php7过滤,PHP7过滤unserialize()

最新推荐文章于 2022-10-20 10:22:17 发布
最新推荐文章于 2022-10-20 10:22:17 发布
阅读量104 收藏
点赞数
文章标签: php7过滤

PHP7引入了过滤 unserialize()函数以在反序列化不受信任的数据对象时提供更好的安全性。它可以防止可能的代码注入,使开发人员能够使用序列化白名单类。

示例

<?php class MyClass1 { public $obj1prop; } class MyClass2 { public $obj2prop; } $obj1 = new MyClass1(); $obj1->obj1prop = 1; $obj2 = new MyClass2(); $obj2->obj2prop = 2; $serializedObj1 = serialize($obj1); $serializedObj2 = serialize($obj2); // default behaviour that accepts all classes // second argument can be ommited. // if allowed_classes is passed as false, unserialize converts all objects into __PHP_Incomplete_Class object $data = unserialize($serializedObj1 , ["allowed_classes" => true]); // converts all objects into __PHP_Incomplete_Class object except those of MyClass1 and MyClass2 $data2 = unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]); print($data->obj1prop); print("
"); print($data2->obj2prop); ?>

这将在浏览器产生以下输出 –

1 2

¥ 我要打赏   纠错/补充 收藏

weixin_34755947
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP7 新特性:unserialize、 IntlChar、CSPRNG.md
06-13
PHP 中,`unserialize()` 函数用于将已存储的序列化字符串转换回 PHP 的值。然而,`unserialize()` 函数存在安全风险,因为它可能允许执行恶意代码或产生意外的行为,尤其是当反序列化的数据来自不可信的源时。 ...
PHP出现Notice: unserialize() [function.unserialize]: Error at offset问题的解决方案
web开发
05-24 333
今天的用PHP的时候无意的出现了用unserialize()函数转换老是返回false,我确认我的字符串是没错的,测试了很多次还是一样,没办法,启用了error_reporting(E_ALL)启用错误信息,没想到发现了Notice: unserialize() [function.unserialize]: Error at offset的信息, 因为我字符我是从数组转换过来的,所以...
TP5序列化和反序列化报错!缓存溢出
qq_41816876的博客
04-02 787
TP5序列化和反序列化报错!缓存溢出 报错截图 报错地方 * 读取缓存 * @access public * @param string $name 缓存变量名 * @param mixed $default 默认值 * @return mixed */ public function get($name, $default = false) { $filename = $thi...
tp5框架经常出现thinkphp unserialize(): Error at offset 76 of 176 bytes
zheng09131的博客
10-29 1213
使用tp框架时,跑久了经常会出现这个bug thinkphp unserialize(): Error at offset 76 of 176 bytes, 解决方法: 清缓存,runtime目录下的cache和temp都清理掉,问题解决。
unserialize()反序列化出现的问题处理
u013352320的博客
10-20 557
【代码】unserialize()反序列化出现的问题处理。
PHP 使用unserialize()反序列化报错问题
Lindong_Jen的博客
08-07 1035
1、问题描述:序列化的数组值中包含有英文下的双引号(“)、单引号(‘)、斜杆(\)等特殊字符,反序列化时会报如下错误: Notice: unserialize(): Error at offset 130 of 131 bytes in 2、问题分析:使用unserialize函数将数据反序列化时报错,后来发现是将gb2312转换成utf-8格式之后,每个中文的字节数从2个增加到3个之后导致了反序列化的时候判断字符长度出现了问题,所以需要使用正则表达式将序列化的数组中的表示字符长度的值重新计算一..
PHP 7 新特性
01-03
PHP 7 新特性 PHP 7+ 版本极大地改进了性能,在一些WordPress基准测试当中,性能可以达到PHP 5.6的3倍。...PHP 过滤 unserialize() 8 PHP IntlChar() 9 PHP CSPRNG 10 PHP 7 异常 11
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
浅谈php serialize()与unserialize()的用法
12-18
PHP编程中,`serialize()` 和 `unserialize()` 是两个非常重要的函数,它们主要用于数据的序列化和反序列化操作。这两个函数对于数据的存储、传输以及跨进程通信具有重要作用。 `serialize()` 函数的主要作用是将...
php反序列化例题.docx
07-18
因此,当反序列化从不受信任的来源接收到的数据时,请务必进行充分的验证和过滤,以防止代码注入和其他安全漏洞。 五、结论 PHP 反序列化是一个强大而灵活的功能,但同时也存在一定的安全风险。在实际使用中,需要...
php7序列化,php 7.2中未序列化字符串时出现问题
weixin_39747807的博客
03-10 79
我已经序列化了一个图像路径,并在解压它之前将它与php 7.2不一起工作时保存到数据库中。a:1:{i:0;a:3:{s:8:"fullpath";s:77:"https://www.educationfolder.com/files1/user-pics/4/142944540636159131_ml.jpg";s:5:"image";s:27:"4/142944540636159131_ml....
gzip: stdin: unexpected end of file tar: Unexpected EOF in archive tar: Unexpected EOF in archive ta
weixin_45733714的博客
04-25 6617
gzip: stdin: unexpected end of file tar: Unexpected EOF in archive tar: Unexpected EOF in archive tar: Error is not recoverable: exiting now 将windows系统中的文件直接拖入虚拟机VMware的Linux系统中,使用命令tar -zxvf 压缩包名时,会报如下错误: gzip: stdin: unexpected end of file tar: Unexpecte
PHP7.2使用扩展trie-filter进行关键词过滤
lchmyhua88的博客
07-08 2148
关键词过滤扩展,用于检查一段文本中是否出现敏感词,基于Double-Array Trie 树实现 一、安装libiconv 这个是libdatrie的依赖项 PHP7.2的用法: wget http://ftp.gnu.org/pub/gnu/libiconv/libiconv-1.14.tar.gz tar zxvf libiconv-1.14.tar.gz cd libicon...
php7 mysql 字符过滤_PHP简单字符串过滤方法示例
weixin_30166291的博客
01-30 148
本文实例讲述了PHP简单字符串过滤方法。分享给大家供大家参考,具体如下:PHP字符串的过滤方法function strFilter($str){//特殊字符的过滤方法$str = str_replace('`', '', $str);$str = str_replace('·', '', $str);$str = str_replace('~', '', $str);$str = str_repl...
php序列化腰治疗方法,php序列化serialize() 与反序列化unserialize()
weixin_35878683的博客
03-25 132
本文章以phpserialize() 和 unserialize()函数来引出我们在正常开发应用中对于序列化使用方法与使用序列化时的一些安全问题,希望对各位会带来帮助把复杂的数据类型压缩到一个字符串中serialize() 把变量和它们的值编码成文本形式unserialize() 恢复原先变量eg: 代码如下 复制代码 $stooges = array('Mo...
PHP unserialize出现Error at offset错误
drice888888的博客
04-06 1947
php //我的页面是UTF-8编码的结果为:a:2:{s:2:"en";s:21:"http://www.phpddt.com";s:2:"cn";s:6:"教程";}//我的页面是ANSI编码的结果为:a:2:{s:2:"en";s:21:"http://www.phpddt.com";s:2:"cn";s:4:"教程";} echo serialize(array('en'=>'http
php反序列化漏洞原理
最新发布
08-09
当我们从外部接收到一个序列化的数据,并使用unserialize()函数对其进行反序列化时,如果没有进行足够的验证和过滤,恶意用户可以构造一些特定的序列化数据,导致代码执行任意的PHP代码,从而可以进行远程代码执行、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值