如下图所示,'240610708' 和 'QNKCDZO' 是两个完全不同的字符串,它们的 MD5 哈希值自然也不相同。可为什么明明不同,PHP 还会认为这两个哈希值相等呢?更离谱的是,从 2004 年底的 PHP 4.3.10 版本开始,这个“问题”至今一直存在,所有后续版本都会认为它们是相等的!
难道是 PHP 又出 bug 了?还是这背后另有隐情?让我们一探究竟!
这看起来的确像是 PHP 的一个 bug。但实际上,这只是 == 弱类型比较运算符带来的副作用。这个副作用的危害在于,只要还在用 == 进行哈希值比较,就无疑会埋下安全隐患!
我们先来看看这两个本不相同的 MD5 哈希值有什么特点,
0e462097431906509019562988736854
0e830400451993494058024219903391不难发现,这两个哈希值都以 0e 开头,并且 0e 之后全是数字。
在 PHP 中,对于形如 '0e[0-9]+' 的字符串,PHP 会尝试将它解析为用科学计数法表示的数字,即:
0e462097431906509019562988736854
=> 0 × 10的462097431906509019562988736854次方 = 0
0e830400451993494058024219903391
=> 0 × 10的830400451993494058024219903391次方 = 0由于 0 乘以任何数都等于 0,所以实际比较的是 0 == 0 吗?结果当然是 true,这才导致了这个看似 bug 的现象。
再从 PHP 源代码的角度来看,如果弱类型比较运算符 == 两边的值都是字符串,那么会执行 zendi_smart_strcmp() 这个函数。而这个函数最初要做的,就是试图通过 is_numeric_str_function() 将字符串转换成对应的数字,成功转换成数字后,再对数字进行比较。
对于形如 '0e[0-9]+' 的科学计数法字符串,无论 e 之后是什么,都会被转换成浮点数 0,0 自然等于 0 喽,所以 == 比较的结果为 true。
了解了不同的 MD5 哈希值会被 PHP 中的 == 判定为相同的原理后,就再来看看这个问题带来的危害吧。
显然,这个问题可能导致严重的安全漏洞:如果某个系统使用 md5($password . $salt) == $stored_hash 来验证用户身份,那么攻击者就可能找到另一个字符串,即使不是正确的密码,但加盐后的 MD5 哈希值满足 '0e[0-9]+' 的条件,而刚好来自数据库中的 $stored_hash 也是 0e 开头之后全是数字,这样的话攻击者就可以绕过密码验证了。
那如何堵住这个安全漏洞呢?
既然漏洞是由弱类型比较运算符 == 引起的,那最简单的办法就是改用 === 进行严格比较。而更好的方法是,使用 PHP 5.6+ 提供的专门用于 哈希值比较 的安全函数 hash_equals()。该函数还能通过牺牲性能来防止时序攻击。其源代码的注释中写道:这是安全性敏感的代码,千万别为了追求速度去优化啊!
时序攻击(timing attack)是一种通过测量代码执行时间的微小差异来推测机密信息的攻击方式,比如对于普通的 === 比较,其执行时间会因不一致的字符的出现位置的不同而不同。例如,相较于两个字符串的第一个字符就不相同,前面的字符全部一致,只有最后一个字符不同,后者的运算时间应该更长。
而更安全的做法是改用 PHP 5.5+ 提供的 password_hash() 函数来生成哈希值,并搭配 password_verify() 函数进行校验,而不要使用 MD5 进行安全相关的哈希计算。
总之,MD5 早已不再安全,PHP 的弱类型比较 == 又让这个问题雪上加霜。在实际开发中,我们应该避免使用 MD5 进行身份验证。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。