0x01 全局变量覆盖
- 变量若未被初始化(PHP中使用变量并不需要初始化),且能被用户控制,很可能导致安全问题
- 当register_globals=ON时,变量来源可能是各个地方
通过$GLOBALS获取的变量,也可能导致变量的覆盖
if(ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});
这是一段禁用register_globals的代码
php中unset的用法
由于unset只会销毁局部变量,要销毁全局变量必须使用$GLOBALS
给出代码:
<?php
echo "Register_globals:".(int)ini_get("register_globals")."<br/>";
if(ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});
print $a;
print $_GET[b];
?>
这段代码$a未初始化,如果尝试注入"GLOBALS[a]"以覆盖全局变量时,将成功控制变量$a的值
unset($GLOBALS['bar']) //可以销毁全局变量
0x02 extract()变量覆盖
extract()函数能将变量从数组导入当前的符号表
int extract(array $var_array[,int $extract_type [,string $prefix]])
第二个参数$extract_type指定函数将变量导入符号表时的行为,最常见的两个值
- EXTR_OVERWRITE……如果变量名冲突,则覆盖已有变量
- EXTR_SKIP……跳过不覆盖
安全的做法是确定register_globals=OFF后,在调用extract()时使用EXTR_SKIP保证已有变量不会被覆盖
0x03 import_request_variables变量覆盖
bool import_request_variables(string $types[,string $prefix])
import_request_variables()将GET、POST、Cookie中的变量导入到全局,第二个参数是为导入的变量添加的前缀,如果没有指定,则将覆盖全局变量
import_request_variables('G')
指定导入GET请求中的变量,没有规定前缀,从而导致变量覆盖
0x04 安全建议
- 确保register_globals=OFF,若不能自定义php.ini,则应该在代码中控制
- 熟悉可能造成变量覆盖的函数和方法,检查用户是否能控制变量的来源
- 养成初始化变量的好习惯
