首页 > 后端开发 > php教程 > 为什么在 PHP 中反序列化对象是一个坏主意?

为什么在 PHP 中反序列化对象是一个坏主意?

WBOY
发布: 2024-07-20 05:06:29
原创
769 人浏览过

Why is unserializing an object in PHP a bad idea?

PHP 中的序列化是将 PHP 对象转换为字符串的一种方法。该字符串可以以多种方式使用,例如将其存储在数据库中或将其传递给另一个函数。 PHP 文档表示,在传递 PHP 值而不丢失其类型和结构时,这非常方便。但我以前从未遇到过这个问题。也许我没看到。

<?php
$test = new User();
$test->name = "Denzyl";
echo serialize($test);
/// Output: O:4:"User":1:{s:4:"name";s:6:"Denzyl";}
登录后复制

那么,让我们消化一下这个字符串。 o代表Object,后面的数字是对象名称的长度。两个字母 s 代表字符串和字符串名称的长度。

当您需要将字符串转换回 PHP 时,调用反序列化函数并将字符串作为参数传递。

序列化对象时,会自动调用两个方法。 __serialize() 和 __sleep()。这将允许类作者在将对象转换为字符串之前执行某些操作。
这是开门见山。但现在,让我们重点关注字符串的反序列化。这意味着将字符串转换为真正的 PHP 对象,稍后可以在运行时在 PHP 代码中使用。

<?php

$string = 'O:8:"User":1:{s:4:"name";s:6:"Denzyl";}';
echo unserialize($string)->name;
/// Output: Denzyl
登录后复制

相同的功能也适用于反序列化。但这一次,两个方法是 __unserialize() 和 __wakeup()。

但为什么这是一个坏主意呢?

在不知情的情况下使用反序列化可能会导致远程代码执行。这就是为什么他们说永远不要相信输入。
假设您很懒并且信任随机输入,并且您连接到序列化对象,这样您就可以
更改对象内部的值。 BOOM,你可能会被黑客攻击。

<?php
$username = $_GET['username'];
$serialized = 'O:8:"User":1:{s:4:"name";s:6:"' . $username . '";}';
登录后复制

我不会解释如何为这样的事情编写漏洞利用程序。有些工具可以自动为您生成有效负载,您可以称自己为脚本小子(我们都从某个地方开始)。我认识的是PHPGGC。

要了解该漏洞,您可以阅读 OWASP 文章。
如果您之前不知道这一点,请阅读有关漏洞的 OWASP 文章的其余部分

我知道我还没有解释如何编写漏洞利用程序。我不认为我能比网上的文章做得更好。但现在您知道了这一点,并且可以进行研究。

如何防止被利用?

你为什么要使用这个?我不知道;我编程的时间还不够长(大约 15 年),还没有机会使用序列化/反序列化来解决问题。
我的解决方案太激进了。简单的答案是。 不要在我的 PHP 项目中使用它。

本文是我为 PHP 编写静态分析工具的系列文章的一部分,该工具可以在几分钟/几秒钟内扫描大量项目。并寻找规则
开发人员希望在他们的项目中拥有这些内容。在撰写本文时,我正在制定一项规则来停止
人们不再使用反序列化,它应该为下一个版本做好准备。关注该项目,以便您在
时收到通知 我决定编写更多规则。

以上是为什么在 PHP 中反序列化对象是一个坏主意?的详细内容。更多信息请关注PHP中文网其他相关文章!

来源:dev.to
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板