反序列化本页总览反序列化 漏洞描述 php反序列化漏洞也叫PHP对象注入,形成原因为程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行、文件操作、执行数据库操作等不可控后果。这一类攻击在java、python等面向对象语言中均存在。 漏洞例子 修复建议 1、对传入的对象进行严格的过滤检查 2、在反序列化过程执行的文件读写、命令或代码执行函数中是否有用户可控的参数。 绕过手段