Java技術Web開發高級語言其他技術腳本語言數據庫大數據教程XML技術專業教育框架軟件工具教程通信技術微軟技術軟件測試手機開發前端技術人工智能實例代碼

PHP7教學
在Linux或Unix安裝PHP7
PHP7環境安裝
Mac OS X上安裝Apache+PHP環境
Windows10上安裝Apache+PHP環境
PHP7標量類型聲明
PHP7返回類型聲明
PHP7 Null合併運算符
PHP7飛船操作符
PHP7常量數組
PHP7匿名類
PHP7 Closure::call()
PHP7過濾unserialize()
PHP7國際字符
PHP7 CSPRNG
PHP7期望
PHP7 use語句
PHP7錯誤處理
PHP7整數除法
PHP7 Session選項
PHP7棄用的功能
PHP7已刪除的SAPI
PHP7 Closure::call()
PHP7國際字符

PHP7過濾unserialize()

瀏覽人數:521最近更新:

PHP7引入了過濾 unserialize()函數以在反序列化不受信任的數據對象時提供更好的安全性。它可以防止可能的代碼注入,使開發人員能夠使用序列化白名單類。

示例

obj1prop = 1; $obj2 = new MyClass2(); $obj2->obj2prop = 2; $serializedObj1 = serialize($obj1); $serializedObj2 = serialize($obj2); // default behaviour that accepts all classes // second argument can be ommited. // if allowed\_classes is passed as false, unserialize converts all objects into \_\_PHP\_Incomplete\_Class object $data = unserialize($serializedObj1 , \["allowed\_classes" => true\]); // converts all objects into \_\_PHP\_Incomplete\_Class object except those of MyClass1 and MyClass2 $data2 = unserialize($serializedObj2 , \["allowed\_classes" => \["MyClass1", "MyClass2"\]\]); print($data->obj1prop); print("
"); print($data2->obj2prop); ?>

這將在瀏覽器產生以下輸出 -

1
2

PHP7 Closure::call()
PHP7國際字符