无涯教程-PHP - Filtered反序列化

7月前作者：Hi无涯教程分类：Toy博客阅读(36) 违法举报

这篇具有很好参考价值的文章主要介绍了无涯教程-PHP - Filtered反序列化。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

PHP 7引入了Filtered unserialize()函数，以在对不受信任的数据上的对象进行反序列化时提供更好的安全性。

<?php
   class MyClass1 { 
      public $obj1prop;   
   }
   class MyClass2 {
      public $obj2prop;
   }

   $obj1=new MyClass1();
   $obj1->obj1prop=1;
   $obj2=new MyClass2();
   $obj2->obj2prop=2;

   $serializedObj1=serialize($obj1);
   $serializedObj2=serialize($obj2);

   //default behaviour that accepts all classes
   //second argument can be ommited.
   //if allowed_classes is passed as false, unserialize converts all objects into __PHP_Incomplete_Class object
   $data=unserialize($serializedObj1 , ["allowed_classes" => true]);

   //converts all objects into __PHP_Incomplete_Class object except those of MyClass1 and MyClass2
   $data2=unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]);

   print($data->obj1prop);
   print("<br/>");
   print($data2->obj2prop);
?>

它产生以下浏览器输出-

1
2

PHP - Filtered反序列化 - 无涯教程网无涯教程网提供PHP 7引入了Filtered unserialize() 函数，以在对不受信任的数据上的对象进行反序列化...https://www.learnfk.com/php7+/php7-filtered-unserialize.html文章来源地址https://www.toymoban.com/news/detail-683864.html

到了这里，关于无涯教程-PHP - Filtered反序列化的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

PHP反序列化漏洞原理

1、原理: 序列化与反序列化是保证数据一致性的过程。 2、产生: 序列化与反序列化的过程中，用户可控如果反序列化的参数受到攻击者的控制，就会产生漏洞。攻击者可以通过修改参数个数等方式来控制反序列化过程，从而导致代码执行、SQL注入、目录遍历等不可控后果。

2024年01月16日
浏览(54)
php反序列化漏洞基础

序列化是将对象或类转换为字符串的过程，以便在程序运行过程中对其进行持久化存储或传输的操作。在PHP中，序列化主要用于将类对象或数组转换成字节流的形式，以便于存储在磁盘或传输到其他系统。通过序列化，可以将对象或类转换成一串字

2024年01月20日
浏览(51)
十、pikachu之php反序列化

在理解这个漏洞前，首先搞清楚php中 serialize() ， unserialize() 这两个函数。（1）序列化 serialize() ：就是把一个对象变成可以传输的字符串。比如下面是一个对象: （2）反序列化 unserialize() ：就是把被序列化的字符串还原为对象，然后在接下来的代码中继续使用。序

2024年02月11日
浏览(38)
PHP反序列化漏洞之魔术方法

PHP魔术方法（Magic Methods）是一组特殊的方法，它们在特定的情况下会被自动调用，用于实现对象的特殊行为或提供额外功能。这些方法的名称都以双下划线开头和结尾，例如: __construct() 、 __toString() 等。魔术方法可以帮助我们实现一些特殊的行为，例如对象的初始化、属性

2024年02月16日
浏览(36)
PHP反序列化漏洞-魔术方法绕过

一、__wakeup()魔法函数绕过：在PHP中，__wakeup()是一个魔术方法，用于在反序列化对象时自动调用。当反序列化字符串中的对象属性个数大于实际属性个数时，可以利用这个漏洞进行绕过。触发条件： PHP版本为5.6.25或早期版本，或者PHP7版本小于7.0.10。反序列化字符串中的对

2024年01月18日
浏览(46)
反序列化漏洞及PHP魔法函数

目录 1、漏洞原理 2、序列化（以PHP语言为例） 3、反序列化 4、PHP魔法函数（1）__wakeup() （2）__destruct() （3）__construct() （4）__toString() （5）__get() （6）__call() PHP反序列化漏洞也叫PHP对象注入，形成的原因是程序未对用户输入的序列化字符串进行检测，导致攻击者可以控制反

2024年02月04日
浏览(44)
PHP反序列化入门手把手详解

前言:文章内容大致可分为原理详解-漏洞练习- 防御方法。文章内容偏向于刚接触PHP反序列化的师傅,是一篇对PHP反序列化入门的手把手教学文章。文章特色在于对PHP反序列化原理的详细分析以及一系列由简入深的PHP反序列化习题练习和分析讲解。文章写作初衷是想借助REEBUF平

2024年02月08日
浏览(38)
php魔术方法和反序列化漏洞

漏洞形成的根本原因就是程序没有对用户输入的反序列化字符串进行检测，导致反序列化过程可以被恶意控制，进而造成代码执行、GetShell 等一系列不可控的后果。反序列化漏洞并不是PHP 特有的，也存在于Java、Python 语言中，其原理基本相同。反序列化是字节流转对象的过程

2024年02月09日
浏览(38)
PHP反序列化漏洞-字符串逃逸

字符串逃逸（闭合）字符串逃逸（闭合）是一种在反序列化函数可控的情况下，通过修改序列化字符串中的敏感字符来达到字符串逃逸的方法。具体而言，可以通过修改变量名等个数，使得序列化字符串中的字符个数与实际变量值个数不一致。由于反序列化机制要求字符串

2024年01月20日
浏览(47)
两道题浅析PHP反序列化逃逸

反序列化逃逸的出现是因为php反序列化函数在进行反序列化操作时，并不会审核字符串中的内容，所以我们可以操纵属性值，使得反序列化提前结束。反序列化逃逸题一般都是存在一个filter函数，这个函数看似过滤了敏感字符串，其实使得代码的安全性有所降低；并且分为

2024年02月05日
浏览(36)