发现PHP引用存在漏洞

hackfan

发现PHP引用存在漏洞

测试代码如下：

<?php function foo(&$var) { &nbsp;&nbsp;&nbsp;&nbsp;$var++; } echo $a; foo($a); echo $a; ?>

运行结果

Notice: Undefined variable: b in /var/htdocs/test.php on line 6
1

测试环境：
PHP 5.2.4

HonestQiao

原帖由 hackfan 于 2008-1-5 22:04 发表
发现PHP引用存在漏洞

测试代码如下：



运行结果



测试环境：
PHP 5.2.4

1. 在 PHP 中并不需要初始化变量，未初始化的变量具有其类型的默认值 - FALSE，零，空字符串或者空数组。
2.

1. 
   
2. <?php
   
3. 
   
4. function foo(&$var)
   
5. {
   
6.         isset($var) or die('no set');
   
7.     $var++;
   
8. }
   
9. 
   
10. echo $a;
    
11. 
    
12. foo($a);
    
13. 
    
14. echo $a;
    
15. 
    
16. ?>
    

复制代码

hackfan

如果按照您所说的

那应该报2个Notice错误而不是一个

测试以下代码：

<?php echo $a; $a++; echo $a; ?>

super_fire

上面兄弟已经发了。俺就删了。

[ 本帖最后由 super_fire 于 2008-1-6 21:39 编辑 ]

hackfan

经过以下程序测试，证明是引用的问题

<?php error_reporting(E_ALL); function foo() { &nbsp;&nbsp;&nbsp;&nbsp;global $a; &nbsp;&nbsp;&nbsp;&nbsp;$a++; } echo $a; foo(); echo $a; echo "\n\nSeparator\n\n"; function bar() { &nbsp;&nbsp;&nbsp;&nbsp;$GLOBALS['b']++; } echo $b; bar(); echo $b; ?>

第一个函数调用报1个Notice错误

而第二个函数调用报了2个Notice错误

原因是

global $a;

等价于

$a = & $GLOBALS['a'];

HonestQiao

原帖由 hackfan 于 2008-1-6 21:46 发表
经过以下程序测试，证明是引用的问题



第一个函数调用报1个Notice错误

而第二个函数调用报了2个Notice错误

原因是

global $a;

等价于

$a = & $GLOBALS['a'];

引用做什么
PHP 的引用允许用两个变量来指向同一个内容。意思是，当这样做时：
<?php
$a =& $b;
?>
这意味着 $a 和 $b 指向了同一个变量。
Note: $a 和 $b 在这里是完全相同的，这并不是 $a 指向了 $b 或者相反，而是 $a 和 $b 指向了同一个地方。

虽然在 PHP 中并不需要初始化变量，但这是个好习惯。未初始化的变量具有其类型的默认值 - FALSE，零，空字符串或者空数组。


Example#1 未初始化变量的默认值

<?php
echo ($unset_bool ? "true" : "false"); // false
$unset_int += 25; // 0 + 25 => 25
echo $unset_string . "abc"; // "" . "abc" => "abc"
$unset_array[3] = "def"; // array() + array(3 => "def") => array(3 => "def")
?>

依赖未初始化变量的默认值在某些情况下会有问题，例如把一个文件包含到另一个之中时碰上相同的变量名。另外把 register_globals 打开是一个主要的安全隐患。E_NOTICE 级别的错误会在碰上未初始化的变量时发出，但是在向一个未初始化的数组附加单元时不会。isset() 语言结构可以用来检测一个变量是否已被初始化。

你可以测试：

1. 
   
2. $a = &$b;
   
3. $a++;
   
4. print_r($a);
   
5. print_r($b);
   

复制代码

因为：

NULL
特殊的 NULL 值表示一个变量没有值。NULL 类型唯一可能的值就是 NULL。

Note: NULL 类型是 PHP 4 引进的。

在下列情况下一个变量被认为是 NULL：

被赋值为 NULL。

尚未被赋值。

被 unset()。

任何一个变量，即使没有先前赋值，如果使用使用了，他会有一个默认的NULL值；使用引用传递的时候，实际传递的是指向这个NULL值，而不是那个变量。

gouki

乔。。
小猪拜上

hackfan

原帖由 HonestQiao 于 2008-1-7 21:51 发表




你可以测试：

$a = &$b;
$a++;
print_r($a);
print_r($b);


因为：


任何一个变量，即使没有先前赋值，如果使用使用了，他会有一个默认的NULL值；使用引用传递的时候，实际传递的是指向这 ...

<?php error_reporting(E_ALL); echo $a; echo $a; ?>

如果是用到以后就被赋NULL

那么以上代码为何报2个Notice而不是1个?


以上代码证明：未初始化的变量，读操作报Notice，写操作报Notice并且对其赋默认值并运算。


那么请解释：

<?php error_reporting(E_ALL); echo $a; $a++; ?>

报2个Notice

而

<?php error_reporting(E_ALL); echo $a; $b = &$a; $b++; ?>

只报一个？

甚至

<?php error_reporting(E_ALL); echo $a; $b = &$a; $a++; ?>

也只报一个？

这个解释不通。

[ 本帖最后由 hackfan 于 2008-1-7 22:29 编辑 ]

hackfan

我明白引用是什么，引用有什么用

只是突然发现这么一个奇怪的现象，拿出来跟大家讨论

可能得翻PHP源代码才能找到答案了

showsa

1. 
   
2. <?php
   
3. 
   
4.     error_reporting(E_ALL);
   
5. 
   
6.     $b = &$a;
   
7. 
   
8.     echo $a;
   
9. 
   
10.     echo $b;
    
11. 
    

复制代码

这样你会发现没有任何报错

这里= &操作发现 a,b 都没有复制，于是都给他们NULL

见证如下

1. 
   
2. <?php
   
3. 
   
4.     error_reporting(E_ALL);
   
5. 
   
6.     $b = &$a;
   
7. 
   
8.     var_dump($a); // or $b
   
9. 
   
10. 
    

复制代码

输出结果为NULL

于是上面hackfan所得到的结果就可以解释清楚了