先來說說php變數的命名規則,百度下一抓一大把:
(1) PHP的變數名區分大小寫;
(2) 變數名必須以貨幣符號$開始;
(3) 變數名開頭可以以底線開始;
(4) 變數名不能以數字字元開頭.
其實所有編程都類似的命名規範就是:
1. 變數第一個字元最好是 字母或_,不能以數字開頭
2. 第二個字元開始允許 數字,字母,_
好了,差不多就是這樣了,但是這不是我們要說的重點。
今天我們說說 PHP 變數的可用字元,不僅僅是 數字,字母,_ 哦。
前幾天QQ上一朋友發我一個shell,是加密過的,通篇亂碼,不過上面有注釋,叫做 “神盾加密” 好霸氣的樣子。
裡面用了一些比較生僻的知識點,其中最明顯的就是變數名,所以今天我們先從變數開始講。
當然網上我也沒找到權威的質料強有力的說明PHP的變數名可用字元的資訊,所以我只能自己測試了。(英文不好,沒辦法Google到有利的證據)
先來看下我所用的方法,(如果你有更好的方法,希望分享下。)
複製代碼 代碼如下:
<?php
if ($_POST) {
$chr = chr($_POST['chr']);
eval('$'.$chr."=1;");
echo 'ok';
exit;
}
?>
<!doctype html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>test</title>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.js"></script>
</head>
<body>
<script>
for(var i = 0x00; i <= 0xFF; i++) { // 0x00 - 0xFF 255個字元
$.ajaxSettings.async = false; // 同步模式, 為了按順序返回資料
$.post( "?", {chr: i}, (function (data) { // post i 給 php 解析
data === 'ok' && console.log( "\\x"+(i).toString(16) ); // 如果只返回 ok 說明能正常執行,否則會拋出異常
});
}
</script>
</body>
</html>
代碼還算比較簡單,PHP 部分只負責解析每一個字元當作變數名的執行結果是否會拋出溢出。
比如 字元 a 那麼會解析 eval('$a=1;'); 這樣的結果肯定沒問題,所以不會拋出異常,返回結果就是 ok 字元。
如果 字元 - 那麼會解析 eval('$-=1;'); 這明顯是不對的,所以會拋出 PHP Parse error: syntax error, unexpected '-', expecting T_VARIABLE or '$' 和 ok 字元。
而下面的 ajax 部分者正是利用返回結果是否為 'ok' 而判斷是否是有效變數名。
看看執行後的結果是什麼吧:
複製代碼 代碼如下:
"\x41, \x42, \x43, \x44, \x45, \x46, \x47, \x48, \x49, \x4a, \x4b, \x4c, \x4d, \x4e, \x4f, \x50, \x51, \x52, \x53, \x54, \x55, \x56, \x57, \x58, \x59, \x5a, \x5f, \x61, \x62, \x63, \x64, \x65, \x66, \x67, \x68, \x69, \x6a, \x6b, \x6c, \x6d, \x6e, \x6f, \x70, \x71, \x72, \x73, \x74, \x75, \x76, \x77, \x78, \x79, \x7a, \x7f, \x80, \x81, \x82, \x83, \x84, \x85, \x86, \x87, \x88, \x89, \x8a, \x8b, \x8c, \x8d, \x8e, \x8f, \x90, \x91, \x92, \x93, \x94, \x95, \x96, \x97, \x98, \x99, \x9a, \x9b, \x9c, \x9d, \x9e, \x9f, \xa0, \xa1, \xa2, \xa3, \xa4, \xa5, \xa6, \xa7, \xa8, \xa9, \xaa, \xab, \xac, \xad, \xae, \xaf, \xb0, \xb1, \xb2, \xb3, \xb4, \xb5, \xb6, \xb7, \xb8, \xb9, \xba, \xbb, \xbc, \xbd, \xbe, \xbf, \xc0, \xc1, \xc2, \xc3, \xc4, \xc5, \xc6, \xc7, \xc8, \xc9, \xca, \xcb, \xcc, \xcd, \xce, \xcf, \xd0, \xd1, \xd2, \xd3, \xd4, \xd5, \xd6, \xd7, \xd8, \xd9, \xda, \xdb, \xdc, \xdd, \xde, \xdf, \xe0, \xe1, \xe2, \xe3, \xe4, \xe5, \xe6, \xe7, \xe8, \xe9, \xea, \xeb, \xec, \xed, \xee, \xef, \xf0, \xf1, \xf2, \xf3, \xf4, \xf5, \xf6, \xf7, \xf8, \xf9, \xfa, \xfb, \xfc, \xfd, \xfe, \xff"
整理後發現是這樣的16進位資料,當然看不懂沒關係,看下轉義後的結果:
複製代碼 代碼如下:
