PHP變量覆蓋漏洞都有哪些

本篇文章給大家分享的是有關(guān)PHP變量覆蓋漏洞都有哪些，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

　　全局變量覆蓋

　　當(dāng)register_global=ON時，變量來源可能是各個不同的地方，比如頁面的表單，Cookie等。

　　< ?php 　　echo "Register_globals: ".(int)ini_get("register_globals")." 　　"; 　　if ($auth){ 　　echo "private!"; 　　} 　　?>

　　當(dāng)register_globals=OFF時，這段代碼不會出問題。

　　但是當(dāng)register_globals=ON時，提交請求URL：http://www.xuebuyuan.com/test.php?auth=1,變量$auth將自動得到賦值。得到的結(jié)果為

　　Register_globals:1

　　private!

　　小記：如果上面的代碼中，已經(jīng)對變量$auth賦了初始值，比如$auth=0，那么即使在URL中有/test.php?auth=1，也不會將變量覆蓋，也就是說不會打印出private!

　　通過$GLOBALS獲取的變量，也可能導(dǎo)致變量覆蓋。

　　< ?php 　　echo "Register_globals:".(int)ini_get("register_globals")." 　　"; 　　if (ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});

　　print $a;

　　print $_GET[b];

　　?>

　　變量$a未初始化，在register_globals=ON時，再嘗試控制“$a”的值(http://www.xuebuyuan.com/test1.php?a=1&b=2)，會因?yàn)檫@段代碼而出錯。

　　而當(dāng)嘗試注入“GLOBALS[a]”以覆蓋全局變量時(http://www.xuebuyuan.com/test1.php?GLOBALS[a]=1&b=2)，則可以成功控制變量“$a”的值。這是因?yàn)閡nset()默認(rèn)只會銷毀局部變量，要銷毀全局變量必須使用$GLOBALS。

　　而在register_globals=OFF時，則無法覆蓋到全局變量。

　　小記：register_globals的意思是注冊為全局變量，所以當(dāng)On的時候，傳遞過來的值會被直接注冊為全局變量而直接使用，當(dāng)為OFF的時候，就需要到特定的數(shù)組中去得到它。unset用于釋放給定的變量

　　extract()變量覆蓋

　　< ?php 　　$auth = '0'; 　　extract($_GET); 　　if($auth==1){ 　　echo "private!"; 　　}else{ 　　echo "public!"; 　　} 　　?>

　　假設(shè)用戶構(gòu)造以下鏈接：http://www.xuebuyuan.com/test1.php?auth=1

　　界面上會打印出private!

　　安全的做法是確定register_globals=OFF后，在調(diào)用extract()時使用EXTR_SKIP保證已有變量不會被覆蓋。

　　小記：PHP extract() 函數(shù)從數(shù)組中把變量導(dǎo)入到當(dāng)前的符號表中。對于數(shù)組中的每個元素，鍵名用于變量名，鍵值用于變量值。

　　遍歷初始化變量

　　常見的一些以遍歷的方式釋放變量的代碼，可能會導(dǎo)致變量覆蓋。

　　< ?php 　　$chs = ''; 　　if($_POST && $charset != 'utf-8'){ 　　$chs = new Chinese('UTF-8', $charset); 　　foreach($_POST as $key => $value){

　　$$key = $chs->Convert($value);

　　}

　　unset($chs);

　　}

　　?>

　　若提交參數(shù)chs，則可覆蓋變量"$chs"的值。

　　小記：在代碼審計(jì)時需要注意類似“$$k”的變量賦值方式有可能覆蓋已有的變量，從而導(dǎo)致一些不可控制的結(jié)果。

　　import_request_variables變量覆蓋

　　< ?php 　　$auth = '0'; 　　import_request_variables('G'); 　　if($auth == 1){ 　　echo "private!"; 　　}else{ 　　echo "public!"; 　　} 　　?>

　　當(dāng)用戶輸入http://www.xuebuyuan.com/test1.php?auth=1時，網(wǎng)頁上會輸出private!

　　import_request_variables('G')指定導(dǎo)入GET請求中的變量，從而導(dǎo)致變量覆蓋。

　　小記：import_request_variables — 將 GET/POST/Cookie 變量導(dǎo)入到全局作用域中。如果你禁止了 register_globals，但又想用到一些全局變量，那么此函數(shù)就很有用。

　　parse_str()變量覆蓋

　　//var.php?var=new

　　$var='init';

　　parse_str($_SERVER['QUERY_STRING']);

　　print $var;

　　與parse_str()類似的函數(shù)還有mb_parse_str()

　　小記：parse_str — 將字符串解析成多個變量，如果參數(shù)str是URL傳遞入的查詢字符串(query string)，則將它解析為變量并設(shè)置到當(dāng)前作用域。

以上就是PHP變量覆蓋漏洞都有哪些，小編相信有部分知識點(diǎn)可能是我們?nèi)粘９ぷ鲿姷交蛴玫降摹ＯＭ隳芡ㄟ^這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。