python marshal loads failed_python – Marshal反序列化 – 不安全

最新推荐文章于 2024-04-27 00:18:59 发布
最新推荐文章于 2024-04-27 00:18:59 发布
阅读量614 收藏
点赞数
文章标签: python marshal loads failed
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35050881/article/details/114911553
版权

我在一个项目中工作,我使用cPickle快速加载文件.几天前我读到,元帅甚至可能比cPickle更快.它对我有用,但我很好奇,the documentation的这个警告是关于:

Warning

The marshal module is not intended to be secure against erroneous or maliciously constructed data. Never unmarshal data received from an untrusted or unauthenticated source.

如果我不小心,会发生什么?

解决方法:

元帅

没有已知的方法来利用元帅.实际上执行代码时

使用marshal.loads()不是我能做的事情,而是看着

marhal.c源代码,我没有看到一个明显的方法.

BTW the warning for marshal is legit — the C code that unpacks marshal data

has not been carefully analyzed against buffer overflows and so on. Remember

the first time someone broke into a system through a malicious JPEG? The same

could happen with marshal. Seriously.

我建议你阅读剩下的讨论内容;一个错误显示在哪里

解组数据会导致Python出现段错误;自Python以来,这已得到修复

2.5(这个bug可能会被滥用来执行代码).其他错误可能

但仍然存在!

此外,元帅们提到:

