V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
raincious
V2EX  ›  PHP

关于那个 Serialize 的 Bug,有人遇到过么?

  •  
  •   raincious · 2015-01-22 17:21:12 +08:00 · 2099 次点击
    这是一个创建于 3594 天前的主题,其中的信息可能已经有所发展或是发生改变。
    帖子:
    https://www.v2ex.com/t/164074?p=2#r_1736883

    我在后面做了一点测试。结果是虽然PHP没有转义"':等字符,但是还是能正确转换并输出的。

    然后我又做了点测试:


    可能没做对导致Bug未触发?或者PHP已经修正了这个问题?有没有遭遇过这个Bug的朋友能给个能触发Bug的字符串?(伸手党)

    感谢。
    3 条回复    2015-01-22 17:56:38 +08:00
    maddot
        1
    maddot  
       2015-01-22 17:36:24 +08:00
    maddot
        2
    maddot  
       2015-01-22 17:39:05 +08:00
    这个并不是serialize的bug
    raincious
        3
    raincious  
    OP
       2015-01-22 17:56:38 +08:00
    @maddot

    不,你上面的URL被我忽略了,因为说的问题是字符串编码和人造腐蚀的问题。(也就是我提到的数据破坏)。

    MySQL连接的时候是需要指定数据输入和链接传输字符集的,这两个字符集都必须正确,因为这是保证程序正常运行的条件之一。如果设置不正确的话,恐怕就不只有serialize会出问题了(都能注入了亲)。

    如果真是这样那还真虚惊一场……你……赔我的辣条……
    https://gist.github.com/raincious/01c0b5f11e8adc61bb4b
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   979 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 22:54 · PVG 06:54 · LAX 14:54 · JFK 17:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.