php+string+弱类型,PHP8字符串数字弱类型比较优化

最新推荐文章于 2024-05-23 00:17:14 发布
最新推荐文章于 2024-05-23 00:17:14 发布
阅读量253 收藏
点赞数
文章标签: php+string+弱类型

这一个改动可能会对安全漏洞挖掘的影响较大。PHP 8 以前,在使用==比较或任何有弱类型转换的情况时,字符串都会先转换成数字,再和数字进行比较。

比如,这个代码在PHP 8以前的结果是true和0,在PHP 8以后得到的则是false和1:

var_dump('a' == 0);

switch ('a') {

case 0:

echo 0;

break;

default:

echo 1;

break;

}

老的弱类型可能会有什么安全问题呢?我曾经挖掘到的一个真实案例,大概代码是这样:

$type = $_REQUEST['type'];

switch ($type) {

case 1:

$sql = "SELECT * FROM `type_one` WHERE `type` = {$type}";

break;

case 2:

$sql = "SELECT * FROM `type_two` WHERE `type` = {$type}";

break;

default:

$sql = "SELECT * FROM `type_default`";

break;

}

开发者认为$type是1和2的时候才会进入SQL语句拼接中,但实际我们传入1 and 1=2即可进入case 1,导致SQL注入漏洞。

PHP 8以后彻底杜绝了这种漏洞的产生。

王晓博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权

转载请注明原文链接:PHP8字符串数字弱类型比较优化

西庆余里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP 变动:PHP 8 版本下字符串与数值的比较
两个月亮
09-24 690
PHP8 仍旧保留了隐式类型转换 这一特性,但在字符串与数值的比较方面做出了优化。在 字符串与数值的比较 过程中,PHP 将 依据字符串的不同 选择 将字符串转换为数值 或 将数值转换为字符串 后再进行比较。具体规则如下:若字符串 符合数值字符串的定义,则 PHP 尝试 将字符串转化为数值 后再进行比较。若字符串 不符合数值字符串的定义,则 PHP 尝试 将数值转化为字符串 后再进行比较
php的强类型比较
m0_61361405的博客
10-08 747
1、使用三个 ''==='' 表示;2、比较值,也比较类型;3、先判断a,b类型,若相同,则比较值,若不相同,则返回false。
PHP8 基础入门
最新发布
weixin_62273193的博客
05-23 1131
1、PHP 是什么 PHP(Hypertext Preprocessor 超文本预处理器) 的简称,是一种被广泛应用的开源通用的服务器端脚本语言,适用于 Web 开发并可嵌入 HTML 中。通用:指跨平台,如:Windows、Linux、MacOS 开源:意味着你可以轻松获取全部源代码,并进行定制或扩展 免费:意味着你不必为PHP花一分钱,哪怕用在商业项目中 服务器端:意味着你必须将它安装在服务器环境下才可以使用 脚本语言:解释型语言,按编写顺序执行。是指不需要编译,直接由解释器/虚拟机执行的编程语言 2、
MD5比较&0e绕过
VZS_0的博客
12-15 285
题目来源于[SWPUCTF 2021 新生赛]easy_md5 强比较:使用三个 ''==='' 比较比较值,也比较类型比较:使用两个 ''=='' 比较,只比较值,不比较类型转换规则:1.字符型和字符型比较,为同类型比较其内容 2.数字型和数字比较,同上 3.字符型和数字比较,若字符型值开头为数字,转为数字; 若开头不为数字,为 null (比较)与 0 相等。[1]字符型和数值型的比较 先看字符串
PHP8入门指南」数据类型
就叫我菜菜吧的博客
07-28 278
数组是一组数据的集合,它是把一系列数据组织起来,形成一个可操作的整体。不过由于PHP类型语言的特性,我们在对布尔型变量进行判断时需要注意,其他标量类型的空值或0值都会被认定为false。但我们需要注意的是所指定的键名是要存在于数组中的,否则程序会报错,索引未定义或索引越界。字符串型是一个连续的字符序列,它可以包含字符,整数,浮点数以及符号等等。根据程序运行结果我们可以看出,在将布尔型的false值与其他标量数据类型的空值进行松散比较时,PHP会认定它们是相等的。NULL是数据类型为NULL的值。...
php比较绕过(强比较“===”/比较“==“)
qq_47804678的博客
01-31 3470
字符串被当作一个数值来处理时,如果该字符串没有包含’.’,‘e’,'E’并且其数值在整形的范围之内,该字符串作为int来取值,其他所有情况下都被作为float来取值,并且字符串开始部分决定它的取值,开始部分为数字,则其值就是开始的数字,否则,其值为0。他是判断变量是否是数字数字字符串的函数,只有全部为数字时才能为真,但是其漏洞是:当将变量用16进制表达时,结果都为真。因为当hash开头为0e后全为数字的话,进行比较时就会将其当做科学计数法来计算,用计算出的结果来进行比较。此函数用来比较字符串
PHP 第二节 数据类型字符串类型
10-28
PHP编程语言中,字符串是一种重要的数据类型,用于存储文本信息。字符串通常由单引号或双引号包围。本篇文章将详细讲解PHP字符串类型的定义方法、特点以及变量解析规则。 首先,PHP定义字符串有四种方式: 1. ...
