关于那个 Serialize 的 Bug,有人遇到过么?

2015-01-22 17:21:12 +08:00
 raincious
帖子:
https://www.v2ex.com/t/164074?p=2#r_1736883

我在后面做了一点测试。结果是虽然PHP没有转义"':等字符,但是还是能正确转换并输出的。

然后我又做了点测试:
https://gist.github.com/raincious/e843b572ed67061a964a

可能没做对导致Bug未触发?或者PHP已经修正了这个问题?有没有遭遇过这个Bug的朋友能给个能触发Bug的字符串?(伸手党)

感谢。
2131 次点击
所在节点    PHP
3 条回复
maddot
2015-01-22 17:36:24 +08:00
http://www.jackreichert.com/2014/02/02/handling-a-php-unserialize-offset-error/

触发条件和原因这里不都说清楚了吗?
maddot
2015-01-22 17:39:05 +08:00
这个并不是serialize的bug
raincious
2015-01-22 17:56:38 +08:00
@maddot

不,你上面的URL被我忽略了,因为说的问题是字符串编码和人造腐蚀的问题。(也就是我提到的数据破坏)。

MySQL连接的时候是需要指定数据输入和链接传输字符集的,这两个字符集都必须正确,因为这是保证程序正常运行的条件之一。如果设置不正确的话,恐怕就不只有serialize会出问题了(都能注入了亲)。

如果真是这样那还真虚惊一场……你……赔我的辣条……
https://gist.github.com/raincious/01c0b5f11e8adc61bb4b

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/164550

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX