浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

1.漏洞产生的原因 #### 正常的反序列化语句是这样的 $a=’a:2:{s:8:”username”;s:7:”dimpl3s”;s:8:”password”;s:6:”abcdef”;}’; 但是如果写成这样 $b=’a:2:{s:8:”username”;s:7:”dimpl3s”;s:8:”password”;s:6:”123456′′;}s:8:”password”;s:6:”abcde”;}’; 也可以正常的编译, 而且下面一条语句的结果是 password=“123456” 而不是abcde 结果 这就说明一个问题,在反序列化的时候,只要求第一个序列化字符串合法就