从后端代码可以看出,拿到序列化后的字符串,直接做反序列化;并且在前端做了展示;
如果虚拟化后的字符串,包含alert 内容,反序列化后,就会弹出窗口
O:1:"S":1:{s:4:"test";s:29:"<script>alert('abc')</script>";}
Pikachu-PHP反序列化
什么鬼昵称2024-10-05 15:44
相关推荐
Hilaku13 小时前
在 HTTP/3 普及的 2026 年,那些基于 Webpack 的性能优化经验,有一半该扔了进击的尘埃13 小时前
基于 LLM Function Calling 的前端动态表单生成引擎:从 JSON Schema 映射到运行时组件树的端到端实现SuperEugene13 小时前
Vue3 + Element Plus 全局 Message、Notification 封装与规范|Vue生态精选梁大虎14 小时前
Electrobun 开发必看:CEF 依赖下载失败?手动解压一招搞定!青青家的小灰灰14 小时前
拒绝 Prop Drilling 与隐式耦合:Vue 组件通讯的全景指南与最佳实践streaker30314 小时前
多 IDE/Agent 环境下的 Skill 管理方案进击的尘埃14 小时前
Playwright Component Testing 深度拆解:组件挂载到底干了啥,视觉快照又怎么塞进 CIyuki_uix15 小时前
深入理解 JavaScript 的 this:从困惑到掌握的完整指南yuki_uix15 小时前
Promise 与 async/await:从回调地狱到优雅异步的演进之路Moment15 小时前
2026 趋势预测:Vibe Coding 之后,人人都会拥有专属 Agent 吗?