PHP序列化對象數據是否適合Mysql注入?
[英]Is PHP Serialized Object Data Clean For Mysql Injection?
問題描述
如果要序列化mysql注入,是否需要轉義對象數據?
即:
class Object
{
public $description;
}
$obj = new Object();
$obj->description = mysql_real_escape_string("this is my crazy string with lot's of bad // characters");
$data = serialize($obj); // <-- $data will be stored in DB
或滿足以下條件:
class Object
{
public $description;
}
$obj = new Object();
$obj->description = "this is my crazy string with lot's of bad // characters";
$data = serialize($obj);
2 個解決方案
解決方案1
3 2010-06-30 23:36:35
是的,您必須轉義它(或使用准備好的語句)。
<?php
$obj = (object) array("--'--'" => "--'--");
var_dump(serialize($obj));
產量
string(44) "O:8:"stdClass":1:{s:6:"--'--'";s:5:"--'--";}"
如您所見,沒有逃避。
附帶說明,您應該將mysqli擴展名用於新代碼,而不是mysql擴展名。
解決方案2
2 已采納 2010-06-30 23:21:50
序列化后,運行mysql_real_escape_string() 。 畢竟,這就是您要放入數據庫中的字符串。
我應該在 PHP/MySQL 中存儲序列化對象還是 JOIN 表?
[英]Should I store a serialized object or JOIN tables in PHP/MySQL?
使用php進入mysql列,獲取序列化數據的最大價值
[英]Get the greatest value into serialized data with php into mysql column
如何通過 PHP 將序列化嵌套可排序數據保存到 MySQL 表?
[英]How to Save Serialized Nested Sortable Data to MySQL Table Via PHP?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.