unserialize()过滤机制

最新推荐文章于 2023-03-27 18:56:18 发布
最新推荐文章于 2023-03-27 18:56:18 发布
阅读量181 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/JdsyJ/p/7503349.html
版权

PHP7 增加了可以为 unserialize() 提供过滤的特性,可以防止非法数据进行代码注入,提供了更安全的反序列化数据。

实例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<?php 
class MyClass1 {  
    public $obj1prop ;    
 
class MyClass2 { 
    public $obj2prop
 
$obj1 = new MyClass1(); 
$obj1 ->obj1prop = 1; 
 
$obj2 = new MyClass2(); 
$obj2 ->obj2prop = 2; 
 
$serializedObj1 = serialize( $obj1 ); 
 
$serializedObj2 = serialize( $obj2 ); 
 
// 默认行为是接收所有类 
// 第二个参数可以忽略 
// 如果 allowed_classes 设置为 false, unserialize 会将所有对象转换为 __PHP_Incomplete_Class 对象 
$data = unserialize( $serializedObj1 , [ "allowed_classes" => true]); 
 
//转换为所有对象到 __PHP_Incomplete_Class 对象,除了 MyClass1 和 MyClass2 
$data2 = unserialize( $serializedObj2 , [ "allowed_classes" => [ "MyClass1" , "MyClass2" ]]); 
print ( $data ->obj1prop); 
print (PHP_EOL); 
print ( $data2 ->obj2prop); 
?>

