Blog de Gonzalo

OBJECT INJECTION

En php una vulnerabilidad en la seguridad en las aplicaciones que usan programación orientada a objetos es el uso de object injection que consiste en mandar objetos serializados con código malicioso y que al ser serializado sea ejecutado. Ese código maalicioso estará en las conocidad como magic method que son funciones que se llaman de forma implícita.
Para evitar que alguien nos mande un objeto serializado, que normalmente se hace en json, en vez de unserializarlo sería conveniente usar la función json_decode y validar cada dato que se reciba.
Nota: Parece ser que en php 7 se ha solucionado este problema.

Compartir en twitter