php7过滤,PHP7过滤unserialize()

最新推荐文章于 2021-04-14 13:37:30 发布
最新推荐文章于 2021-04-14 13:37:30 发布
阅读量108 收藏
点赞数
文章标签: php7过滤

PHP7引入了过滤 unserialize()函数以在反序列化不受信任的数据对象时提供更好的安全性。它可以防止可能的代码注入,使开发人员能够使用序列化白名单类。

示例

class MyClass1 {

public $obj1prop;

}

class MyClass2 {

public $obj2prop;

}

$obj1 = new MyClass1();

$obj1->obj1prop = 1;

$obj2 = new MyClass2();

$obj2->obj2prop = 2;

$serializedObj1 = serialize($obj1);

$serializedObj2 = serialize($obj2);

// default behaviour that accepts all classes

// second argument can be ommited.

// if allowed_classes is passed as false, unserialize converts all objects into __PHP_Incomplete_Class object

$data = unserialize($serializedObj1 , ["allowed_classes" => true]);

// converts all objects into __PHP_Incomplete_Class object except those of MyClass1 and MyClass2

$data2 = unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]);

print($data->obj1prop);

print("
");

print($data2->obj2prop);

?>

这将在浏览器产生以下输出 -

1

2

巫德海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP7 新特性:unserialize、 IntlChar、CSPRNG.md
06-13
### PHP7 新特性详解:unserialize、IntlChar、CSPRNG #### 一、`unserialize`函数的安全性 `unserialize`是PHP中一个非常重要的函数,它用于将序列化后的字符串转换回PHP变量。序列化是将变量转换为可存储或传输...
PHP 7 新特性
01-03
PHP 7 新特性 PHP 7+ 版本极大地改进了性能,在一些WordPress基准测试当中,性能可以达到PHP 5.6的3倍。...PHP 过滤 unserialize() 8 PHP IntlChar() 9 PHP CSPRNG 10 PHP 7 异常 11
unserialize()过滤机制
adf1256的博客
09-11 180
PHP7 增加了可以为 unserialize() 提供过滤的特性,可以防止非法数据进行代码注入,提供了更安全的反序列化数据。 实例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 ...
php unserialize()函数,在PHP7中如何使用过滤unserialize()函数
weixin_31937289的博客
03-16 275
unserialize - 从已存储的表示中创建 PHP 的值PHP7 引入了过滤 unserialize () 函数,以便在不受信任的数据上反序列化对象时提供更好的安全性。它可以防止可能的代码注入,并使开发人员能够将可以不序列化的类列入白名单。示例...
PHP7新特性—unserialize()过滤
wanmei002的博客
04-11 648
http://www.runoob.com/php/php-filtered-unserialize.html class MyClass1 { public $obj1prop; } class MyClass2 { public $obj2prop; } $obj1 = new MyClass1(); $obj1->obj1prop = 1; $obj2 = new...
php7过滤,PHP7过滤unserialize
weixin_29838501的博客
04-14 134
PHP7 的 PHP7过滤unserializePHP7引入了过滤unserialize()函数以在反序列化不受信任的数据对象时提供更好的安全性。它可以防止可能的代码注入,使开发人员能够使用序列化白名单类。示例class MyClass1 {public $obj1prop;}class MyClass2 {public $obj2prop;}$obj1 = new MyClass1();$ob...
浅析PHP7新功能及语法变化总结
10-18
PHP7还增加了过滤器,以提升对象反序列化时的安全性。通过这种机制,开发者可以限制unserialize()函数允许的类,以防止潜在的代码执行漏洞。例如: ```php printf('%x', IntlChar::CODEPOINT_MAX); echo IntlChar::...
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
浅谈php serialize()与unserialize()的用法
12-18
