为什么在 PHP 中反序列化对象是一个坏主意？

PHP 中的序列化是将 PHP 对象转换为字符串的一种方法。该字符串可以以多种方式使用，例如将其存储在数据库中或将其传递给另一个函数。 PHP 文档表示，在传递 PHP 值而不丢失其类型和结构时，这非常方便。但我以前从未遇到过这个问题。也许我没看到。

<?php
$test = new User();
$test->name = "Denzyl";
echo serialize($test);
/// Output: O:4:"User":1:{s:4:"name";s:6:"Denzyl";}

那么，让我们消化一下这个字符串。 o代表Object，后面的数字是对象名称的长度。两个字母 s 代表字符串和字符串名称的长度。

当您需要将字符串转换回 PHP 时，调用反序列化函数并将字符串作为参数传递。

序列化对象时，会自动调用两个方法。 __serialize() 和 __sleep()。这将允许类作者在将对象转换为字符串之前执行某些操作。
这是开门见山。但现在，让我们重点关注字符串的反序列化。这意味着将字符串转换为真正的 PHP 对象，稍后可以在运行时在 PHP 代码中使用。

<?php

$string = 'O:8:"User":1:{s:4:"name";s:6:"Denzyl";}';
echo unserialize($string)->name;
/// Output: Denzyl

相同的功能也适用于反序列化。但这一次，两个方法是 __unserialize() 和 __wakeup()。

但为什么这是一个坏主意呢？

在不知情的情况下使用反序列化可能会导致远程代码执行。这就是为什么他们说永远不要相信输入。
假设您很懒并且信任随机输入，并且您连接到序列化对象，这样您就可以
更改对象内部的值。 BOOM，你可能会被黑客攻击。

<?php
$username = $_GET['username'];
$serialized = 'O:8:"User":1:{s:4:"name";s:6:"' . $username . '";}';

我不会解释如何为这样的事情编写漏洞利用程序。有些工具可以自动为您生成有效负载，您可以称自己为脚本小子（我们都从某个地方开始）。我认识的是PHPGGC。

要了解该漏洞，您可以阅读 OWASP 文章。
如果您之前不知道这一点，请阅读有关漏洞的 OWASP 文章的其余部分

我知道我还没有解释如何编写漏洞利用程序。我不认为我能比网上的文章做得更好。但现在您知道了这一点，并且可以进行研究。

如何防止被利用？

你为什么要使用这个？我不知道;我编程的时间还不够长（大约 15 年），还没有机会使用序列化/反序列化来解决问题。
我的解决方案太激进了。简单的答案是。 不要在我的 PHP 项目中使用它。

本文是我为 PHP 编写静态分析工具的系列文章的一部分，该工具可以在几分钟/几秒钟内扫描大量项目。并寻找规则
开发人员希望在他们的项目中拥有这些内容。在撰写本文时，我正在制定一项规则来停止
人们不再使用反序列化，它应该为下一个版本做好准备。关注该项目，以便您在
时收到通知 我决定编写更多规则。

以上是为什么在 PHP 中反序列化对象是一个坏主意？的详细内容。更多信息请关注PHP中文网其他相关文章！