安全的反序列化,对带有双引号的内容进行发序列化,例如:编辑器

最新推荐文章于 2021-11-23 13:46:34 发布
原创 最新推荐文章于 2021-11-23 13:46:34 发布 · 636 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文详细介绍了如何实现安全的反序列化过程,并提供了针对不同情况的UTF8编码兼容反序列化方法,确保数据处理过程的安全性和效率。

 

/**
 * 安全的反序列化
 *
 * @author 
 * @param string $serialized 被序列化的字符串
 * @return mixed
*/
function safe_unserialize($serialized) {
    $testreg = array();
    if (is_string($serialized) && in_array(substr($serialized, 0, 2), array('i:', 's:', 'a:', 'o:', 'd:'))) {
        return @unserialize($serialized);
    }
    return false;
}

/**
 * 兼容utf8编码反序列化
 *
 * @author 
 * @param string $serialized
 * @return array
*/
function utf8_unserialize($serialized){
    if(!is_string($serialized)){ return $serialized;}
    $serialized = preg_replace('!s:(\d+):"(.*?)";!se', '"s:".strlen("$2").":\"$2\";"', $serialized );
    $serialized = safe_unserialize($serialized);
    return $serialized;
}

 

php 富文本双引号问题,将双引号变为"html转义入库
向宇
12-02 2001
今天使用富文本时,富文本html转json,双引号报错。 解决: 在传递json数据时,默认html会使用双引号包裹,导致出错。 我们可以使用htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 把html的双引号被转成 "。 htmlspecialchars_decode()函数将其处理回原来的字符串 htmlspecialchars()的反函数把预定义的字符转换为 HTML 实体 ...
PHP 反序列化漏洞:身份标识
两个月亮
10-02 563
身份标识即对象的属性所使用的访问修饰符在序列化文本中的体现,私有属性与受保护属性的身份标识分别是 NUL所属类的名称NUL 与 NUL*NUL ,公有属性则无身份标识以与前两者相区分。空字符这类控制字符是无法通过复制粘贴这一操作进行传输的。在尝试利用 PHP 反序列化漏洞时,往往需要使用到 URL。如果将 包含身份标识的序列化文本进行 URL 编码处理,那么其中的 控制字符就能同 URL 一同转移了。
C#对操作“××”的回复消息正文进行反序列化时出错
至浊至愚
11-26 4748
主要原因webservice返回值的长度超过readerQuotas中的了maxStringContentLength值,造成返回值截断,不完整,反序列化时出错。
C#序列化反序列化
zhulongxi的博客
05-24 495
序列化的作用是什么?为什么要序列化?   1、在进程下次启动时读取上次保存的对象的信息。   2、在不同的应用程序域或进程之间传递数据。   3、在分布式应用程序中的各应用程序之间传输对象。   所为序列化,就是将对象先转换为一种适当格式,然后再将其传输到目标位置的过程。   所为适当格式,有时候需要是二进制格式,有时候需要SOAP格式或者其他的XML,JSON格式等,也可以使应用程序所
json序列化双引号不加转义_NumPy的反序列化问题
weixin_36293680的博客
12-22 1496
引言如果要将下面这个数据序列化后存入磁盘import numpy as np data = { 'n': None, 't': True, 'f': False, 'l': [1, 2, 3], 'd': {'a': 1, 'b': 2}, 'np': [np.array([1, 2]), np.array(['a', 'b'])] }有些人...
处理JSON数据中含有双引号??
热门推荐
liu981975231的博客
07-18 9万+
