逼一个水
使用unserialize与serialize
是不是会形成php反序列化注入漏洞
有那位:)给我补补课。
eki.东广
http://php.net/manual/zh/
https://www.baidu.com/
https://www.google.com/
失消
?水个一逼 unserialize与serialize 只是用于程序计算的时候,对数组进行序列化和反序列化,如果数组里有特殊字符,也会被自动转换,不存在注入问题
失消
刚才说了,还是转化成数组,有特殊字符造成的
序列化和反序列化 只是存储,至于注入,还是SQL 特殊字符问题,绕开标准sql
逼一个水
那我的问题就是,
用unserialize与serialize处理了SQL 特殊字符引起的了。
我能这么理解吗?
tob
?周口-寒暑流易 欢迎加入,请把名片改为 地区-昵称 请勿使用重复率很高的昵称,如:新手、菜鸟
失消
?水个一逼 unserialize与serialize 没有注入的说法,只有在反序列的时候,会还原特殊字符,这个时候组合SQL 就需要注意过滤了
逼一个水
那我是不是要检查两点了,
一个是序列化和反序列化存储时,有没有特殊字符。
一个是组合SQL有没有进行过滤
就好了
失消
序列化 不管有没有特殊字符,都会被转换
反序列化 都会被还原,之前是什么酒还原成什么,如果碰到特殊字符,过滤先
者行执的敢勇
个人站长转行,处理300个com域名,备案的3元一个,
未备案的2元一个,历史干净,没做过垃圾站,
平台带价push 欢迎去网站挑选http://csjzzj.com/,价格可商量
語止途沿
js文件里面的ajax跳转地址是这么写的吧。
js文件里面的ajax跳转地址是这么写的吧。