エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
PHP Object Injection とアプリケーションの互換性についての考察 - Qiita
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
PHP Object Injection とアプリケーションの互換性についての考察 - Qiita
PHP Object Injection (POI) とは何か 以下のリンクが参考になります。 PHP Object Injection - OWASP P... PHP Object Injection (POI) とは何か 以下のリンクが参考になります。 PHP Object Injection - OWASP PHPのunserialize関数に外部由来の値を処理させると脆弱性の原因になる PHPにおけるオブジェクトインジェクション脆弱性について PHP の unserialize 関数に、外部からコントロールでき改竄されたことを検証できない値を渡している場合に発生する脆弱性です。 修正方法は、上記のリンクのいずれにも記載がある通り unserialize / serialize 関数を使う代わりに json_decode / json_encode を使うようにすることです。 なお PHP7 から導入された allowed_classes を false に設定するという方法もありますが、今回は PHP5 系のことを考えて以下では検討しないこ