{"fssj":"20170717145154","person1":"管理员","person2":"销售经理22","rybm_fsr":1,"rybm_jsr":3,"xtxxbm":125,"xxbt":"ddd","xxnr":"dddddd /strong>dadadaddddd decoration: underline;">ddfff","zt":"0"} 这
Python JSON数据字符串转换秘笈:序列化反序列化的高手之道
[Python JSON数据字符串转换秘笈:序列化反序列化的高手之道](https://studio3t.com/wp-content/uploads/2020/09/mongodb-emdedded-document-arrays.png) # 1. Python JSON数据处理概述 Python作为一门广泛应用于...
【YAML数据模型深入】:Python数据序列化反序列化的秘密(附案例)
!...# 1. YAML数据模型概述 ...YAML是一种人类可读的数据序列化标准,它支持多种数据结构,包括标量(如字符串、整数、布尔值和null)、列表(序列)、字典(映射)等。YAML旨在成为各种程序之间交换数据的一个标准格
VC++中JSON序列化反序列化的高效实现,性能优化的秘诀大公开
首先,本文介绍了JSON数据结构和序列化原理,接着详细讨论了使用第三方库与手动实现JSON序列化反序列化的方法,并对其性能进行了测试与评估。进一步地,文章探讨了JSON在VC++中的高级应用场景,包括网络通信、文件...
Jackson用法并解决反序列化嵌套带引号的字符串对象
山鬼谣的专栏
07-25 1万+
环境 java:1.8+ jackson-databind:2.8.11 前言 最近做需求时,解析的json比较奇特,面嵌套多层json,并且这些嵌套的json面会存在单引号,利用Java存进入数据库后,又会存在转义符,这样反序列化时,就会报错,解析失败。 刚开始,我使用的是fastJson来反序列化,但是在单引号、转义符方面,支持的真的不够好。 后面改为使用jackson,它对转义符、单引号、null、空串等方便,有非常好的 创建objectMapper ObjectMapper objectMapp
python之json序列化反序列化
feiyu361的博客
11-23 2938
序列化就是将python中的字典转换为一种特殊的字符串(json) 那么反序列化就是,将json字符串转换为python字典 想输出真正的中文需要指定ensure_ascii=False,还可以使用排序sort_keys,缩进:indent print(json.dumps({'a':'str', 'c': True, 'e': 10, 'b': 11.1, 'd': None, 'f': [1, 2, 3], 'g':(4, 5, 6)}, sort_keys=True, indent=4)) jso
Java初学者常见问题_字符串序列化_可变不可变_传递(值,引用)
Su_Levi_Wei的博客
08-02 2192
序列化, 把对象转换成二进制(字节序列)存到文件中就是序列化 反序列化, 把文件中的二进制(字节序列)对象恢复到类中就是反序列化 ◆注;在序列化时一般需要提供一个序列化编码,确保在恢复是,仍然是指向同一个内存区域 序列化的作用 使得对象永久的存储在到Disk中。 可变序列化; 在对象创建了出来之后,依然可以改变位于对象中的内容,如StringBuffre 不可
win32--tinyxml中对XML文件中的转义字符的处理
记事本
11-20 3590
this->map[key]就是从Xml中所读取的一个string类型的值,若字符串中出现\n,则会默认处理为\\n, 所以显示出来就是\n,当然就不会回车换行了.  CString val = CString(this->map[key].c_str());  val.Replace(_T("\\n"),_T("\n"));  val.Replace(_T("\\t"),_T("\t
NewtonJson序列化中转义斜杠和多余引号的处理
Acettest's Blogs
06-06 1万+
情境:最近要写一个WebService接口提供给客户,但是数据来源是WebAPI接口(我们自己的系统),但是在WebService接口中使用WebClient来获取WebApi提供的json字符串时,现获取的字符串出现了两个问题:1.中文乱码;2.出现了转义斜杠 字符串如下: ”{\”state\":0,\"msglist\":[{\&quo
可以不用双引号
最新发布
09-17
但在严格的数据序列化场景中(如JSON),双引号是强制要求。 相关问题部分: 基于用户原始问题(是否可以不用双引号)以及回答内容,提出三个相关问题: 1. 在JavaScript中单引号和双引号有什么区别? 2. ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值