Hallo,

Daher liegt es wohl ebenso nahe anzunehmen, dass sich die Leute, die serialize/unserialize implementiert haben, darueber auch selbst bereits Gedanken gemacht haben ...

Haben sie auch. [...]

müsste man meinen, aber was ist da schon sicher ;-)

unserialize soll allerdings wohl durchaus unsicher sein koennen [1], wenn die Daten, auf die man es anwendet, nicht aus vertrauenswuerdiger Quelle stammen - also bspw. aus einem Cookie oder GET-/POST-Parametern stammende Daten zu unserialisieren, sollte man sich gut ueberlegen - die koennten so manipuliert sein, dass sie irgendwelche Unzulaenglichkeiten von unserialze ausnutzen.

Eben, da gab's mal irgendwas auf heise.de

Aber die Daten in einer Session-Datei sind vertrauenswuerdig, da sie in aller Regel auch von deinem Script selber dort hineingeschrieben worden, und das auf dem "normalen" Wege ohne Manipulation geschehen sein duerfte.

Warum? Die Daten schreib ich doch mit meinem Script da rein und wo meine Daten herkommen, weiß die Session doch nicht. In meinem Fall ist es eine komplette angefragte URI mit gesamten Anhang, also das so ziemlich unsicherste, das man sich vorstellen kann.

Ciao
Heinzelhund