西西軟件園多重安全檢測下載網(wǎng)站、值得信賴的軟件下載站!
軟件
軟件
文章
搜索

首頁編程開發(fā)php教程 → 多字節(jié)編碼帶來的安全問題 PHP多字符集編碼漏洞

多字節(jié)編碼帶來的安全問題 PHP多字符集編碼漏洞

相關(guān)軟件相關(guān)文章發(fā)表評(píng)論 來源:本站整理時(shí)間:2010/8/10 16:34:21字體大。A-A+

作者:佚名點(diǎn)擊:76次評(píng)論:0次標(biāo)簽: PHP

  • 類型:服務(wù)器區(qū)大。21M語言:中文 評(píng)分:7.5
  • 標(biāo)簽:
立即下載

<?
$a = '前程似錦';
$b = ';phpinfo();//';
?>

于是找ryat牛討論了一下這個(gè)問題的本質(zhì)[雖然最后跑開這個(gè)問題很遠(yuǎn)],其實(shí)08年時(shí)候多字節(jié)編碼帶來的安全問題在全世界都很流行,包括blackhat等會(huì)議上都有相關(guān)議題出現(xiàn),而這些都是站在“編碼”的這個(gè)角度去看待的,而沒有具體在應(yīng)用程序的角度看待這個(gè)問題,比如上面的php的處理問題。

其實(shí)上面這個(gè)代碼的本質(zhì)是php處理方式是按‘單字節(jié)’的方式。

那么就不難理解了:錦 ---> E55C 因?yàn)閜hp單字節(jié)的處理方式最后是 E5 5C 兩個(gè)獨(dú)立的字節(jié)來處理,而5C-->\相當(dāng)于:

<?
$a = '前程似*\';
$b = ';phpinfo();//';
?>

\轉(zhuǎn)義了后面的‘,最終導(dǎo)致phpinfo();的執(zhí)行。

由此我們可以看出,單字節(jié)處理的程序在處理多字節(jié)編碼的時(shí)候,很有可能因?yàn)?ldquo;標(biāo)準(zhǔn)不和諧統(tǒng)一”,導(dǎo)致安全問題。

在我和ryat離題的討論里,他堅(jiān)持說是文件的編碼問題,而我認(rèn)為是php單字節(jié)的處理方式才是問題的關(guān)鍵所在..... 其實(shí)這是我們倆看問題的角度的問題導(dǎo)致的....

對(duì)于一個(gè)廣義的命題應(yīng)該說:程序員在處理問題的標(biāo)準(zhǔn)不統(tǒng)一可能導(dǎo)致的安全問題。

    相關(guān)文章

    相關(guān)評(píng)論

    閱讀本文后您有什么感想? 已有人給出評(píng)價(jià)!

    • 8 喜歡喜歡
    • 3 頂
    • 1 難過難過
    • 5 囧
    • 3 圍觀圍觀
    • 2 無聊無聊

    熱門評(píng)論

    最新評(píng)論

    發(fā)表評(píng)論 查看所有評(píng)論(0)

    昵稱:
    表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
    字?jǐn)?shù): 0/500 (您的評(píng)論需要經(jīng)過審核才能顯示)