@Chiang 2020-02-17T12:48:51.000000Z 字数 736 阅读 615

PHP 过滤 unserialize()

PHP7新特性 2020-02

PHP 过滤 unserialize()

PHP 7 增加了可以为 unserialize() 提供过滤的特性，可以防止非法数据进行代码注入，提供了更安全的反序列化数据。

<?php
class MyClass1 { 
   public $obj1prop;   
}
class MyClass2 {
   public $obj2prop;
}
$obj1 = new MyClass1();
$obj1->obj1prop = 1;
$obj2 = new MyClass2();
$obj2->obj2prop = 2;
$serializedObj1 = serialize($obj1);
$serializedObj2 = serialize($obj2);
// 默认行为是接收所有类
// 第二个参数可以忽略
// 如果 allowed_classes 设置为 false, unserialize 会将所有对象转换为 __PHP_Incomplete_Class 对象
$data = unserialize($serializedObj1 , ["allowed_classes" => true]);
// 转换所有对象到 __PHP_Incomplete_Class 对象，只允许 MyClass1 和 MyClass2 转换到 __PHP_Incomplete_Class
$data2 = unserialize($serializedObj2 , ["allowed_classes" => ["MyClass1", "MyClass2"]]);
print($data->obj1prop);
print(PHP_EOL);
print($data2->obj2prop);
?>
以上程序执行输出结果为：
1
2

参考资料:
PHP 过滤 unserialize()