"A, B, C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y, Z, _, a, b, c, d, e, f, g, h, i, j, k, l, m, n, o, p, q, r, s, t, u, v, w, x, y, z, , ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, , ¡, ¢, £, ¤, ¥, ¦, §, ¨, ©, ª, «, ¬, , ®, ¯, °, ±, ², ³, ´, µ, ¶, ·, ¸, ¹, º, », ¼, ½, ¾, ¿, À, Á, Â, Ã, Ä, Å, Æ, Ç, È, É, Ê, Ë, Ì, Í, Î, Ï, Ð, Ñ, Ò, Ó, Ô, Õ, Ö, ×, Ø, Ù, Ú, Û, Ü, Ý, Þ, ß, à, á, â, ã, ä, å, æ, ç, è, é, ê, ë, ì, í, î, ï, ð, ñ, ò, ó, ô, õ, ö, ÷, ø, ù, ú, û, ü, ý, þ, ÿ"
除了前面的 A-Z_a-z 是我們熟悉的,後面的那些亂七八糟的東西竟然也能當作正常的變數名,簡直不可思議。
其實只是PHP拓展了變數名的字元範圍,在 A-Z_a-z 之上,將變數可用字元範圍拓展到了 \x7f-\xff。
所以,第一個字元範圍應該是 [a-zA-Z_\x7f-\xff]
那麼第二個字元是否也是這樣能,我們繼續測試下。
將上面 php 代碼裡的 eval('$'.$chr."=1;"); 改成 eval('$a'.$chr."=1;"); 儲存測試、
複製代碼 代碼如下:
"\x9, \xa, \xd, \x20, \x30, \x31, \x32, \x33, \x34, \x35, \x36, \x37, \x38, \x39, \x41, \x42, \x43, \x44, \x45, \x46, \x47, \x48, \x49, \x4a, \x4b, \x4c, \x4d, \x4e, \x4f, \x50, \x51, \x52, \x53, \x54, \x55, \x56, \x57, \x58, \x59, \x5a, \x5f, \x61, \x62, \x63, \x64, \x65, \x66, \x67, \x68, \x69, \x6a, \x6b, \x6c, \x6d, \x6e, \x6f, \x70, \x71, \x72, \x73, \x74, \x75, \x76, \x77, \x78, \x79, \x7a, \x7f, \x80, \x81, \x82, \x83, \x84, \x85, \x86, \x87, \x88, \x89, \x8a, \x8b, \x8c, \x8d, \x8e, \x8f, \x90, \x91, \x92, \x93, \x94, \x95, \x96, \x97, \x98, \x99, \x9a, \x9b, \x9c, \x9d, \x9e, \x9f, \xa0, \xa1, \xa2, \xa3, \xa4, \xa5, \xa6, \xa7, \xa8, \xa9, \xaa, \xab, \xac, \xad, \xae, \xaf, \xb0, \xb1, \xb2, \xb3, \xb4, \xb5, \xb6, \xb7, \xb8, \xb9, \xba, \xbb, \xbc, \xbd, \xbe, \xbf, \xc0, \xc1, \xc2, \xc3, \xc4, \xc5, \xc6, \xc7, \xc8, \xc9, \xca, \xcb, \xcc, \xcd, \xce, \xcf, \xd0, \xd1, \xd2, \xd3, \xd4, \xd5, \xd6, \xd7, \xd8, \xd9, \xda, \xdb, \xdc, \xdd, \xde, \xdf, \xe0, \xe1, \xe2, \xe3, \xe4, \xe5, \xe6, \xe7, \xe8, \xe9, \xea, \xeb, \xec, \xed, \xee, \xef, \xf0, \xf1, \xf2, \xf3, \xf4, \xf5, \xf6, \xf7, \xf8, \xf9, \xfa, \xfb, \xfc, \xfd, \xfe, \xff"
發現結果多了好多字元,其實有一部分我們是要去掉的,比如 \x20 其實就是 空格,相當於 eval('$a =1;'); 而已,當然是能正常執行的。
除了空格,還有 \t\r\n 都去掉因為這些也是PHP文法說允許的 \t=\x9,\n=\xa,\r=\xd,所以我們要去掉結果中的前4個資料\x9, \xa, \xd, \x20,
最終得到的結果其實只是多了 \x30, \x31, \x32, \x33, \x34, \x35, \x36, \x37, \x38, \x39 熟悉 ascii 的人也許一眼就看出來了,這就是數字 0-9
所以第一個字元範圍應該是 [\w\x7f-\xff] 對正則不熟的也許會覺得怎麼不是 [0-9a-zA-Z_\x7f-\xff],其實 \w 就是 0-9a-zA-Z_
也許有人會說 $$a; ${$a}; 這樣的變數呢?
我覺得這個已脫離了變數命名的範圍了,不是麼。
好了,關於 php 變數可用字元的知識點分享完畢了,如果有哪說的不對的,請留言,我會及時改正以免誤導大家。
我的猜測: ascii 範圍 0-127(\x00-\x7f), latin1 範圍 0-255(\x00-\xff),也許PHP就是將範圍擴充到 latin1 字元集了,當然我沒看過PHP源碼,只能說是個猜想而已。