发现PHP引用存在漏洞

hackfan

楼上的，

２，引用（如$b=&a;） 实际上是给 $b 赋值了，而因为$a没有值，所以给了$b一个NULL。

因为$a没有值，PHP在读取$a的时候发现$a没有值，是否应该先抛出一个Notice呢？
然后再把NULL赋给$b


现在的设计有点匪夷所思，所以我认为这是一个缺陷。

hackfan

另外：请问我砸场子的动机是什么？

我只是发现这个问题欣喜地上CU来寻求探讨，没有别的意思

只是目前的回答不能把我说服，让我认为这样设计是合理的，没有争议的

我手头也有很多事情，所以没有时间去深究PHP的源代码，有兴趣的朋友欢迎继续探讨

haihaiff

提交BUG

hackfan

http://bugs.php.net/bug.php?id=43785

super_fire

原帖由 hackfan 于 2008-1-8 17:03 发表
楼上的，

２，引用（如$b=&a;） 实际上是给 $b 赋值了，而因为$a没有值，所以给了$b一个NULL。

因为$a没有值，PHP在读取$a的时候发现$a没有值，是否应该先抛出一个Notice呢？
然后再把NULL赋给$b


现 ...

又测试了一下，发现PHP在引用某个变量的时候，如果此变量未初始化，则会给个NULL，相当于 " $a = NULL; $b = $a; " 不给出notice。
可能在PHP看来，引用操作是一定要返回内容的，检查$a无值后，直接把$a初始化后为NULL，然后返回给$b。
那么上面的２中，应该是先给$a赋的值，再把内容返回给$b。

而赋值操作中 $b = $a; 因为$b的值可以与$a不同，所以给$b初始化为NULL，而$a的内容保持不变。

猜猜下面代码会提示什么？

<?php

define('A', &$a);
var_dump(A);

$b = $c;
var_dump($b);

?>

hackfan

我猜是

NULL
Notice : ....
NULL

大家再来看看这个情况：



<?php
error_reporting(E_ALL);

$b = &$a;

var_dump(isset($a));
var_dump(isset($b));

?>

猜猜看是什么？

cooldark51

我猜测会不会是在对变量做运算操作的时候才会初始化, 而要显示该变量的时候, 实际只是要显示它指向的内容, 也就是这个变量指向的地址包含的东西....

hackfan

问题很明显了：

<?php
error_reporting(E_ALL);

$b = &$a;

if( isset($a) === false )
{
        $a++;
        echo $a;
}
else
{
        echo 'Hello';
}
?>

显示

1

super_fire

原帖由 hackfan 于 2008-1-8 17:03 发表
２，引用（如$b=&a;） 实际上是给 $b 赋值了，而因为$a没有值，所以给了$b一个NULL。
因为$a没有值，PHP在读取$a的时候发现$a没有值，是否应该先抛出一个Notice呢？
然后再把NULL赋给$b

现 ...

在 $b=&a; 中，无论是先给$a赋值，还是先给$b赋值，这都是一个表达式，在PHP脚本的角度看，是一步就执行完了的，不存在先给出notice，再本身赋值的情况。如果先给出notice，那么$a的值不会变，而$b也将是 Undefined variable。
PHP的等号表达式左侧不存在 Undefined variable。
PHP在某个变量出 Undefined variable 的notice 后，此变量仍是 Undefined，不会被初始化；而被初始化了的变量是不给notice的。

[ 本帖最后由 super_fire 于 2008-1-8 18:07 编辑 ]

cooldark51

引用做什么
PHP 的引用允许用两个变量来指向同一个内容。意思是，当这样做时：
<?php
$a =& $b;
?>
这意味着 $a 和 $b 指向了同一个变量。
Note: $a 和 $b 在这里是完全相同的，这并不是 $a 指向了 $b 或者相反，而是 $a 和 $b 指向了同一个地方。

虽然在 PHP 中并不需要初始化变量，但这是个好习惯。未初始化的变量具有其类型的默认值 - FALSE，零，空字符串或者空数组。
个人觉得这个是关键的地方