内容目录

- - 2020-02 22
  - MySQL索引优化
  - PHP-断点调试
  - PHP爬虫的三种方法
  - Redis SORT
  - php读取操作大文件，超出内存大小，三种方法
  - shell执行PHP传入参数的三种方式
  - Laravel 中间件
  - ORM 实例教程
  - PHP 7 use 语句
  - PHP 过滤 unserialize()
  - PHP Closure::call()
  - PHP 匿名类
  - PHP 常量数组
  - PHP 太空船运算符（组合比较符）
  - PHP NULL 合并运算符
  - PHP 标量类型与返回值类型声明
  - 类的反射和依赖注入
  - PHP面试题目搜集－－合格的PHPer必过
  - PHP pcntl
  - tcpdump抓包工具的使用
  - 实现Comet(服务器推送)的两种方式：长轮询和http流
  - PHP7的新特性详解--标量定义（Scalar Typehints）
- - 2020-03 9
  - 配置文件管理类
  - 自动加载引导类文件
  - 框架初始化文件
  - 框架引用机制
  - 科三重车
  - PHP中array_merge函数与array+array的区别
  - PHP static关键字的用法及注意点
  - 插入排序
  - 选择排序
- - 2020-04 13
  - `<form></form>`表单的提交原理
  - 科三考前矫正
  - stripslashes 和 extract
  - 控制器基类构造函数
  - 开发规范
  - The Twelve-Factor App
  - 如何保证缓存与数据库的双写一致性？
  - GIT分支管理
  - git commit -m 与 git commit -am 的区别
  - Git 分支的新建与合并
  - Git 分支简介
  - Chrome 中 Set-Cookie SameSite 问题
  - 公司项目梳理
- - 2020-05 20
  - 函数
  - 对象
  - 字符串
  - 数值
  - null, undefined 和布尔值
  - 数据类型概述
  - JavaScript 的基本语法
  - 指针
  - Computer system roaming
  - 基本步骤与编程机制
  - Git 日常使用整理
  - autoload_psr4.php
  - autoload_namespaces.php
  - autoload_files.php
  - autoload_classmap.php
  - autoload_static.php
  - ClassLoader.php
  - autoload_real.php
  - autoload.php
  - Composer 源码分析
- - 2020-06 2
  - window 对象
  - 浏览器模型概述
- - 2020-07 3
  - 变量的解构赋值
  - let 和 const 命令
  - iconfont字体生成原理及使用技巧
- - 2020-08 9
  - MySQL 存储过程和函数
  - 数组比较与重组
  - PHP 计算三维数组的第三维元素总和
  - yii2 Widgets 下的`widget()` `begin()` `end()` 方法
  - yii2 beforeAction 重定向问题
  - form表单传递数组数据、php脚本接收的实例
  - PHP文件打包(Zip)
  - PHP解析表单传输过来的json数组
  - Shell基础知识
- - 2020-10 11
  - Live2D Widget 看板娘
  - PHP pack unpack
  - 正则表达式
  - 掩码、位操作、子网掩码、点分十进制计法
  - 前言和法律说明
  - PHP JavaScript Yii
  - 跟我一起写 Makefile(一)
  - 即时通讯
  - 块作用域函数作用域闭包
  - 编程十诫
  - 编程建模-数据描述的三个领域
- - 2020-11 1
  - 数据结构之数组和链表的区别
- - 2021-03 1
  - Laravel 运行原理概览
- - 2021-04 5
  - Database: Getting Started
  - Facades
  - Service Providers
  - Service Container
  - Requesxt Lifecycle
- - 2021-06 2
  - docker友好的vscode编辑器
  - dnmp lnmpa 环境搭建
- - 2021-07 2
  - 以太网与交换机
  - 关于PHP程序员解决问题的能力
- - 2021-08 3
  - Redis理解
  - Redis 安装部署和基本数据结构介绍
  - 相关资料
- - 2021-09 2
  - ecshop 里的 ajax 请求与响应
  - 树形结构的数据库表设计 & MYSQL 传汉字获取拼音首字母
- - 2021-10 2
  - Linux 常用命令
  - 企业微信打开已有群聊并发送消息
- - 2021-11 1
  - javascript 实现表单提交,文件上传
- - Ajax.call 1
  - ecshop 里的 ajax 请求与响应
- - CSS 1
  - iconfont字体生成原理及使用技巧
- - Comet 1
  - 实现Comet(服务器推送)的两种方式：长轮询和http流
- - Composer 9
  - autoload_psr4.php
  - autoload_namespaces.php
  - autoload_files.php
  - autoload_classmap.php
  - autoload_static.php
  - ClassLoader.php
  - autoload_real.php
  - autoload.php
  - Composer 源码分析
- - C语言 4
  - 掩码、位操作、子网掩码、点分十进制计法
  - 指针
  - Computer system roaming
  - 基本步骤与编程机制
- - DNS 1
  - DNS（Domain Name Server，域名服务器）
- - Docker 10
  - docker-php-ext-enable可以开启扩展的原理
  - swarm集群
  - docker-machine
  - docker, docker-compose, docker-machine 的区别与理解
  - 宿主机访问容器MySQL,容器访问宿主机MySQL,远程连接容器MySQL
  - 网络配置,容器互联
  - Docker 数据管理
  - 停止、删除所有的docker容器和镜像
  - Docker Compose (编排)
  - Docker 命令集
- - ES6 2
  - 变量的解构赋值
  - let 和 const 命令
- - Git 7
  - Git 日常使用整理
  - GIT分支管理
  - git commit -m 与 git commit -am 的区别
