这是一个创建于 3594 天前的主题,其中的信息可能已经有所发展或是发生改变。
帖子:
https://www.v2ex.com/t/164074?p=2#r_1736883
我在后面做了一点测试。结果是虽然PHP没有转义"':等字符,但是还是能正确转换并输出的。
然后我又做了点测试:
可能没做对导致Bug未触发?或者PHP已经修正了这个问题?有没有遭遇过这个Bug的朋友能给个能触发Bug的字符串?(伸手党)
感谢。
https://www.v2ex.com/t/164074?p=2#r_1736883
我在后面做了一点测试。结果是虽然PHP没有转义"':等字符,但是还是能正确转换并输出的。
然后我又做了点测试:
可能没做对导致Bug未触发?或者PHP已经修正了这个问题?有没有遭遇过这个Bug的朋友能给个能触发Bug的字符串?(伸手党)
感谢。
 |
1
maddot 2015-01-22 17:36:24 +08:00
|
|
2
maddot 2015-01-22 17:39:05 +08:00
这个并不是serialize的bug
|
 |
3
raincious OP @maddot
不,你上面的URL被我忽略了,因为说的问题是字符串编码和人造腐蚀的问题。(也就是我提到的数据破坏)。 MySQL连接的时候是需要指定数据输入和链接传输字符集的,这两个字符集都必须正确,因为这是保证程序正常运行的条件之一。如果设置不正确的话,恐怕就不只有serialize会出问题了(都能注入了亲)。 如果真是这样那还真虚惊一场……你……赔我的辣条…… https://gist.github.com/raincious/01c0b5f11e8adc61bb4b |
Select Language