PHP编程中,`serialize()` 和 `unserialize()` 是两个非常重要的函数,它们主要用于数据的序列化和反序列化操作。这两个函数对于数据的存储、传输以及跨进程通信具有重要作用。 `serialize()` 函数的主要作用是将...
会产生php7内存泄露,为什么 PHP unserialize 会有内存泄露
weixin_39980893的博客
03-22 140
最近写一个 PHP 服务,PHP 版本为 swoole PHP 环境二进制版 7.x,其中部分逻辑涉及到把 PHP 变量写入到文件中,后续处理的时候读出来,一开始使用 serializeunserialize 实现,但是运行不久就直接超内存了,最后发现是 unserialize 造成的内存泄露例子:测试数据: serialize 序列化字符串[www@chengqm test]$ cat s...
php反序列化注入,浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
weixin_42629522的博客
03-09 174
1.漏洞产生的原因#### 正常的反序列化语句是这样的$a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"abcdef";}';但是如果写成这样$b='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"123456";}s:8:"password";s:6:"abcde";}'...
php 过滤 class,PHP7过滤unserialize()
weixin_31588005的博客
04-13 150
PHP7引入了过滤unserialize()函数以在反序列化不受信任的数据对象时提供更好的安全性。它可以防止可能的代码注入,使开发人员能够使用序列化白名单类。示例class MyClass1 {public $obj1prop;}class MyClass2 {public $obj2prop;}$obj1 = new MyClass1();$obj1->obj1prop = 1;$obj...
php unserialize bool(false),phpunserialize返回false的解决方法
weixin_42128270的博客
03-28 199
phpunserialize返回false的解决方法发布于 2014-09-30 06:00:01 | 99 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP...
unserialize的整型溢出错误
Rainyse CSDN Blog
10-30 825
同事使用wnmp环境做本地开发,但是当从linux测试服务器中导出数据在本地调试的时候,发现使用unserialize函数解析序列化数据时报错: Notice: unserialize() [function.unserialize]: Error at offset 741 of 1242 bytes in …… 经过调试之后我发现是因为反序列化时整形数据溢出导致的,我建议其暂时
php7的新特征
qq_38234594的博客
01-18 267
1、函数的行参类型可以是标量,在 PHP 5 中只能是类名、接口、array 或者 callable (PHP 5.4,即可以是函数,包括匿名函数),现在也可以使用 string、int、float和 bool 了。标量的模式有强制模式和严格模式两种, 模式声明:declare(strict_types=1);  默认情况值为0,值为1代表为严格校验的模式  强制模式: 严格模式: ...
php serialize()与unserialize()的用法
苦艾文艺
08-22 4383
对于 serialize()与unserialize(),php官方文档中是这样解释的:       serialize — Generates a storable representation of a value       翻译:serialize — 产生一个可存储的值的表示       unserialize — Creates a PHP value from a stored
php unserialize返回false的解决办法
fangdong88的博客
05-31 1089
php unserialize失败返回false原因多半是序列化数据时的编码与反序列化时的编码不一致,导致单引号等特殊字符计算长度不正确,所以解决办法是重新计算长度。百度了很多办法,全是坑呀,百度的那些办法根本没用,都是错的。所以自己写了个,绝对有效!反序列化时用下面函数处理下就行function common_unserialize($serial_str) { $serial...
PHP 7.4的新增特性(功能,弃用,速度)
热门推荐
Mr. 亮先生的博客
10-21 2万+
PHP 下一个PHP 7里程版本PHP 7.4预计将于2019年11月28日正式发布。因此,现在该让我们深入研究一些最令人兴奋的新增功能和新功能,这些功能将使PHP更快,更可靠。 。 实际上,即使PHP 7.4显着提高了性能并提高了代码的可读性,PHP 8仍将是PHP性能的真正里程碑,因为JIT包含的建议已得到批准。 无论如何,今天我们正在经历一些我们期望的PHP 7.4最有趣的功能和更...
PHP代码审计:RCE、文件操作与安全漏洞解析
7. **变量覆盖**:`extract()`, `parse_str()`, `import_request_variables()`, `$$`等可能导致变量覆盖,攻击者可能通过这些方式篡改内部变量,影响程序逻辑。 8. **反序列化**:`serialize()`和`unserialize()`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值