Filipp
16.01.2016, 22:33
Народ, объясните в чем суть php-inj в сериализации (serialize, unserialize). Удобная вещь, часто ней пользуюсь. Вьехал всего лишь в один пример:
PHP:
$data=unserialize($autologin);
if ($data['username'] ==$adminName&&$data['password'] ==$adminPassword) {
$admin=true;
} else {
$admin=false;
}
Получается что можно задать переменной в массиве булевское значение, и в итоге получиться true. Но вот саму суть валнераблы никак понять не могу.
Нашел хороший man: https://rdot.org/forum/showthread.php?t=950
Добрые люди, объясните пожалуйста, интересно же)
PHP:
$data=unserialize($autologin);
if ($data['username'] ==$adminName&&$data['password'] ==$adminPassword) {
$admin=true;
} else {
$admin=false;
}
Получается что можно задать переменной в массиве булевское значение, и в итоге получиться true. Но вот саму суть валнераблы никак понять не могу.
Нашел хороший man: https://rdot.org/forum/showthread.php?t=950
Добрые люди, объясните пожалуйста, интересно же)