在PHP中正确使用in_array的方式

    在PHP中in_array 函数是用于检查数组中是否存在某个值，然后检查方式确有不同模式，在不同模式下检查结果，大不一样。这样为系统产生程序漏洞埋下了隐患。另外，由于in_array 函数在程序开发中使用的很频繁，并且开发者也很容易忽视检查模式，所以基于这两点，是有必要说说这个函数的问题的。在这里，我们学“拿来主义”直接引用 红日安全成员：七月火编写分析文章。

    ===========================================我是分隔线，下面是正文========================================== 
  有如下代码:

   

   

  漏洞解析 ：

    这一关卡考察的是一个任意文件上传漏洞，而导致这一漏洞的发生则是不安全的使用 in_array() 函数来检测上传的文件名，即上图中的第12行部分。由于该函数并未将第三个参数设置为 true ，这导致攻击者可以通过构造的文件名来绕过服务端的检测，例如文件名为 7shell.php 。因为PHP在使用 in_array() 函数判断时，会将 7shell.php 强制转换成数字7，而数字7在 range(1,24) 数组中，最终绕过 in_array() 函数判断，导致任意文件上传漏洞。（这里之所以会发生强制类型转换，是因为目标数组中的元素为数字类型）我们来看看PHP手册对 in_array() 函数的定义。

   in_array ：(PHP 4, PHP 5, PHP 7)

   功能 ：检查数组中是否存在某个值

   定义 ： bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )

   在 $haystack 中搜索 $needle ，如果第三个参数 $strict 的值为 TRUE ，则 in_array() 函数会进行强检查，检查 $needle 的类型是否和 $haystack 中的相同。如果找到 $haystack ，则返回 TRUE，否则返回 FALSE。
   实例分析

  本次实例分析，我们选取的是 piwigo2.7.1 版本。该版本由于SQL语句直接拼接 $rate 变量，而 $rate 变量也仅是用 in_array() 函数简单处理，并未使用第三个参数进行严格匹配，最终导致sql注入漏洞发生。下面我们来看看具体的漏洞位置。漏洞的入口文件在 include\functions_rate.inc.php 中，具体代码如下：

  

当 $_GET['action'] 为 rate 的时候，就会调用文件 include/functions_rate.inc.php 中的 rate_picture 方法，而漏洞便存在这个方法中。我们可以看到下图第23行处直接拼接 $rate 变量，而在第2行使用 in_array() 函数对 $rate 变量进行检测，判断 $rate 是否在 $conf['rate_items'] 中， $conf['rate_items'] 的内容可以在 include\config_default.inc.php 中找到，为 $conf['rate_items'] = array(0,1,2,3,4,5);

由于这里（上图第6行）并没有将 in_array() 函数的第三个参数设置为 true ，所以会进行弱比较，可以绕过。比如我们将 $rate 的值设置成 1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));# 那么SQL语句就变成：

INSERT INTO piwigo_rate (user_id,anonymous_id,element_id,rate,date) VALUES (2,'192.168.2',1,1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));#,NOW()) ;

这样就可以进行盲注了，如果上面的代码你看的比较乱的话，可以看下面简化后的代码：

修复建议：

可以看到这个漏洞的原因是弱类型比较问题，那么我们就可以使用强匹配进行修复。例如将 in_array() 函数的第三个参数设置为 true ，或者使用 intval() 函数将变量强转成数字，又或者使用正则匹配来处理变量。这里我将 in_array() 函数的第三个参数设置为 true ，代码及防护效果如下：

csyt后记：以上就是in_array函数分析处理过程，实际除了使用第三个参数严格模式外，我们还可多使用array_key_exists函数除了安全外，一个hash运算快。

免责声明：以上内容源自网络，版权归原作者所有，如有侵犯您的原创版权请告知，我们将尽快删除相关内容。