php比较

1.字符串和数字

PHP的字符串和数字比较时，会将字符串先转化成数字类型在进行比较。

字符串以数字开头时，以开头数字（到字母出现截止）作为转换结果；若开头不是数字的字符串或空（null），则转换为0。

'26' = 26    //true

'26abc' = 26  //true

'abc26' = 0  //true

'abc26' = 26  //false

2.布尔值和任意值作比较

布尔值true和任意字符串都相等，除了0。

'way' == true    //true
'flase' == true  //true
234 ==t rue      //true
0 == flase       //true

0 == true        //false

php弱比较==

两个等号是弱类型比较，他会将两边自动转换为同一种类型后再进行比较。所以他比较的就只是值 ，不比较类型。

弱比较绕过

1.小数点绕过：1 == 1.000

2.正号绕过：1 == +1

3.单双引号绕过：1 == '1'

4.科学计数法绕过：1aa == 1

5.MD5绕过：常用md5加密后为0的字符串：240610708，aabg7XSs，aabC9RqS，这里网上找就ok了

php强比较===

=== 在进行比较的时候，会先判断两种字符串的类型是否相等，再比较值是否相等

强比较绕过

数组绕过：

if($_POST['a']!==$_POST['b']&& md5($_POST['a'])===md5($_POST['b'])){die("success!");
}

像这样的强比较，上面的方法就失效了，但是如果传入的不是字符串而是数组，不但md5()函数不会报错，结果还会返回null，在强比较里面null=null为true绕过

构造payload： a[]=1&b[]=2

php强碰撞

if((string)$_POST['a']!==(string)$_POST['b'] && md5($_POST['a'])===md5($_POST['b'])){die("success!");
}

到强碰撞这里，它用string强行转换成字符串，从而限制了数组绕过这方法，只能输入字符串，下面我从网上列出MD5碰撞的字符串

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2 

a=0e306561559aa787d00bc6f70bbdfe3404cf03659e704f8534c00ffb659c4c8740cc942feb2da115a3f4155cbb8607497386656d7d1f34a42059d78f5a8dd1ef
b=0e306561559aa787d00bc6f70bbdfe3404cf03659e744f8534c00ffb659c4c8740cc942feb2da115a3f415dcbb8607497386656d7d1f34a42059d78f5a8dd1ef 

这一大长串的编码，他们的md5值是相等的，原理是将hex字符串转化为ascii字符串，并写入到bin文件，考虑到要将一些不可见字符传到服务器，这里使用url编码

php变量覆盖

$a='hello';
$b='world';
$$a=$b;
echo($hello);
最终输出结果为world

这里先是定义了a,b两个变量，分别赋值hello和world。接着，$$a表示将变量a的值变成一个变量即$hello，然后将变量b的值赋给它，最后输出world。

所以在源码中看到$$可以想到变量覆盖漏洞

同时，还有一些函数也会出现变量覆盖，这里我们就先看以下foreach函数
foreach函数会遍历数组，然后将键名与键值分别赋值给后面的变量，这样就容易产生变量覆盖漏洞

foreach($_GET['a'] as $key=>$value){
    $$key=$value;
}

这里我传入参数?a=hello，那么就相当于我传入了一组键值对，键名为a，键值为hello（即$key=a,$value=hello），接着执行$$key=$value，这里就会变成$hello=hello
其他一些函数其实大同小异

大家要想看实例的话，可以看这篇博客NSSCTF中24网安培训day1中web的题目-CSDN博客

写总结性的博客也是为了方便我做ctf的题目，同时也能够复习到一些相关知识