邊return的結果不就都為false，從而，滿足不等與相等了麼。實現步驟更簡單，bp中將傳參變數name，password加個[]即可

1.5、MD5加密比較
型別1
$_GET['name'] != $_GET['password']
MD5($_GET['name']) == MD5($_GET['password'])
#要求滿足上述條件
1
2
3
特殊子串舉例如下： 
240610708、QNKCDZO、aabg7XSs、aabC9RqS 
其實就是利用了==的那個原理："0e123456"=="0e456789"相互比較的時候，會將0e這類字串識別為科學技術法的數字，0乘以10的無論多少次方都是零，所以相等 
這類特殊子串加密的結果都是0e開頭的

型別2
if($_POST['param1']!==$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
    die("success!");
}
1
2
3
使用了強等於，那麼使用陣列繞過，利用 error === error

param1[]=1&param2[]=2
1
型別3
if((string)$_POST['param1']!==(string)$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
        die("success!);
}
1
2
3
Param1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
Param2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
1
2
MD5值相同使用谷歌可以搜到相當多被巧妙構造出的二進位制檔案，其MD5相同，注意一點，post時一定要urlencode！！！

2、變數覆蓋漏洞
2.1、遍歷初始化變數
如以下的示例程式碼，使用foreach來遍歷陣列中的值，然後再將獲取到的陣列鍵名作為變數，陣列中的鍵值作為變數的值。因此就產生了變數覆蓋漏洞。若提交引數chs，則可覆蓋變數"$chs"的值。

注意：在程式碼審計時需要注意類似“$$k”的變數賦值方式有可能覆蓋已有的變數，從而導致一些不可控制的結果。

    <?  
    $chs = '';  
    if($_POST && $charset != 'utf-8'){  
        $chs = new Chinese('UTF-8', $charset);  
        foreach($_POST as $key => $value){  
            $$key = $chs->Convert($value);  
        }  
        unset($chs);  
    }  
    ?>  
1
2
3
4
5
6
7
8
9
10
2.2、parse_str()變數覆蓋
//var.php?var=new  
$var='init';  
parse_str($_SERVER['QUERY_STRING']);  #parse_str — 將字串解析成多個變數，如果引數str是URL傳遞入的查詢字串（query string），則將它解析為變數並設定到當前作用域。
print $var; 
1
2
3
4
$_SERVER['QUERY_STRING']的具體詳細解釋可以參考這裡

2.3、import_request_variables變數覆蓋
<?php  
$auth = '0';  
import_request_variables('G');  #import_request_variables — 將 GET／POST／Cookie 變數匯入到全域性作用域中。如果你禁止了 register_globals，但又想用到一些全域性變數，那麼此函式就很有用。

if($auth == 1){  
  echo "private!";  
}else{  
  echo "public!";  
}  
?> 
1
2
3
4
5
6
7
8
9
10
當用戶訪問連結為www.xxx.com/test.php?auth=aaa時就會出現變數覆蓋問題

2.4、extract()變數覆蓋
<?php  
$auth = '0';  
extract($_GET)；  

if($auth==1){  
echo "private!";  
}else{  
echo "public!";  
}  
?>
extract(array,extract_rules,prefix)# 函式從陣列中將變數匯入到當前的符號表,該函式使用陣列鍵名作為變數名，使用陣列鍵值作為變數值。
1
2
3
4
5
6
7
8
9
10
11
12
當用戶訪問連結為www.xxx.com/test.php?auth=aaa時就會出現變數覆蓋問題，安全的做法是確定register_globals=OFF後，在呼叫extract()時使用EXTR_SKIP保證已有變數不會被覆蓋。

3、想不到怎麼分類的一批
3.1、ereg正則%00截斷
ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE#如果在 string 中找到 pattern 模式的匹配則返回 所匹配字串的長度，如果沒有找到匹配或出錯則返回 FALSE。如果沒有傳遞入可選引數 regs 或者所匹配的字串長度為 0，則本函式返回 1。 
1
2
ereg()函式用指定的模式搜尋一個字串中指定的字串,如果匹配成功返回true,否則,則返回false。搜尋字母的字元是大小寫敏感的。

Eregi匹配可以用%00截斷
Eregi匹配可用陣列繞過
ereg是處理字串，傳入陣列之後，ereg是返回NULL

注意：This function was DEPRECATED in PHP 5.3.0, and REMOVED in PHP 7.0.0. 即，PHP7中已經被移除

3.2、in_array()強轉型別
$array=[0,1,2,'3'];  
var_dump(in_array('abc', $array)); //true  
var_dump(in_array('1bc', $array)); //true 
1
2
3
注意：在所有php認為是int的地方輸入string，都會被強制轉換

安全程式碼的一個要點：永遠不要相信使用者的輸入！
--------------------- 
作者：Sp4rkW 
來源：CSDN 
原文：https://blog.csdn.net/wy_97/article/details/79088218 
版權宣告：本文為博主原創文章，轉載請附上博文連結！