发现PHP引用存在漏洞

super_fire

<?php
$a = $b;
?>

中$a = $b; 之后，$b仍然是 undefined.

而$a = &$b; 中却不然。

hackfan

那为什么一个报Notice
一个不报？

HonestQiao

原帖由 hackfan 于 2008-1-8 22:15 发表
那为什么一个报Notice
一个不报？

我已经给你看了PHP的C源代码了，在作为引用操作的时候，处理方式是有变化的。
有些东西，如果深究，就非要去看深层的处理机制了。

hackfan

原帖由 HonestQiao 于 2008-1-9 10:24 发表


我已经给你看了PHP的C源代码了，在作为引用操作的时候，处理方式是有变化的。
有些东西，如果深究，就非要去看深层的处理机制了。

从设计上说，Notice提示的目的就在于帮助开发者避免使用未经初始化的变量

那么在处理引用时，也应该考虑到这个情况

所以我认为这是一个缺陷而不是处理方式有变化

sunnyfun

在php中，对于变量，除了保存了它的值，还保存了一个变量列表。

为了看得清楚些我写了下面的代码：

1. 
   
2. <?php
   
3. echo "<pre>";
   
4. $arr = get_defined_vars();
   
5. print_r($arr);
   
6. echo "<br />------------------------------------------------------------------------------------------<br />\r\n";
   
7. 
   
8. echo "<br />At 1st var_dump a is: ";
   
9. echo "<br />---a 1st var_dump start---<br />\r\n";
   
10. var_dump ($a);
    
11. echo "<br />---a 1st var_dump end-----<br />\r\n";
    
12. 
    
13. echo "<br />------------------------------<br />\r\n";
    
14. echo "<br />-----echo test------<br />\r\n";
    
15. echo "<br />---echo 1st start---<br />\r\n";
    
16. echo $a;
    
17. echo "<br />---echo 1st end-----<br />\r\n";
    
18. 
    
19. 
    
20. $b=&$a;
    
21. echo "<br />---echo 2nd start---<br />\r\n";
    
22. echo $a;
    
23. echo "<br />---echo 2nd end-----<br />\r\n";
    
24. echo "<br />------------------------------<br />\r\n";
    
25. 
    
26. echo "<br />Now var_dump a is: ";
    
27. echo "<br />---a 2nd var_dump start---<br />\r\n";
    
28. var_dump ($a);
    
29. echo "<br />---a 2nd var_dump end-----<br />\r\n";
    
30. 
    
31. $a2=null;
    
32. echo "<br />---a2 var_dump start---<br />\r\n";
    
33. var_dump ($a2);
    
34. echo "<br />---a2 var_dump end-----<br />\r\n";
    
35. 
    
36. echo "<br />------------------------------------------------------------------------------------------<br />\r\n";
    
37. $arr = get_defined_vars();
    
38. print_r($arr);
    
39. echo "<br />------------------------------------------------------------------------------------------<br />\r\n";
    
40. foreach ($arr as $value) {
    
41.     var_dump ($value);
    
42.     echo "<br />\r\n";
    
43. }
    
44. ?>

复制代码

运行结果：

(一大坨东西)
------------------------------------------------------------------------------------------

At 1st var_dump a is:
---a 1st var_dump start---

Notice: Undefined variable: a in D:\usr\www\localhost\public_html\2.php on line 5
NULL
---a 1st var_dump end-----

------------------------------

-----echo test------

---echo 1st start---

Notice: Undefined variable: a in D:\usr\www\localhost\public_html\2.php on line 11

---echo 1st end-----

---echo 2nd start---

---echo 2nd end-----

------------------------------

Now var_dump a is:
---a 2nd var_dump start---
NULL
---a 2nd var_dump end-----

---a2 var_dump start---
NULL
---a2 var_dump end-----

------------------------------------------------------------------------------------------
(一大坨东西，注意中间 [a] => ，注意最下面，有三个NULL)

当变量$a未被赋值时，变量列表中当然找不到这个$a，那么当函数或表达式等取$a的值时，会抛出一个Notice，并返回默认的值：NULL
当变量被引用时，会被自动给$a赋一个NULL (此举为了满足条件：引用的必须为变量，这或许可以看做一种隐式类型转换)，此时变量列表中已经有$a，当取$a的值时返回的是实实在在的NULL
所以那一大坨东西里面三个NULL有一个就是$a的。

同理，当NULL遇到++时，又是一次隐式类型转换，变成0，然后++，就变作1了

enous

HOHO,都  是强淫啊。。。