php获取证书序列号时openssl_x509_parse内存泄漏的替代的方案

最新推荐文章于 2022-08-01 17:27:25 发布
最新推荐文章于 2022-08-01 17:27:25 发布
阅读量5.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pridas/article/details/51934039
版权


// 内存泄漏问题说明:
//     openssl_x509_parse疑似有内存泄漏,暂不清楚原因,可能和php、openssl版本有关,估计有bug。
//     windows下试过php5.4+openssl0.9.8,php7.0+openssl1.0.2都有这问题。mac下试过也有问题。
//     也有别人汇报过bug:https://bugs.php.net/bug.php?id=71519。
//
// 替代解决方案:
//     方案1. 所有调用openssl_x509_parse的地方都是为了获取证书序列号,可以尝试把证书序列号+证书/key以别的方式保存,
//            从其他地方(比如数据库)读序列号,而不直接从证书文件里读序列号。
//     方案2. 代码改成执行脚本的方式执行,这样执行完一次保证能释放掉所有内存。
//     方案3. 改用下面的CertSerialUtil取序列号,
//            此方法仅稍微用了几个证书做过测试,不保证没bug。如发现有bug或者可优化的地方可自行修改代码。
//            注意用了bcmath的方法,*nix下编译时需要 --enable-bcmath。http://php.net/manual/zh/bc.installation.php


使用样例:

$x509data = file_get_contents ( "d:/certs/xxx.cer" );
// $resource = openssl_x509_read ( $x509data );
// $certdata = openssl_x509_parse ( $resource ); //<=这句尼玛内存泄漏啊根本释放不掉啊啊啊啊啊啊啊
// echo $certdata ['serialNumber']; //<=就是需要这个数据啦
// echo $x509data;
// unset($certdata); //<=没有什么用
// openssl_x509_free($resource); //<=没有什么用x2
echo CertSerialUtil::getSerial ( $x509data, $errMsg ) . "\n";




class CertSerialUtil {
	 
	private static function bytesToInteger($bytes) {
		$val = 0;
		for($i = 0; $i < count ( $bytes ); $i ++) {
// 			$val += (($bytes [$i] & 0xff) << (8 * (count ( $bytes ) - 1 - $i)));
			$val += $bytes [$i] * pow(256, count ( $bytes ) - 1 - $i);
// 			echo $val . "<br>\n";
		}
		return $val;
	}
	
	private static function bytesToBigInteger($bytes) {
		$val = 0;
		for($i = 0; $i < count ( $bytes ); $i ++) {
			$val = bcadd($val, bcmul($bytes [$i], bcpow(256, count ( $bytes ) - 1 - $i)));
// 			echo $val . "<br>\n";
		}
		return $val;
	}
	
	private static function toStr($bytes) {
		$str = '';
		foreach($bytes as $ch) {
			$str .= chr($ch);
		}
		return $str;
	}
	
	public static function getSerial($fileData, &$errMsg) {
		
// 		$fileData = str_replace('\n','',$fileData);
// 		$fileData = str_replace('\r','',$fileData);
		
		$start = "-----BEGIN CERTIFICATE-----";
		$end = "-----END CERTIFICATE-----";
		$data = trim ( $fileData );
		if (substr ( $data, 0, strlen ( $start ) ) != $start || 
		substr ( $data, strlen ( $data ) - strlen ( $end ) ) != $end) {
			// echo $fileData;
			$errMsg = "error pem data";
			return false;
		}
		
		$data = substr ( $data, strlen ( $start ), strlen ( $data ) - strlen ( $end ) - strlen ( $start ) );
		$bindata = base64_decode ( $data );
		$bindata = unpack ( 'C*', $bindata );
		
		$byte = array_shift ( $bindata );
		if ($byte != 0x30) {
			$errMsg = "1st tag " . $byte . " is not 30"; 
			return false;
		}
		
		$length = CertSerialUtil::readLength ( $bindata ); 
		$byte = array_shift ( $bindata );
		if ($byte != 0x30) {
			$errMsg = "2nd tag " . $byte . " is not 30";
			return false;
		}
		
		$length = CertSerialUtil::readLength ( $bindata );
		$byte = array_shift ( $bindata );
// 		echo $byte . "<br>\n";
		if ($byte == 0xa0) { //version tag.
			$length = CertSerialUtil::readLength ( $bindata );
			CertSerialUtil::readData ( $bindata, $length );
			$byte = array_shift ( $bindata );
		}

