[CCA Developers] unserialize Alternative

[Christian Schiffler]

Am Freitag, den 21.02.2014, 11:24 +0100 schrieb Martin Auswöger:
> Ich denke das Problem liegt nicht daran dass User-Input nicht richtig gefiltert wird, sondern dass User-Input an die unserialize-Funktion weitergegeben wird.
> 
> Für die längerfristige Zukunft sollte man vermutlich auf unserialize verzichten und stattdessen auf json_encode oder ähnliches setzen.
> 
> Für Contao 3 wird es aber vermutlich nicht möglich sein die deserialize-Funktion auszubauen, vor allem weil sehr viele Erweiterungen diese verwenden.
> 
> Mein Vorschlag würde die Sicherheit von 3.2.7 nicht verbessern, sondern Fehler beim deserializen verhindern. Z. B. bei deserialize('a:1:{i:0;s:13:"foo:123:"BAR"";}‘)

Der Vorschlag ist genau das, was ich ganz zu Anfang gesagt hatte, was
ich gerne implementieren wollte.

Dennoch denke ich, dass die aktuelle Loesung dahingehend schon gut ist,
da sie Entwickler dazu anhaelt Daten nicht serialisiert
abzuspeichern. ;)

Evtl. kriegen wir so endlich Normalisierung in Contao rein, so quasi
durch die Hintertyr. :)

Gruss
Chris
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 5902 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.c-c-a.org/pipermail/developers/attachments/20140221/c99dac2d/attachment.bin>