国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

無涯教程-PHP - Filtered反序列化

2年前作者:Hi無涯教程分類:Toy博客閱讀(20)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了無涯教程-PHP - Filtered反序列化。希望對大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

PHP 7引入了Filtered unserialize()函數(shù),以在對不受信任的數(shù)據(jù)上的對象進(jìn)行反序列化時(shí)提供更好的安全性。

<?php
   class MyClass1 { 
      public $obj1prop;   
   }
   class MyClass2 {
      public $obj2prop;
   }

   $obj1=new MyClass1();
   $obj1->obj1prop=1;
   $obj2=new MyClass2();
   $obj2->obj2prop=2;

   $serializedObj1=serialize($obj1);
   $serializedObj2=serialize($obj2);

   //default behaviour that accepts all classes
   //second argument can be ommited.
   //if allowed_classes is passed as false, unserialize converts all objects into __PHP_Incomplete_Class object
   $data=unserialize($serializedObj1 , ["allowed_classes" => true]);

   //converts all objects into __PHP_Incomplete_Class object except those of MyClass1 and MyClass2
   $data2=unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]);

   print($data->obj1prop);
   print("<br/>");
   print($data2->obj2prop);
?>

它產(chǎn)生以下瀏覽器輸出-

1
2

PHP - Filtered反序列化 - 無涯教程網(wǎng)無涯教程網(wǎng)提供PHP 7引入了Filtered unserialize() 函數(shù),以在對不受信任的數(shù)據(jù)上的對象進(jìn)行反序列化...https://www.learnfk.com/php7+/php7-filtered-unserialize.html文章來源地址http://www.zghlxwxcb.cn/news/detail-683864.html

到了這里,關(guān)于無涯教程-PHP - Filtered反序列化的文章就介紹完了。如果您還想了解更多內(nèi)容,請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • php反序列化漏洞基礎(chǔ)

    php反序列化漏洞基礎(chǔ)

    ????????序列化是將對象或類轉(zhuǎn)換為字符串的過程 ,以便在程序運(yùn)行過程中對其進(jìn)行持久化存儲(chǔ)或傳輸?shù)牟僮?。在PHP中,序列化主要用于將類對象或數(shù)組轉(zhuǎn)換成字節(jié)流的形式,以便于存儲(chǔ)在磁盤或傳輸?shù)狡渌到y(tǒng)。 ????????通過 序列化,可以將對象或類轉(zhuǎn)換成一串字

    2024年01月20日
    瀏覽(37)

  • PHP反序列化漏洞原理

    1、原理: 序列化與反序列化是保證數(shù)據(jù)一致性的過程。 2、產(chǎn)生: 序列化與反序列化的過程中,用戶可控 如果反序列化的參數(shù)受到攻擊者的控制,就會(huì)產(chǎn)生漏洞。攻擊者可以通過修改參數(shù)個(gè)數(shù)等方式來控制反序列化過程,從而導(dǎo)致代碼執(zhí)行、SQL注入、目錄遍歷等不可控后果。

    2024年01月16日
    瀏覽(25)
  • 反序列化漏洞及PHP魔法函數(shù)

    反序列化漏洞及PHP魔法函數(shù)

    目錄 1、漏洞原理 2、序列化(以PHP語言為例) 3、反序列化 4、PHP魔法函數(shù) (1)__wakeup() (2)__destruct() (3)__construct() (4)__toString() (5)__get() (6)__call() PHP反序列化漏洞也叫PHP對象注入,形成的原因是程序未對用戶輸入的序列化字符串進(jìn)行檢測,導(dǎo)致攻擊者可以控制反

    2024年02月04日
    瀏覽(35)
  • 十、pikachu之php反序列化

    十、pikachu之php反序列化

    ??在理解這個(gè)漏洞前,首先搞清楚php中 serialize() , unserialize() 這兩個(gè)函數(shù)。 (1)序列化 serialize() :就是把一個(gè)對象變成可以傳輸?shù)淖址1热缦旅媸且粋€(gè)對象: (2)反序列化 unserialize() :就是把被序列化的字符串還原為對象,然后在接下來的代碼中繼續(xù)使用。 ??序

