如何用PHP写一个hello world - 3
过去一年了,我终于要写这个最后一篇(划掉,看来还可以水一篇)。我们已经实现了一个可以被PHP调用的简单hello world,那么最后该用PHP FFI调用它了。
0x00 FFI
首先大致了解一下FFI:FFI foreign function interface,外部函数接口,是一种从一种语言调用其他语言(或者说原生)函数的方法。在linux上由libffi实现(虽然其他系统大概上也是libffi干这个活)。
它工作其实就很简单,告诉libffi怎么调用一个原生函数,然后libffi找到它,并按照要求调用它。
例如这个C函数签名:
void zif_hacky_hello(void *ed, zval* ret);
libffi根据它调用dlsym(3)获取zif_hacky_hello的入口点地址。根据它的返回值void和参数类型void *, void *,libffi准备对应的调用方法。例如在linux上的x86_64 sysvabi,将传入的参数的地址分别放在rdi,rsi中,然后直接call这个函数的地址就行;如果是x86就压栈,有浮点数就用xmm ymm寄存器传参啥的。这里就不展开叙述了
ffi是可以设置回调的,如果我向ffi声明了下面的东西
typedef int (*some_callback_t)(int a);
int some_func(some_callback_t callback);
那么ffi可以将“本地的函数”作为callback参数传入some_func。实现上,大致是libffi会准备一个特殊的函数(trampoline跳床),这个函数根据被调用时的上下文解析传入的参数,并将它喂给本地的目标函数,并将本地的目标函数的返回返回给调用它的外部函数。
除此之外ffi可以读取外部的变量:(毕竟所谓的函数只是一个地址,这个地址上是数据当然也可以读取)
int errno;
0x10 PHP中使用FFI
PHP中的FFI是由Dmitry Stogov大佬实现的,作为扩展包含在7.4+源码中。构建php时使用--with-ffi来开启。要使用FFI,PHP必须是shared动态链接的,这是因为GLIBC的抽象设计,静态链接用不了很合理,但static-pie构建中dlso相关设施也不给你用(uclibc bionic musl啥的也继承了这点)
PHP中的FFI设计是面向对象的:
final class FFI {
/* Constants */
public const int __BIGGEST_ALIGNMENT__;
/* Methods */
public static addr(FFI\CData &$ptr): FFI\CData
public static alignof(FFI\CData|FFI\CType &$ptr): int
public static arrayType(FFI\CType $type, array $dimensions): FFI\CType
public cast(FFI\CType|string $type, FFI\CData|int|float|bool|null &$ptr): ?FFI\CData
public static cdef(string $code = "", ?string $lib = null): FFI
public static free(FFI\CData &$ptr): void
public static isNull(FFI\CData &$ptr): bool
public static load(string $filename): ?FFI
public static memcmp(string|FFI\CData &$ptr1, string|FFI\CData &$ptr2, int $size): int
public static memcpy(FFI\CData &$to, FFI\CData|string &$from, int $size): void
public static memset(FFI\CData &$ptr, int $value, int $size): void
public new(FFI\CType|string $type, bool $owned = true, bool $persistent = false): ?FFI\CData
public static scope(string $name): FFI
public static sizeof(FFI\CData|FFI\CType &$ptr): int
public static string(FFI\CData &$ptr, ?int $size = null): string
public type(string $type): ?FFI\CType
public static typeof(FFI\CData &$ptr): FFI\CType
}
我们来写个上面提到的FFI的常见功能的demo:
调用一个函数:
<?php
// 先告诉ffi动态库libc.so.6有这么个printf(3)函数
// 当然你也可也把第二个参数去掉,让libffi在整个flat namespace里找
$ffi = \FFI::cdef(<<<'C'
int printf(const char *format, ...);
C, 'libc.so.6');
// 然后调用它,PHP的ffi会自动把php字符串转化成C字符串,然后喂给C函数printf
$ret = $ffi->printf("hello\n");
var_dump($ret);
结果:
hello
int(6)
设置回调,我们用qsort(3)举个例子:
<?php
$ffi = \FFI::cdef(<<<'C'
void qsort(void *base, size_t nel, size_t width, int (*compar)(const void *, const void *));
C);
// php的数组
$phpArray = [1,2,5,2,3,7,1,2,7];
// 将这个数组放到一个buffer里
$buf = $ffi->new("uint32_t[" . count($phpArray) . "]");
foreach ($phpArray as $i => $item) {
$buf[$i] = $item;
}
var_dump($buf);
// 这是我们的回调函数,由于上面形参声明的是const void *, 所以参数会以\FFI\CData传入
function compare(\FFI\CData $a,\FFI\CData $b): int
{
global $ffi;
$intPA = $ffi->cast("uint32_t *", $a);
$intA = $intPA[0];
$intPB = $ffi->cast("uint32_t *", $b);
$intB = $intPB[0];
printf("compare %d vs %d: %d\n", $intA, $intB, $intA - $intB);
return $intA - $intB;
}
$ffi->qsort(
$buf,
count($phpArray),
4 /* 我们上面用的L,机器字节序uint32,所以这里用4 */,
"compare"
);
// 排序过后的数组
var_dump($buf);
结果
object(FFI\CData:uint32_t[9])#2 (9) {
[0]=>
int(1)
[1]=>
int(2)
[2]=>
int(5)
[3]=>
int(2)
[4]=>
int(3)
[5]=>
int(7)
[6]=>
int(1)
[7]=>
int(2)
[8]=>
int(7)
}
compare 1 vs 2: -1
compare 5 vs 2: 3
compare 1 vs 2: -1
compare 2 vs 2: 0
compare 3 vs 7: -4
compare 2 vs 7: -5
compare 1 vs 2: -1
compare 3 vs 1: 2
compare 3 vs 2: 1
compare 3 vs 7: -4
compare 7 vs 7: 0
compare 1 vs 1: 0
compare 2 vs 1: 1
compare 2 vs 2: 0
compare 2 vs 2: 0
compare 5 vs 2: 3
compare 5 vs 3: 2
compare 5 vs 7: -2
object(FFI\CData:uint32_t[9])#2 (9) {
[0]=>
int(1)
[1]=>
int(1)
[2]=>
int(2)
[3]=>
int(2)
[4]=>
int(2)
[5]=>
int(3)
[6]=>
int(5)
[7]=>
int(7)
[8]=>
int(7)
}
获取/修改一个变量:
<?php
$ffi = \FFI::cdef(<<<'C'
int printf(const char *format, ...);
int errno;
ssize_t read(int fd, void *buf, size_t count);
C);
$ffi->printf("errno is %d\n", $ffi->errno);
$ffi->errno = 22 /* EINVAL */;
$ffi->printf("errno now is %d\n", $ffi->errno);
// 这个fd还不存在,根据man,会返回-1,设置errno为EBADF
$ffi->read(12345678, null, 0);
// 会显示9 EBADF
$ffi->printf("after read, errno is %d\n", $ffi->errno);
// printf(的地址)当然也是一个值,由于ASLR,这个值是随机的
$ffi->printf("printf is %p\n", $ffi->printf);
结果:
errno is 0
errno now is 22
after read, errno is 9
printf is 0x72da9026bc40
好力,ffi大概就是这些了,离调用我们的PHP hello world只差调用了,改天再写吧