  - Git 分支的新建与合并
  - Git 分支简介
  - git stash (储藏与清理)
  - Git 基础命令集
- - HTML 1
  - `<form></form>`表单的提交原理
- - HTTP 2
  - 以太网与交换机
  - `<form></form>`表单的提交原理
- - IM 1
  - 即时通讯
- - JWT 2
  - Laravel 中使用 JWT 认证的 Restful API
  - JWT 理解
- - JavaScript 10
  - Live2D Widget 看板娘
  - window 对象
  - 浏览器模型概述
  - 函数
  - 对象
  - 字符串
  - 数值
  - null, undefined 和布尔值
  - 数据类型概述
  - JavaScript 的基本语法
- - K8S 1
  - The Twelve-Factor App
- - LNMP 1
  - LNMP 环境一键安装包
- - Laravel 14
  - Laravel 运行原理概览
  - Laravel 中间件
  - ORM 实例教程
  - Laravel中容器(Container),提供者(Provider),门面(Facade),契约(Contracts)的关系
  - php反射类的使用及Laravel对反射的使用介绍
  - Laravel 的加密解密机制
  - Laravel 中使用 JWT 认证的 Restful API
  - Eloquent ORM - 模型关联
  - Eloquent ORM - 快速入门
  - 数据库-数据库迁移
  - 数据库-分页
  - 数据库-查询构造器
  - 数据库-快速入门
  - 工厂模式、服务容器(IocContainer)
- - Laravel-源码 1
  - 类的反射和依赖注入
- - LaravelDoc 5
  - Database: Getting Started
  - Facades
  - Service Providers
  - Service Container
  - Requesxt Lifecycle
- - Linux 21
  - Linux 常用命令
  - tcpdump抓包工具的使用
  - Shell 脚本调试方法和文件包含
  - Shell 自定义函数
  - Shell 程序控制结构语句
  - Shell 编程中的输入输出命令
  - Shell 中的特殊字符
  - shell变量
  - shell脚本的建立与执行
  - curl 的用法指南
  - 调试工具
  - Mac & Linux Shell获取前一天日期计算
  - 基础命令总结
  - 文件权限与目录配置
  - 文件与目录的默认权限与隐藏权限
  - 文件与目录管理
  - 计划任务 (crontab)
  - Vim
  - 压缩与打包
  - 多用户在同一文件夹下的协同操作
  - 文件特殊权限: SUID、SGID、SBIT
- - Mac 1
  - 解决:MacOS 苹果系统微信截图 app截图无法正常使用
- - Makefile 1
  - 跟我一起写 Makefile(一)
- - MySQL 10
  - MySQL 存储过程和函数
  - MySQL索引优化
  - PHP 操作 MYSQL 数据库
  - 数据备份与恢复
  - 视图
  - 索引
  - 插入、更新与删除数据
  - 查询数据
  - 数据表的基本操作
  - 数据库的基本操作
- - MySQL译文 2
  - 前言和法律说明
  - MySQL 8.0 参考手册
- - OAuth2.0 1
  - OAuth 2.0 理解
- - PHP 55
  - 关于PHP程序员解决问题的能力
  - PHP pack unpack
  - stripslashes 和 extract
  - php读取操作大文件，超出内存大小，三种方法
  - shell执行PHP传入参数的三种方式
  - php单例模式的实例
  - PHP-协程
  - 使用命名空间：后备全局函数/常量
  - 全局空间
  - 使用命名空间：别名/导入
  - namespace关键字和__NAMESPACE__常量
  - 命名空间和动态语言特征
  - 使用命名空间：基础
  - 在同一个文件中定义多个命名空间
  - 定义子命名空间
  - 定义命名空间
  - 命名空间概述
  - PHP 类型比较表
  - 类型简介
  - 对象继承
  - Static（静态）关键字
  - 范围解析操作符（::）
  - 变量范围
  - 抽象类
  - 对象接口
  - Trait
  - 匿名类
  - 重载
  - Final 关键字
  - 对象复制
  - 对象比较
  - 类型约束
  - get_called_class
  - forward_static_call
  - 后期静态绑定
  - 对象和引用
  - spl_autoload_register
  - 对象序列化
  - 类型运算符 instanceof
  - 返回值类型申明
  - 可变数量的参数列表
  - 严格类型
  - 类型申明
  - var_export
  - 魔术方法
  - 通过引用传递参数
  - PHP中的伪类型与变量
  - 递归
  - php中换行符PHP_EOL
  - 面向对象的三大特点
  - 依赖注入与IOC容器
  - Session原理简述
  - PHP-FPM
  - php的反射机制
  - static关键字 self 后期静态绑定抽象类接口 final关键字
- - PHP-Array 26
  - array_merge
  - array_merge_recursive
  - array_map
  - array_keys
  - array_key_last
  - array_key_first
  - array_key_exists
  - array_intersect
  - array_intersect_ukey
  - array_intersect_uassoc
  - array_intersect_key
  - array_intersect_assoc
  - array-flip
  - array_filter
  - array_fill
  - array_fill_keys
  - array_diff
  - array_diff_ukey
  - array_diff_uassoc
  - array_diff_key
  - array_diff_assoc
  - array_count_values
  - array_combine
  - array_column
  - array_chunk
  - array_change_key_case
- - PHP-cli 1
  - php cli 命令
- - PHP-pcntl 1
  - PHP pcntl
- - PHP-反射 7
  - php反射类的使用及Laravel对反射的使用介绍
  - ReflectionParameter 类
