PHP的switch陷阱

自从上个月经历了博客内容丢失的风波，再加上最近确实比较忙，没心情更新博客了。

有空就重新做下博客的系统。

这几天做开发发现一个莫名其妙的问题，就是百度安全检测网站有XSS漏洞，而那个字段是经过过滤的。大致的过滤流程如下：

可以看出，这个字段要么是数字格式，按天来计算，要么是时间格式，时间格式不对会自动处理成当天日期。

$date=$_GET['date'];

switch($date){
	case 1:
	$val=date_add(date_create(),new DateInterval('P1D'));
	break;
	case 2:
	$val=date_add(date_create(),new DateInterval('P2D'));
	break;
	default:
	if(strtotime($date)){
		$val=new DateTime($date);
	}else{
		$val=new DateTime();
	}
}
echo $val->format('Y-m-d H:i:s');

那又是怎么形成XSS的呢？

原来就是因为switch中的选项使用了数值，而变量是从外部获取的字符串，所以执行switch的时候内部有一个类型的转换，这样，如果提交的参数是可转换的，并且转换后的值在列表中，那么，原始值没有做重新赋值，就会导致原始值在下面使用的时候还是字符串，被转换前的字符串。大家都知道，PHP转换整型是判断开始处的字符，所以只要提交的参数以数字开头，转换的时候就可以成功转换成数字，如果不对原始值处理，原始值的数字后面可以附加任何内容(比如:传入1和 1"onload="" 结果一样)。好危险啊！~

要解决这个问题，简单点，需要在选项上明确设置字符串,如：

$date=$_GET['date'];
switch($date){
	case "1":
	$val=date_add(date_create(),new DateInterval('P1D'));
	break;
	case "2":
	$val=date_add(date_create(),new DateInterval('P2D'));
	break;
	default:
	if(strtotime($date)){
		$val=new DateTime($date);
	}else{
		$val=new DateTime();
	}
}
echo $val->format('Y-m-d H:i:s');

这样判断的时候就不会经过类型转换，只要字符串不同结果就不一样。