PHP学习之字符串比较和查找
12-18
两者的区别是双等号不比较类型,三等号会比较类型,它不转换类型;用双等号进行比较时,如果等号左右两边有数字类型的值,刚会把另一个值转化为数字,然后进行比较。这样的话,如果是纯字符串或者NULL时,会转化为0...
php使用strpos判断字符串数字类型字符串出错的解决方法 原创
12-19
本文实例讲述了php使用strpos判断字符串数字类型字符串出错的解决方法。分享给大家供大家参考,具体如下: 一、问题: 最近的开发中在程序代码里有一个随机数是否在给定字符串里的判断,我用了如下的测试代码: ...
php实现过滤字符串中的中文和数字实例
10-23
PHP编程中,有时我们需要对字符串进行处理,例如在数据输入、数据分析或数据展示时,可能需要过滤掉其中的...掌握这些知识点,不仅可以帮助你实现这个特定的需求,还能让你在更广泛的PHP字符串处理任务中游刃有余。
php常用字符串比较函数实例汇总
12-19
本文实例汇总了php常用字符串比较函数。分享给大家供大家参考。具体分析如下: substr_compare() 函数从指定的开始长度比较两个字符串,该函数返回: 0 – 如果两字符串相等,<0>0 – 如果 string1 (从开始位置)大于 ...
掌握这10个php8 新特性,轻松写出更优雅的代码!
lxw1844912514的博客
07-15 4804
PHP 8.1 提供的 10 大功能枚举Fiber(纤维)never 返回类型readonly 属性final 类常量新的 array_is_list() 函数新的 fsync() 和 fdatasync() 函数对字符串键数组解包的支持$_FILES 新的用于目录上传的 full_path 键新的 IntlDatePatternGenerator 类1. 枚举PHP 8.1 添加了对枚举的支持,...
PHP8新特性盘点
希望我的博客,能帮上你解决学习中工作中所遇到的问题,也期待与您一起探讨技术问题,共同成长。
07-10 1184
PHP8的新特性,PHP 8.0.0 已经正式发布了,这个对于PHPer无疑是一个令人振奋的消息。它包含了很多新功能与优化项, 包括命名参数、联合类型、注解、构造器属性提升、match表达式、nullsafe运算符、JIT,并改进了类型系统、错误处理、语法一致性。
PHP8知识详解:搭建PHP8集成环境
站长在线在CSDN
07-23 1346
导读:本文主要学习的是PHP8集成环境的搭建。支持多环境、多版本、多系统的集成环境软件有:phpenv、phpstudy(小皮)、xampp、宝塔面板、wdcp面板等。本教程讲的是使用phpenv搭建。
PHP 8 - 学习/实践
william_n的博客
12-29 5063
了解关注体验最新PHP 8的版本特性,以便在项目中使用。
PHP8的数据类型-PHP8知识详解
站长在线在CSDN
07-29 1076
语言,PHP也被称为动态类型的语言。在强类型的语言中(如C语言),一个变量只能存储一种数据类型的数据,而且这个变量在使用前必须声明变量类型。(Enum):枚举是在类、类常量基础上的约束层, 目标是提供一种能力:定义包含可能值的封闭集合类型。10、可调用(Callable):用于存储可以被调用的任何内容,包括函数、方法和匿名函数。9、回调(Callback):用于存储函数或方法的引用,用于回调函数的调用。5、数组(Array):用于存储多个值的有序集合,可以通过索引或关联键来访问其中的元素。
php 8的新特性
xuxiaopang0417的博客
04-15 4232
php 8 新特性
php8安装配置
weixin_44757675的博客
07-16 938
在Apache中以module的方式加载PHP,“php7_module”中的“7”要和PHP的版本对应;找到#LoadModule xml2enc_module modules/mod_xml2enc.so。# 此外,不同的PHP版本“php7apache2_4.dll”可能不同。这个链接是php7的相关配置,实际上配置php8的时候会有些小问题。将listen80改为90就可以成功运行了!2.Apache的配置文件和原博客的不一样。# 告诉Apache PHP的安装路径。
PHP8中字符串数字比较更智能
编码揭秘的专栏
02-23 293
[`PHP8.0`发布](https://www.php.net/releases/8.0/index.php)\[1\]也有一段时间了,此次发布带来了很多实用且强大的功能,比如: 1. Named arguments ```php // php 7.x htmlspecialchars($string, ENT_COMPAT | ENT_HTML401, 'UTF-8', false); // php 8.0 htmlspecialchars($string, double_encode: fals
php datetime类型 转换为 字符串
05-13
要将`DateTime`类型转换为字符串,可以使用`format()`方法。 以下是将`DateTime`类型转换为字符串的示例代码: ```php $date = new DateTime(); $date_string = $date->format('Y-m-d H:i:s'); echo $date_string;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值