从后端代码可以看出,拿到序列化后的字符串,直接做反序列化;并且在前端做了展示;
如果虚拟化后的字符串,包含alert 内容,反序列化后,就会弹出窗口
O:1:"S":1:{s:4:"test";s:29:"<script>alert('abc')</script>";}
Pikachu-PHP反序列化
什么鬼昵称2024-10-05 15:44
相关推荐
拾年2755 小时前
我用 30 行代码,搞懂了大模型是怎么"读"中文的竹林8185 小时前
从 ethers.js 到 viem:我在一个 DeFi 看板项目中踩过的所有坑与最终方案bonechips5 小时前
Tool Use:从"缸中大脑"到 AI Agent 的技术真相秋天的一阵风6 小时前
Vue 3 里被严重低估的 API:InjectionKeykisshyshy6 小时前
从递归到迭代,一文吃透二叉树的核心知识与 JavaScript 实现铁皮饭盒6 小时前
Bun 多线程有多快?postMessage 传输字符串比 Node.js 快 400 倍!To_OC17 小时前
LC 49 字母异位词分组:想到哈希表很简单,选对 key 才是精髓kyriewen19 小时前
用了半年 Claude Code 后,我尝试关掉它写了一周代码——结果比想象中严重山河木马21 小时前
矩阵专题0-webGL中的矩阵Asize21 小时前
多模态生图:从 Vite 工程化到前端调用 Qwen Image