PHP 7.4的__toString()能否抛出异常?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1011个文字,预计阅读时间需要5分钟。
PHP 7.4 允许从 `__toString()` 抛出异常(允许 `__toString()` 抛出异常),而之前禁止从 `__toString()` 抛出异常。这会导致调用任意代码变得非常危险,并可能引发严重问题。
PHP 7.4允许从__toString() 抛出异常(Allow Exceptions from __toString())介绍
目前禁止从__toString()抛出异常,并将导致致命错误。这就使得调用任意代码变得很危险,并使其成为一个有问题的通用API。此RFC旨在取消此限制。
当前行为的基本原理是,在整个引擎和标准库的许多地方都执行了字符串转换,并不是所有地方都准备“正确地”处理异常,即尽可能早地处理异常。
从技术角度来看,这种限制最终是无效的,因为字符串转换期间的异常仍然可以由将可恢复错误转换为异常的错误处理程序触发:
set_error_handler(function() { throw new Exception(); }); try { (string) new stdClass; } catch (Exception $e) { echo "(string) threw an exception...\n"; }
事实上,Symfony利用这个漏洞来绕过当前的限制。
本文共计1011个文字,预计阅读时间需要5分钟。
PHP 7.4 允许从 `__toString()` 抛出异常(允许 `__toString()` 抛出异常),而之前禁止从 `__toString()` 抛出异常。这会导致调用任意代码变得非常危险,并可能引发严重问题。
PHP 7.4允许从__toString() 抛出异常(Allow Exceptions from __toString())介绍
目前禁止从__toString()抛出异常,并将导致致命错误。这就使得调用任意代码变得很危险,并使其成为一个有问题的通用API。此RFC旨在取消此限制。
当前行为的基本原理是,在整个引擎和标准库的许多地方都执行了字符串转换,并不是所有地方都准备“正确地”处理异常,即尽可能早地处理异常。
从技术角度来看,这种限制最终是无效的,因为字符串转换期间的异常仍然可以由将可恢复错误转换为异常的错误处理程序触发:
set_error_handler(function() { throw new Exception(); }); try { (string) new stdClass; } catch (Exception $e) { echo "(string) threw an exception...\n"; }
事实上,Symfony利用这个漏洞来绕过当前的限制。