This is not a general “per

最低0.47元/天 解锁文章
TBLa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python marshal loads failed_在Pythonmarshal对象序列化的相关知识
weixin_29453497的博客
02-02 674
有时候,要把内存中的一个对象持久化保存到磁盘上,或者序列化成二进制流通过网络发送到远程主机上。Python中有很多模块提供了序列化与反序列化的功能,如:marshal, pickle, cPickle等等。今天就讲讲marshal模块。注意: marshal并不是一个通用的模块,在某些时候它是一个不被推荐使用的模块,因为使用marshal序列化的二进制数据格式还没有文档化,在不同版本的Python...
python marshal loads failed_python使用marshal模块序列化实例
weixin_35823403的博客
02-09 925
本文实例讲述了python使用marshal模块序列化的方法,分享给大家供大家参考。具体方法如下:先来看看下面这段代码:?12345678910111213141516171819202122232425262728 import marshal data1 = ['abc',12,23,'jb51'] #几个测试数据 data2 = {1:'aaa',b:'dad'} data3 = (1,2,...
Python marshal模块 主要函数 marshal.dump(object, file) Marshal.dumps(object) Marshal.load——《跟老吕学Python编程》
最新发布
Python老吕的博客
04-27 791
是一个强大的工具,用于在Python中处理二进制数据。通过了解它的功能和限制,你可以更有效地使用它来序列化和反序列化Python对象。然而,由于它的限制,如果你需要处理更复杂的对象或需要在不同的Python版本或平台上交换数据,你可能需要考虑使用其他序列化模块,如pickle或json。👨‍💻博主Python老吕评论,您的举手之劳将对我提供了无限的写作动力!🤞🔥《跟老吕学Python编程》《Python游戏开发实战讲解》《Python Web开发实战》《Python网络爬虫实战》
python marshal loads failed_PyArmor简单使用
weixin_34662807的博客
03-01 3094
PyArmor 是一个用于加密和保护 Python 脚本的工具。它能够在运行时刻保护 Python脚本的二进制代码不被泄露,设置加密后 Python 源代码的有效期限,绑 定加密后的Python源代码到硬盘、网卡等硬件设备。安装 PyArmor可以直接从这里 PyPi 下载, 但是更方便的方式是通过 pip ,直接 运行下面的命令进行安装:pip install pyarmor需要升级的话,执行下...
python marshal loads failed_python pickle命令执行与marshal 任意代码执行
weixin_42417004的博客
02-02 327
1.python pickle反序列化漏洞自己的理解:由于在类的__reduce__方法中提供了我们可以自定义程序如何去解序列化的方法,因此如果应用程序接受了不可信任的序列化的数据,那么就可能导致安全问题。importpickleimportosclassgen(object):def __reduce__(self):s= """dir"""returnos.system, (s,)p=gen(...
浅谈python反序列化漏洞
Lethe's Blog
11-19 2771
0x01 python序列化与反序列化 Python 的序列化和反序列化是将一个类对象向字节流转化从而进行存储和传输,然后使用的时候再将字节流转化回原始的对象的一个过程。python中的序列化操作是通过pickle模块,而该模块主要包含l dumps将dict转化为str格式,loads将str格式转化为dict格式。 dump和load与文件操作结合起来, pickle.dump(obj, f...
python使用marshal模块序列化实例
12-25
本文实例讲述了python使用marshal模块序列化的方法,分享给大家供大家参考。具体方法如下: 先来看看下面这段代码: import marshal data1 = ['abc',12,23,'jb51'] #几个测试数据 data2 = {1:'aaa',"b":'dad'} data...
详解Python中的序列化与反序列化的使用
01-20
学习过marshal模块用于序列化和反序列化,但marshal的功能比较薄弱,只支持部分内置数据类型的序列化/反序列化,对于用户自定义的类型就无能为力,同时marshal不支持自引用(递归引用)的对象的序列化。所以直接使用...
Pythonmarshal对象序列化的相关知识
01-20
Python中有很多模块提供了序列化与反序列化的功能,如:marshal, pickle, cPickle等等。今天就讲讲marshal模块。 注意: marshal并不是一个通用的模块,在某些时候它是一个不被推荐使用的模块,因为使用marshal序列...
一篇文章了解Python中常见的序列化操作
12-25
这种二进制的格式也跟Python语言的版本相关,marshal序列化的格式对不同的版本的Python是不兼容的。 marshal一般用于Python内部对象的序列化。 一般地包括: 基本类型 booleans, integers,floating point numbers...
【DL】——code = marshal.loads(raw_code) ValueError: bad marshal data (unknown type code)
怡宝2号
07-01 1482
Keras, 模型载入 code from keras.models import model_from_json import layers_builder as layers from keras.utils.generic_utils import CustomObjectScope path = "/home/darknet/CM/23_SLAM/Semantic_SLAM/Third_Part/PSPNet_Keras_tensorflow/weights/keras/pspnet101_c.
Python标准库中的marshal模块
李世铭的博客
04-03 8063
 marshal-内部的Python对象序列化         该模块包含可以以二进制格式读取和写入Python值的函数。该格式是针对Python的,但独立于机器架构问题(例如,您可以将Python值写入PC上的文件,将文件传输到Sun,并在那里读取它)。使用marshal序列化的二进制数据格式还没有文档化,它可能会在Python版本之间发生变化(尽管很少发生)。        
pythonmarshal --- 内部 Python 对象序列化
点点关注不迷路
03-07 245
pythonmarshal --- 内部 Python 对象序列化
一文了解Python常见的序列化操作
Python热爱者的博客
11-03 523
1.marshal marshal使用的是与Python语言相关但与机器无关的二进制来读写Python对象的。这种二进制的格式也跟Python语言的版本相关,marshal序列化的格式对不同的版本的Python是不兼容的。 marshal一般用于Python内部对象的序列化。 一般地包括: 基本类型 booleans, integers,floating point numbers,complex numbers 序列集合类型 strings, bytes, bytearray, tuple, list,
9.4 marshal--Python内部对象序列化
大坡3D软件开发
04-24 3597
本模块主要提供了针对Python内部对象进行保存到文件,以及从文件读取对象出来。保存到文件的格式采用二进制的方式,不过这个格式并没有文档介绍,因为本模块主要使用在Python内部临时编译代码.pyc文件进行操作,并且不考虑不同Python版本之间的兼容性。本模块存在的意义就是为了Python内部使用,比如Python内部的库等等。marshal.dump(value, file[, version
runtimeerror什么原因_runtime error 解决方法
热门推荐
weixin_39653481的博客
11-24 5万+
1:第一步键盘上同时按“win+R”键打开运行,在运行输入框中输入“regedit”,如下图所示。点击确定2:进去注册表之后,找到“HKEY_LOCAL_MACHINE/SOFTWARE/microsoft/Windows/CurrentVersion/Run”3:点击“Run”之后,在右侧中找到“runtime”的错误信息,然后将它删除就完成了,不会对电脑系统有影响4:也可以按“Ctrl+F”键...
go json.Marshal序列化/解析失败的一种情况
Mr_老冷的博客
10-22 2212
读取mysql返回struct体数据 printf时可以打印 通过json解析一直为空 经过多方测试 发现是struct内部变量命名时被写成了小写开头 猜测: go定义内部变量/函数时,小写开头为私有,大写开头为公有,print不受影响,但调用受影响 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值