空字符（Null bytes）相關(guān)問題

由于 PHP 使用底層 C 函數(shù)進(jìn)行文件系統(tǒng)相關(guān)操作，因此它可能會以完全意想不到的方式處理空字符。在 C 語言中空字符標(biāo)識字符串的結(jié)束，所以一個完整的字符串是從其開頭到遇見空字符為止。下面的示例展示了易受攻擊的代碼，演示了這個問題：

示例 #1 會被空字符攻擊的代碼


<?php
$file = $_GET['file']; // "../../etc/passwd\0"
if (file_exists('/home/wwwrun/'.$file.'.php')) {
    // 當(dāng) /home/wwwrun/../../etc/passwd 文件存在的時候 file_exists 將會返回 true
    include '/home/wwwrun/'.$file.'.php';
    // 將會加載 /etc/passwd 文件
}
?>

因此，在文件系統(tǒng)操作中都應(yīng)該正確檢查任何被污染的字符串。這是上個示例的改進(jìn)版本：

示例 #2 驗證輸入的正確性


<?php
$file = $_GET['file']; 

// 對值進(jìn)行白名單檢查
switch ($file) {
    case 'main':
    case 'foo':
    case 'bar':
        include '/home/wwwrun/include/'.$file.'.php';
        break;
    default:
        include '/home/wwwrun/include/main.php';
}
?>