// 		echo $byte . "<br>\n";
		if ($byte != 0x02) { //x509v1 has no version tag, x509v3 has.
			$errMsg = "4th/3rd tag " . $byte . " is not 02";
			return false;
		}
		$length = CertSerialUtil::readLength ( $bindata );
		$serial = CertSerialUtil::readData ( $bindata, $length );
// 		echo bin2hex(CertSerialUtil::toStr( $serial ));
		return CertSerialUtil::bytesToBigInteger($serial);
	}
	
	private static function readLength(&$bindata) {
		$byte = array_shift ( $bindata );
		if ($byte < 0x80) {
			$length = $byte;
		} else {
			$lenOfLength = $byte - 0x80;
			for($i = 0; $i < $lenOfLength; $i ++) {
				$lenBytes [] = array_shift ( $bindata );
			}
			$length = CertSerialUtil::bytesToInteger ( $lenBytes );
		}
		return $length;
	}
	
	private static function readData(&$bindata, $length) {
		$data = array ();
		for($i = 0; $i < $length; $i ++) {
			$data [] = array_shift ( $bindata );
		}
		return $data;
	}
}


伊利杀猪
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssl解析成X509内存结构体总是失败
12-08
把一个der编码的cer文件读出来,用base64编码后再存入数据库中去。 读出来的候是base64编码的证书内容,想用openssl解析成X509内存结构体总是失败。 操她吗的,后来发现是每隔64个字符就要换行,否则openssl就是解析不了。 并且要有头尾:-----BEGIN CERTIFICATE-----和-----END CERTIFICATE----- 注:windows自带的证书查看器就能正常解析,并无上诉的问题。
php openssl x509,openssl_x509_parse
weixin_34072296的博客
03-18 414
[#4]nathanael at dihedral dot de [2006-08-11 06:02:26]Whendealingwiththepurposesofax509crtfiletheoutputofopenssl_x509_parsegivesanarraywithfollowingforthepurposes:eachnewarray([...
php 漏洞 _parse,PHP OpenSSL Extension 'openssl_x509_parse()'内存破坏漏洞
weixin_42318812的博客
03-16 287
Proof of Concept:The following x509 certificate demonstrates the out of bounds write:-----BEGIN CERTIFICATE-----MIIEpDCCA4ygAwIBAgIJAJzu8r6u6eBcMA0GCSqGSIb3DQEBBQUAMIHDMQswCQYDVQQGEwJERTEcMBoGA1UECAwT...
php openssl x509,PHP: openssl_x509_parse - Manual
weixin_33121345的博客
03-18 186
When dealing with the purposes of a x509 crt filethe output of openssl_x509_parse gives an array with following for the purposes:each new array ([purposes][1], [purposes][2] for example) is a new purp...
php x509,PHP OpenSSL Extension 'openssl_x509_parse()'内存破坏漏洞
weixin_32309649的博客
03-28 277
发布日期:2013-12-11更新日期:2013-12-14受影响系统:PHP PHP 5.5.xPHP PHP 5.4.xPHP PHP 5.3.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 64225CVE(CAN) ID: CVE-2013-64...
openssl文档_openssl_x509_
10-04
例如,`X509_new()`函数用于创建一个新的X509证书结构,`X509_set_pubkey()`用于设置证书的公钥,`X509_set_issuer_name()`和`X509_set_subject_name()`分别用于设置签发者和持有者的名称。 **BIO(Bio Input/...
read509.tar.gz_X509格式_read509_x509 解析_解析证书_证书
07-15
本文将深入探讨X.509证书、`read509.tar.gz`压缩包中的`read509`程序以及如何解析X.509证书。 首先,X.509证书是电子文档,它包含一个公钥及其相关的身份信息,如持有者的名称和证书颁发机构(CA)的签名。这种证书...
php使用openssl_encrypt中的AES-128-ECB加密解密
11-12
