parse_str 的变量初始化问题,boblog 任意变量覆盖元凶

author: 80vul-B
team: http://www.80vul.com
date: 2011-02-23


一 描叙

    看下手册中对这个函数的部分描述:

void parse_str ( string $str [, array &$arr ] )

Parses str as if it were the query string passed via a URL and sets variables in the current scope.

Parameters
str
    The input string.
arr
    If the second parameter arr is present, variables are stored in this variable as array elements instead.

    这个是一个应用比较多的函数,但是处理不当的话,有可能出现安全隐患,比如覆盖任意变量[1]或导致变量未初始化.

二 分析

    看下parse_str()的部分源码:

// string.c

PHP_FUNCTION(parse_str)
{
...

        if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "s|z", &arg, &arglen, &arrayArg) == FAILURE) {
                return;
        }

    这里存在一个和preg_match()类似的问题[2],如果传入parse_str()的第一个参数是一个数组或者资源类型的话,将会报错并返回false,这可能会导致变量未初始化的问题(如果使用第二个参数的话,该变量将不会被赋值)

三 参考

    [1]http://www.80vul.com/pasc2at/pasc2at.htm
    [2]http://www.80vul.com/pch/pch-002.txt