OWASP A8 Software and Data Integrity Failures(软件和数据完整性故障)

Software and Data Integrity Failures(软件和数据完整性故障)

这是在 2021 年中,增加的新的类别.

在之前 2017 年版本中,是不安全的反序列化,但在 2021 年版本中包含在其中了.

本文来讲讲序列化吧

就以 PHP 为例吧,实际上大部分面向对象语言的序列化思路也是如此

序列化,说简单点就是把对象变成可以传输的字符串

下面是一段 PHP 代码.可以达到简单的序列化

class Demo{
   
    public $test="Hello,World!"
}

$s=new Demo();
$se=serialize($s);

print_r($se)

这时候就会有这种结果

O:4:“Demo”:1:{s:4:“test”;s:12:“Hello,World!”;

从左到右依次分析

/*
O:代表object
4:是对象名称长度
Demo:对象名称
1:代表对象里面有一个变量
s:数据类型
4:变量名称长度
test:变量名称
s:数据类型
12:变量长度
Hello,World!:变量值
*/

反序列化也是很好理解的

class Demo{
   
    public $test="Hello,World!"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值