PHP中,`openssl_encrypt`函数是用于执行各种加密操作的核心工具,包括使用AES-128-ECB(Advanced Encryption Standard with a 128-bit key in Electronic Codebook mode)算法进行数据加密和解密。AES是一种广泛...
x509_util.zip_android_cert_ndk android_x509_x509_util
09-23
在本案例中,`x509_util`库利用了NDK来解析X509证书的字节流,这是对Java层API的一个补充,因为Android的Java API虽然提供了处理X509证书的功能,但在处理大量证书或高性能需求,可能会显得效率不足。 解析X509...
ssl.tar.gz_python openssl_证书_证书验证
09-24
3. **创建自签名证书**: 使用`openssl x509`命令,用CSR和私钥生成自签名证书:`openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt`。 **Python中的SSL/TLS** Python内置了ssl模块...
opensslx509命令简单入门
hsulei的博客
01-12 3万+
opensslx509命令简单入门openssl是一个强大的开源工具包,它能够完成完成各种和ssl有关的操作。命令说明openssl -help 会得到如下的提示:openssl:Error: '-help' is an invalid command.Standard commands asn1parse ca ciphers c
php读取证书公钥,为什么我不能用PHP中的X509证书获取公钥?
weixin_35861708的博客
03-18 628
以下PHP代码打印出此警告:Warning: openssl_csr_get_public_key(): supplied resource is not a valid OpenSSL X.509 CSR resource in /home/swissbtc/www/bitcoins.ch/index.php on line 49码:$Configs = array('digest_alg' =...
Apache Ssl 配置整理
fatOwen的专栏
11-07 1576
 1.概述   为了加强网站安全访问策略,在现有 xxx网站 Apahce Server加入SSL功能,当访问特定目录,需要提供SSL证书要求,以保证合法用户才能访问. 2.软件要求   JDK:1.5   Apache:2.2.9+ssl   Tomcat:5.0(Apache与tomcat组合) 3.操作步骤 3.1设置配置文件环境 CMD 启动命令行窗口 切换到Apache Bin目录 s
openssl_get_privatekey返回值为空 false
huojiahui22的博客
08-01 1794
使用openssl_get_privatekey()返回值为空。
PHPopenssl_pkey_get_private函数获取私钥返回 FALSE 的问题
烟雨弥漫了江南的博客
04-08 1万+
openssl_pkey_get_private ( mixed $key [, string $passphrase = “” ] ) : resource 参数 key key 可以是如下密钥之一: 如下格式的字符串 file://path/to/file.pem。该文件必须包含 PEM 编码的证书或者私钥 (可能都包含了). 一个 PEM 格式的私钥。 passphrase 如果指定的密钥已...
window环境下使用PHP OpenSSL扩展函数返回false的原因
weixin_30455661的博客
02-12 156
window环境下使用PHP OpenSSL扩展函数返回false的原因(openssl_pkey_new) 使用的开发环境是PHPstudy ,在使用OpenSSL的函数openssl_pkey_new(),始终返回false,检查了环境,OpenSSL扩展已经开启,代码如下: $config = array( 'private_key_bits' => 2048, )...
window系统下,PHP使用openssl扩展函数,返回false解决方法
weixin_33874713的博客
07-18 542
为什么80%的码农都做不了架构师?>>> ...
通过OpenSSL解析X509证书基本项
热门推荐
密码开发者
07-08 6万+
通过OpenSSL库解析X509证书基本项,比如版本号、序列号、颁发者、使用者、有效期、公钥算法、证书用途等。
php openssl_decrypt
最新发布
05-25
PHP中,使用openssl_decrypt函数来解密加密数据。函数需要传递以下参数: - $data: 必需,要解密的数据。 - $method: 必需,加密算法。例如,AES-128-CBC、AES-256-CBC、3DES-CBC 等等。 - $key: 必需,加密密钥。 - $options: 可选,可以包括 OPENSSL_RAW_DATA 和 OPENSSL_ZERO_PADDING。 - $iv: 可选,初始化向量。 - $tag: 可选,认证标记。 - $aad: 可选,额外的认证数据。 - $tag_length: 可选,认证标记长度。默认为16。 以下是一个实例: ```php $key = 'mykey'; $method = 'AES-256-CBC'; $iv = openssl_random_pseudo_bytes(16); // 随机生成向量 $data = 'Hello World'; // 加密 $encrypted = openssl_encrypt($data, $method, $key, OPENSSL_RAW_DATA, $iv); // 解密 $decrypted = openssl_decrypt($encrypted, $method, $key, OPENSSL_RAW_DATA, $iv); echo $decrypted; // 输出:Hello World ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值