PHP 中的 == 和“隱式轉(zhuǎn)換”

tuniutech 發(fā)布于2019-07-01 12:12 / 3207人閱讀

摘要：在比較兩個(gè)字符串，無(wú)論它們是否相等，函數(shù)的時(shí)間消耗是恒定的，可以用來(lái)防止時(shí)序攻擊。

引言

最近，在 Hacker News 上有一篇帖子（https://news.ycombinator.com/item?id=9484757），提到了一種探測(cè)網(wǎng)站密碼加密方式的方法。



結(jié)果都是：

bool(true)
bool(true)
bool(true)


如果在一個(gè)網(wǎng)站，使用240610708作為密碼，然后用QNKCDZO登陸，結(jié)果可以登錄的話，說(shuō)明密碼是以MD5方式保存的。類似的，如果用aaroZmOk作為密碼，然后用aaK1STfY登陸，結(jié)果可以登錄的話，說(shuō)明密碼是以sha1方式保存的。第三種當(dāng)然就是明文存儲(chǔ)了。

分析

以第一組數(shù)為例：

md5("240610708") 的結(jié)果是：0e462097431906509019562988736854
md5("QNKCDZO") 的結(jié)果是：0e830400451993494058024219903391


由于 PHP 是弱類型語(yǔ)言，在使用 == 號(hào)時(shí)，如果比較一個(gè)數(shù)字和字符串或者比較涉及到數(shù)字內(nèi)容的字符串，則字符串會(huì)被轉(zhuǎn)換為數(shù)值并且比較按照數(shù)值來(lái)進(jìn)行。此規(guī)則也適用于 switch 語(yǔ)句。上述例子中的兩個(gè)字符串恰好以 0e 的科學(xué)記數(shù)法開頭，字符串被隱式轉(zhuǎn)換為浮點(diǎn)數(shù)，實(shí)際上也就等效于 0×10^0 ，因此比較起來(lái)是相等的。

類似



第一個(gè)返回的是 true，第二個(gè)返回的是 false

結(jié)論

PHP中的Hash校驗(yàn)，應(yīng)該使用“===”，而不應(yīng)該使用“==”。另外如果生產(chǎn)環(huán)境版本足夠高的話（PHP >= 5.6.0），最好使用 hash_equals() 函數(shù)。

hash_equals() 在比較兩個(gè)字符串，無(wú)論它們是否相等，函數(shù)的時(shí)間消耗是恒定的，可以用來(lái)防止時(shí)序攻擊。