背景介绍
比较
==与===的差别
== 是等于符号,=== 是恒等于符号,两个符号的功能都是用来比较两个变量是否相等的,只不过两个符号的比较维度不一样,导致各自的使用领域是不一样的。
使用案例
0==0
返回true
0=="0"
返回true
0===0
返回true
0==="0"
返回flase
总结
=== 比较两个变量的值和类型
== 只比较两个变量的值
那么就可以得出== 两个变量中的一个变量替换成别的类型就会有绕过的风险
如何审计
代码审计中先搜索哪个表达式里使用了==比较操作符,在跟踪其中的变量是否来之外部输入,如果是外部输入的,那就有绕过风险。
绕过案例1
返回:密码正确!
用=== 可以避免
绕过案例2
md5('240610708')==md5('QNKCDZO'); //True
md5('240610708')===md5('QNKCDZO'); //False
君何不畅谈一番?
Original: https://www.cnblogs.com/mysticbinary/p/12571275.html
Author: Mysticbinary
Title: PHP代码审计_用==与===的区别
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/578347/
转载文章受原作者版权保护。转载请注明原作者出处!