2014年php漏洞
PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0
攻击者可以利用这一漏洞,通过输入一个经过哈希后以”0E”开头的字符串,即会被PHP解释为0,如果数据库中存在这种哈希值以”0E”开头的密码的话,他就可以以这个用户的身份登录进去,尽管并没有真正的密码。
解决方案:
将==或!=比较更换为===或!==
因为是几年前的漏洞 但是部分程序仍要求兼容低版本 所以应注意这个问题

Last modification:October 6th, 2018 at 09:07 pm
If you think my article is useful to you, please feel free to appreciate