PHP/deserialize - $ _GET値を逆シリアル化するのは安全ですか？

Question

私は$ _GET []を介して私のWebページの周りにurlencode（）d serialize（）d配列を渡しています。

$ _GETの値を逆シリアル化（）することは安全ですか？デシリアライズされた配列がユーザに表示されることがあります。ユーザーがコード内で変数や関数などを公開/参照することは可能でしょうか？言い換えれば、値をデシリアライズするとき、PHPはデータまたはコードとして扱いますか？

更新：

私はドキュメントは言う参照してください。 「。あなたがシリアライズされている配列/オブジェクト内の循環参照は、他の任意の参照は失われます保存されます」

は、だから、私は」を意味します安全ですか？ :-)

Answer 1

絶対に、積極的に、

クライアント側から何かを盲目的に信頼してはいけませんが、より自信を持てる方法があります。

私は、クライアント側からPHPシリアル化データが得られたとしたら、そのクライアントはある時点でサーバーから取得したと仮定していますか？その場合、クライアントがデータを変更しない場合は、データと一緒にハッシュを含めて、改ざんされていないことを確認することができます。

もう1つの方法は、オブジェクトのシリアル化を解除することですが、汚染されているとみなし、シリアル化されていないデータをコピーして「クリーン」オブジェクトに再確認します。

Answer 2

このメソッドは、他の種類の着信GETまたはPOSTデータと同じように安全です。常にはデータを処理する前に消毒する必要があります。しかし、ユーザーデータのシリアル化を解除することには、さらに問題があります。

オブジェクトのシリアル化を解除すると、PHPはクラスに__wakeup magic methodがあるかどうかを調べます。このメソッドは、存在する場合に実行されます。

これは、クラス定義がシリアル化されたデータで決して送信されないため、これは大きなセキュリティホールではありません。どんな悪質なコードもすでにシステムに存在していなければなりません。しかし、これが問題（例えばサードパーティのコードをインストールできるプラグインシステム）であるシナリオが考えられ、私はこれに非常に注意しています。

また理論的には、攻撃者はこれを使用して、スクリプト内の任意のクラスのオブジェクトを作成できます。すぐにセキュリティ上の問題ではありませんが、それは確かに良い練習ではありません。

「ダム」データのみを含むことができるので、JSONエンコーディングはより安全な方法です。

Answer 3

オブジェクト/配列/変数のデータ部分をシリアル化すると、実際の実行可能コードはシリアル化されません。同じであっても異なっていてもかまいません - データに関しては重要ではありません。

ハッシュは可能ですが、データに基づいているだけで、クラスと型と値が異なる場合があります。デシリアライズ時にエラーに対処する方法はコードの上にあります。

Answer 4

はい、安全です。 $ _GET配列の値をシリアル化するのが安全かどうかを確認しています。はい、安全です。配列のシリアライゼーション中に何も実行されません。$ _GET配列にはオブジェクトが含まれておらず、クエリ文字列のパラメータだけが含まれているため、シリアライゼーション/シリアル化解除時には問題ありません。

あなたは、循環参照に関するドキュメントで見たことを述べました。それを心配しないでください。$ _GET配列の中にオブジェクトがないので、あなたのケースには当てはまりません。

限りの$ _GET配列から実際のデータを使用するなど、それは別の問題だと答えはノー、それは

最初のフィルタまたは検証のいくつかのタイプを適用せずに$ _GET配列からのデータを使用しても安全ではありませんでしょう