Mensiri dalam PHP ialah satu cara untuk menukar objek PHP kepada rentetan. Rentetan ini boleh digunakan dalam pelbagai cara, seperti menyimpannya dalam pangkalan data atau menghantarnya ke fungsi lain. Dokumentasi PHP mengatakan ini berguna apabila menghantar nilai PHP tanpa kehilangan jenis dan strukturnya. Tetapi saya tidak pernah mengalami masalah itu sebelum ini. Mungkin saya tidak nampak.
<?php
$test = new User();
$test->name = "Denzyl";
echo serialize($test);
/// Output: O:4:"User":1:{s:4:"name";s:6:"Denzyl";}
Jadi, mari kita hadam rentetan itu. O bermaksud Objek, dan nombor berikut ialah panjang nama objek. Dua huruf s bermaksud rentetan dan panjang nama rentetan itu.
Apabila anda perlu menukar rentetan kembali ke PHP, panggil fungsi unserialize dan hantar rentetan sebagai parameter.
Apabila mensiri objek, dua kaedah dipanggil secara automatik. __serialize() & __sleep(). Ini akan membolehkan pengarang kelas melakukan sesuatu sebelum menukar objek kepada rentetan.
Itu adalah straight to the point. Tetapi buat masa ini, mari fokus pada menyahsiri rentetan. Ini bermakna menukar rentetan kepada objek PHP sebenar yang boleh digunakan kemudian pada masa jalan dalam kod PHP anda.
<?php
$string = 'O:8:"User":1:{s:4:"name";s:6:"Denzyl";}';
echo unserialize($string)->name;
/// Output: Denzyl
Fungsi yang sama juga digunakan untuk menyahsiri. Tetapi kali ini, dua kaedah ialah __unserialize() dan __wakeup().
Menggunakan unserialize tanpa mengetahui ia boleh membawa kepada pelaksanaan kod jauh. Itulah sebabnya mereka berkata jangan pernah mempercayai input.
Katakan anda malas dan anda mempercayai input rawak, dan anda bergabung dengan objek bersiri supaya anda boleh
menukar nilai di dalam objek. BOOM, anda boleh digodam.
<?php
$username = $_GET['username'];
$serialized = 'O:8:"User":1:{s:4:"name";s:6:"' . $username . '";}';
Saya tidak akan menerangkan cara menulis eksploit untuk sesuatu seperti ini. Sesetengah alatan boleh menjana muatan secara automatik untuk anda, dan anda boleh memanggil diri anda kiddie skrip (kita semua bermula di suatu tempat). Yang saya kenal ialah PHPGGC.
Untuk memahami eksploitasi, anda boleh membaca artikel OWASP.
Jika anda tidak mengetahui perkara ini sebelum ini, baca juga artikel OWASP yang lain tentang kelemahan
Saya tahu saya belum menjelaskan cara menulis eksploitasi. Saya tidak fikir saya boleh melakukan kerja yang lebih baik daripada artikel di internet. Tetapi kini anda tahu perkara ini dan anda boleh melakukan penyelidikan anda.
Mengapa anda mahu menggunakan ini? Saya tidak tahu; Saya tidak memprogramkan cukup lama (~ 15 tahun) untuk berpeluang menyelesaikan masalah menggunakan serialize/unserialize.
Penyelesaian saya terlalu drastik. Jawapan yang mudah ialah. Jangan gunakannya dalam projek PHP saya.
Artikel ini adalah sebahagian daripada siri artikel dalam perjalanan saya menulis alat analisis statik untuk PHP yang boleh mengimbas projek besar-besaran dalam beberapa minit/saat. Dan cari peraturan
yang ingin dimiliki oleh pemaju dalam projek mereka. Pada masa menulis artikel ini, saya sedang mengusahakan peraturan untuk berhenti
orang daripada menggunakan unserialize, dan ia sepatutnya sedia untuk keluaran seterusnya. Ikuti projek supaya anda akan dimaklumkan apabila
Saya memutuskan untuk menulis lebih banyak peraturan.
Atas ialah kandungan terperinci Mengapa membatalkan siri objek dalam PHP idea yang tidak baik?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Apakah mata wang USDT?
Bagaimana untuk menyelesaikan kod ralat deletefile 5
Bagaimana untuk membaca data dalam fail excel dalam python
Sejarah operasi jadual paparan Oracle
mysql mencipta pangkalan data
Apakah perisian cdr
Senarai lengkap kekunci pintasan idea
Perkara yang perlu dilakukan jika Linux meminta Tiada fail atau direktori sedemikian semasa melaksanakan fail
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