  - ReflectionMethod 类
  - Reflector 接口
  - ReflectionClass 类
  - Reflection 类
  - 简介
- - PHP-性能 1
  - PHP爬虫的三种方法
- - PHP-断点调试 1
  - PHP-断点调试
- - PHP-流程控制 14
  - goto
  - declare
  - switch
  - continue
  - break
  - foreach
  - for
  - do-while
  - while
  - 流程控制的替代语法
  - elseif | else if
  - else
  - if
  - 简介
- - PHP7新特性 9
  - PHP 7 use 语句
  - PHP 过滤 unserialize()
  - PHP Closure::call()
  - PHP 匿名类
  - PHP 常量数组
  - PHP 太空船运算符（组合比较符）
  - PHP NULL 合并运算符
  - PHP 标量类型与返回值类型声明
  - PHP7的新特性详解--标量定义（Scalar Typehints）
- - PSR 4
  - PSR-6 缓存接口规范
  - PSR-4 自动加载规范
  - PSR-3 日志接口规范
  - PSR-1: 基本编码标准
- - Phpstorm 1
  - Phpstorm 技巧
- - Redis 16
  - 如何保证缓存与数据库的双写一致性？
  - Redis SORT
  - Redis 脚本
  - Redis 服务器
  - Redis 连接
  - Redis 事务
  - Redis 发布订阅
  - Redis HyperLogLog
  - Redis 有序集合(sorted set)
  - Redis 集合(Set)
  - Redis 列表(List)
  - Redis 哈希(Hash)
  - Redis 字符串(String)
  - Redis 键(key)
  - Redis 数据类型
  - PHP Redis相关操作大全
- - Redis操作 1
  - Redis 安装部署和基本数据结构介绍
- - Redis理解 1
  - Redis理解
- - Restful 1
  - Laravel 中使用 JWT 认证的 Restful API
- - SCM 2
  - 专业名词
  - 钉钉审批
- - SKU 1
  - 什么是SPU、SKU、SKC、ARPU
- - Shell 9
  - Shell基础知识
  - shell执行PHP传入参数的三种方式
  - Shell 脚本调试方法和文件包含
  - Shell 自定义函数
  - Shell 程序控制结构语句
  - Shell 编程中的输入输出命令
  - Shell 中的特殊字符
  - shell变量
  - shell脚本的建立与执行
- - Swoole 2
  - swoole 理解二
  - Swoole 理解一
- - TCP/IP 2
  - tcpdump抓包工具的使用
  - TCP连接的状态
- - Yii2.0 2
  - yii2 Widgets 下的`widget()` `begin()` `end()` 方法
  - yii2 beforeAction 重定向问题
- - dnmp 1
  - dnmp lnmpa 环境搭建
- - docker 1
  - docker友好的vscode编辑器
- - doitphp 7
  - 控制器基类构造函数
  - 开发规范
  - 配置文件管理类
  - 自动加载引导类文件
  - 框架初始化文件
  - 框架引用机制
  - PHP中array_merge函数与array+array的区别
- - ecshop 1
  - ecshop 里的 ajax 请求与响应
- - form 1
  - javascript 实现表单提交,文件上传
- - lnmpa 1
  - dnmp lnmpa 环境搭建
- - session 1
  - Session原理简述
- - socket 2
  - websocket 理解
  - socket 理解
- - vscode 1
  - docker友好的vscode编辑器
- - 专业名词 1
  - 专业名词
- - 企业微信 1
  - 企业微信打开已有群聊并发送消息
- - 关于我 1
  - 关于我
- - 协同开发 1
  - 相关的软件
- - 博客 1
  - 大佬博客备忘录
- - 学车 4
  - 科三考前矫正
  - 科三重车
  - 重车教练矫正
  - 学车
- - 工作总结 5
  - 数组比较与重组
  - PHP 计算三维数组的第三维元素总和
  - form表单传递数组数据、php脚本接收的实例
  - PHP文件打包(Zip)
  - PHP解析表单传输过来的json数组
- - 微服务 1
  - SOA架构和微服务架构的区别
- - 心得 2
  - 块作用域函数作用域闭包
  - 编码心得
- - 拼音首字母 1
  - 树形结构的数据库表设计 & MYSQL 传汉字获取拼音首字母
- - 数据结构 1
  - 数据结构之数组和链表的区别
- - 树形表 1
  - 树形结构的数据库表设计 & MYSQL 传汉字获取拼音首字母
- - 正则表达式 1
  - 正则表达式
- - 深入理解 1
  - PHP JavaScript Yii
- - 理论 4
  - SOA架构和微服务架构的区别
  - 编程思想(POP,OOP,COP,AOP,SOP) 整理
  - 什么是SPU、SKU、SKC、ARPU
  - QPS，TPS，RT，并发数，吞吐量是指什么？
- - 疑问 1
  - mac 安装 docker 疑问??
- - 算法 3
  - 插入排序
  - 选择排序
  - 冒泡排序
- - 编程思想 4
  - 编程十诫
  - 编程建模-数据描述的三个领域
  - SOA架构和微服务架构的区别
  - 编程思想(POP,OOP,COP,AOP,SOP) 整理
- - 设计模式 15
  - php单例模式的实例
  - 行为型--模板方法模式
  - 结构型--代理模式
  - 结构型--享元模式
  - 结构型--外观模式
  - 结构型--组合模式
  - 结构型--装饰器模式
  - 结构型--桥接模式
  - 结构型--适配器模式
  - 原型模式
  - 建造者模式
  - 工厂模式、服务容器(IocContainer)
  - 注册树模式
  - 设计模式概述
  - 创建型--单例模式(单一的实例)
- - 跨域 1
  - Chrome 中 Set-Cookie SameSite 问题
- - 面试题 4
  - 如何保证缓存与数据库的双写一致性？
  - PHP static关键字的用法及注意点
  - PHP面试题目搜集－－合格的PHPer必过
  - 面试题
- - 项目经验 1
  - 公司项目梳理
- - 高并发性能指标 1
  - QPS，TPS，RT，并发数，吞吐量是指什么？
- 以下【标签】将用于标记这篇文稿：

添加新批注

在作者公开此批注前，只有你和作者可见。

私有
公开
删除

回复批注