以上程序执行输出结果为:
1
2

转载于:https://www.cnblogs.com/JdsyJ/p/7503349.html

adf1256
关注
3.level3-[XCTF-unserialize3]-[CVE-2016-7124]
qwsn
11-19 252
0x01、Web 1.XCTF-unserialize3 第一步:开启环境 图略 第二步:访问题目链接,发现了一段php代码,如下所示 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-95BsdC0I-1605762236401)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20201107140737760.png)] 第三步:分析代码,很明显这里有一个魔术方法__wakeup,
php7过滤,PHP7过滤unserialize()
weixin_35569211的博客
04-14 109
PHP7引入了过滤unserialize()函数以在反序列化不受信任的数据对象时提供更好的安全性。它可以防止可能的代码注入,使开发人员能够使用序列化白名单类。示例class MyClass1 {public $obj1prop;}class MyClass2 {public $obj2prop;}$obj1 = new MyClass1();$obj1->obj1prop = 1;$obj...
PHP7新特性—unserialize()过滤
wanmei002的博客
04-11 651
http://www.runoob.com/php/php-filtered-unserialize.html class MyClass1 { public $obj1prop; } class MyClass2 { public $obj2prop; } $obj1 = new MyClass1(); $obj1->obj1prop = 1; $obj2 = new...
php serialize参数,php serialize(),unserialize()
weixin_35725559的博客
03-10 156
序列化serialize()与反序列化unserialize():序列化serialize():就是将一个变量所代表的 “内存数据”转换为“字符串”的形式,并持久保存在硬盘(写入文件中保存)上的一种做法,即,把“内存数据”转换为“字符串”然后保存到文件中;反序列化unserialize():就是将序列化之后保存在硬盘(文件)上的“字符串数据”恢复为其原来的内存形式的变量数据的一种做法,即,把文件中...
php unserialize 非关联数组_原创干货 | php反序列化那些事
weixin_39708557的博客
11-29 628
点击上方“蓝字”带你去看小星星导图开头一张图,内容全靠编序列化与反序列化在 PHP中,序列化使用 serialize()函数将对象转化为可传输的字符串,反序列化则使用unserialize() 将字符串还原为对象。序列化结果分析解释一下不同数据类型序列化的结果:<SOAP-ENV:Envelopexmlns:SOAP-ENV="http://schemas.xmlsoap.org/...
php unserialize()函数,在PHP7中如何使用过滤unserialize()函数
weixin_31937289的博客
03-16 298
unserialize - 从已存储的表示中创建 PHP 的值PHP7 引入了过滤 unserialize () 函数,以便在不受信任的数据上反序列化对象时提供更好的安全性。它可以防止可能的代码注入,并使开发人员能够将可以不序列化的类列入白名单。示例...
浅谈php serialize()与unserialize()的用法
12-18
此外,序列化可能存在安全风险,如代码注入问题,因此在使用时应确保数据来源可靠,并对输入进行适当的过滤和验证。 总的来说,`serialize()` 和 `unserialize()` 是PHP中用于数据持久化和传输的重要工具,它们允许...
PHP7 新特性:unserialize、 IntlChar、CSPRNG.md
最新发布
06-13
1. **验证和过滤输入** - **了解数据来源**:确保序列化的数据是由可信来源产生的。对于来自外部的数据,要格外小心。 - **白名单验证**:确保输入只包含预期的类和属性。例如,可以通过创建一个白名单来限定允许...
信息安全_数据安全_9_ZN2018_WV_-_PHP_unserialize.pdf
08-21
1. 对所有外部输入进行严格的验证和过滤,特别是那些可能被用来调用`unserialize`的值。 2. 避免在不受信任的数据源中存储或传递序列化的PHP对象。 3. 使用安全的序列化库或JSON等其他格式来存储和传输数据。 4. ...
PHP留言板缓存机制全攻略:提升性能,减少数据库压力,打造流畅体验
缓存机制是一种将频繁访问的数据存储在临时空间中的技术,以提高访问速度和减少系统开销。在PHP留言板中,缓存机制可以显著提高留言的读取效率,提升用户体验。 缓存机制的工作原理是将留言数据从数据库中取出后,...
php 过滤 class,PHP7过滤unserialize()
weixin_31588005的博客
04-13 170
PHP7引入了过滤unserialize()函数以在反序列化不受信任的数据对象时提供更好的安全性。它可以防止可能的代码注入,使开发人员能够使用序列化白名单类。示例class MyClass1 {public $obj1prop;}class MyClass2 {public $obj2prop;}$obj1 = new MyClass1();$obj1->obj1prop = 1;$obj...
unserialize3(php序列化、反序列化及绕过)
Welcome To Myon'Blog !
03-27 781
PHP基础知识与理解,__wakeup()函数,new函数,PHP的序列化与反序列化,局部变量与全局变量,payload构造,脚本编写,绕过,get传参
关于unserialize绕过__wakeup
https://www.cnblogs.com/zpchcbd/
04-26 1479
unserialize 和 serialize的注意点: __construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数) __destruct():当对象被销毁时会自动调用。(析构函数) __wakeup():unserialize() 时会自动调用。 DEMO class Demo { public $data; ...
http路径转file会变成反斜杠_最全的PHP反序列化漏洞的理解和应用
weixin_39931923的博客
11-27 418
原创:f1r3K0合天智汇php反序列化漏洞,又叫php对象注入漏洞,是一种常见的漏洞,在我们进行代码审计以及CTF中经常能够遇到。01学习前最好提前掌握的知识PHP类与对象(https://www.php.net/manual/zh/language.oop5.phpPHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php...
PHP源码中unserialize函数引发的漏洞分析
cnbird's blog
03-07 1585
0×01 unserialize函数的概念 首先看下官方给出的解释:unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化,则返回 FALSE。若被解序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wak
PHP的学习--新特性
weixin_33850890的博客
08-31 154
最近做的项目使用了 php7,但感觉有很多新特性没有用起来。就想总结一下,一些可能会用到的新特性。之前使用的环境是 php5.4,所有也会有 php5.5 和 php5.6 的特性总结进来,这里只列出我觉得在项目中可能用到的特性,主要内容来自 php手册的附录。 Generators (PHP 5 &gt;= 5.5.0, PHP 7) 通过添加 yield 关键字支持了 generators,G...
php serialize()与unserialize()的用法
苦艾文艺
08-22 4386
对于 serialize()与unserialize(),php官方文档中是这样解释的:       serialize — Generates a storable representation of a value       翻译:serialize — 产生一个可存储的值的表示       unserialize — Creates a PHP value from a stored
java 反序列化 PHP格式
gw的博客
08-18 2282
方式1 <!--Java 反序列化 php 序列化后的对象--> <dependency> <groupId>com.xk72</groupId> <artifactId>pherialize</artifactId> <versi...
渗透测试基础 -unserialize反序列化漏洞
weixin_45488495的博客
05-04 957
渗透测试基础-unserialize反序列化漏洞什么是序列化什么是反序列化类 | 对象魔术方法反序列化靶场演练漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! 什么是序列化 serialize 为 序列化的意思 unserialize 为 取消 序列化,在这理解为反序列化 那先来说一下,什么是序列化?: 序列化(serialize)是将对象的状态信息转换为可以储存或传输的形式的过程。在序列化期间对象将其当前状态写入到临时
unserialize
08-29
当使用serialize函数将一个对象序列化为字符串后,可以使用unserialize函数将其还原为原始的对象。 在使用unserialize函数时,如果被反序列化的字符串中包含有特殊的魔术方法(magic methods)如__construct、__...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值