    2024年02月11日
    瀏覽(21)
  • PHP反序列化漏洞之魔術(shù)方法

    PHP反序列化漏洞之魔術(shù)方法

    PHP魔術(shù)方法 (Magic Methods) 是一組特殊的方法,它們在特定的情況下會(huì)被自動(dòng)調(diào)用,用于實(shí)現(xiàn)對象的特殊行為或提供額外功能。這些方法的名稱都以雙下劃線開頭和結(jié)尾,例如: __construct() 、 __toString() 等。 魔術(shù)方法可以幫助我們實(shí)現(xiàn)一些特殊的行為,例如對象的初始化、屬性

    2024年02月16日
    瀏覽(30)

  • PHP反序列化漏洞-魔術(shù)方法繞過

    一、__wakeup()魔法函數(shù)繞過: 在PHP中,__wakeup()是一個(gè)魔術(shù)方法,用于在反序列化對象時(shí)自動(dòng)調(diào)用。 當(dāng)反序列化字符串中的對象屬性個(gè)數(shù)大于實(shí)際屬性個(gè)數(shù)時(shí) ,可以利用這個(gè)漏洞進(jìn)行繞過。 觸發(fā)條件: PHP版本為5.6.25或早期版本,或者PHP7版本小于7.0.10。 反序列化字符串中的對

    2024年01月18日
    瀏覽(48)
  • PHP反序列化入門手把手詳解

    PHP反序列化入門手把手詳解

    前言:文章內(nèi)容大致可分為原理詳解-漏洞練習(xí)- 防御方法。文章內(nèi)容偏向于剛接觸PHP反序列化的師傅,是一篇對PHP反序列化入門的手把手教學(xué)文章。文章特色在于對PHP反序列化原理的詳細(xì)分析以及一系列由簡入深的PHP反序列化習(xí)題練習(xí)和分析講解。文章寫作初衷是想借助REEBUF平

    2024年02月08日
    瀏覽(24)

  • PHP反序列化漏洞-字符串逃逸

    字符串逃逸(閉合) 字符串逃逸(閉合)是一種在反序列化函數(shù)可控的情況下,通過修改序列化字符串中的敏感字符來達(dá)到字符串逃逸的方法。 具體而言,可以通過修改變量名等個(gè)數(shù),使得序列化字符串中的字符個(gè)數(shù)與實(shí)際變量值個(gè)數(shù)不一致 。由于反序列化機(jī)制要求字符串

    2024年01月20日
    瀏覽(23)

  • 兩道題淺析PHP反序列化逃逸

    反序列化逃逸 的出現(xiàn)是因?yàn)閜hp反序列化函數(shù)在進(jìn)行反序列化操作時(shí),并不會(huì)審核字符串中的內(nèi)容,所以我們可以操縱屬性值,使得反序列化提前結(jié)束。 反序列化逃逸題 一般都是存在一個(gè)filter函數(shù),這個(gè)函數(shù)看似過濾了敏感字符串,其實(shí)使得代碼的安全性有所降低;并且分為

    2024年02月05日
    瀏覽(20)

  • php魔術(shù)方法和反序列化漏洞

    漏洞形成的根本原因就是程序沒有對用戶輸入的反序列化字符串進(jìn)行檢測,導(dǎo)致反序列化過程可以被惡意控制,進(jìn)而造成代碼執(zhí)行、GetShell 等一系列不可控的后果。反序列化漏洞并不是PHP 特有的,也存在于Java、Python 語言中,其原理基本相同。 反序列化是字節(jié)流轉(zhuǎn)對象的過程

    2024年02月09日
    瀏覽(35)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包