Advanced Web Application

Much like Python and JavaScript, PHP is a dynamically typed language. This means that variable types 

are checked while the program is executing. Dynamic typing allows developers to be more flexible 

when using PHP. But this kind of flexibility sometimes causes unexpected errors in the program flow 

and can even introduce critical vulnerabilities into the application. 

Let’s dive into PHP type juggling, and how it can lead to authentication bypass vulnerabilities. 

PHP has a feature called “type juggling”, or “type coercion”. This means that during the comparison 

of variables of different types, PHP will first convert them to a common, comparable type. 

This in turn makes it possible to compare the number 12 to the string '12' or check whether a string 

is empty or not by using a comparison like $string == True. 

In other words, type juggling in PHP is caused by an issue of loose operations versus strict operations. 

comparison will use context to understand what type the data is. According to PHP documentation 

for  comparison  operations  at 

http://php.net/manual/en/language.operators.comparison.php

:  “If 

you compare a number with a string or the comparison involves numerical strings, then each string 

is converted to a number and the comparison performed numerically. These rules also apply to the 

switch statement. The type conversion does not take place when the comparison is === or !== as this 

involves comparing the type as well as the value (strict comparison mode).” 

 

 

© 2020 Caendra Inc. | WAPTXv2 

Download 2,34 Mb.

Do'stlaringiz bilan baham: