PHP 7.4中,如何让__toString()方法在转换时能抛出异常?
- 内容介绍
- 文章标签
- 相关推荐
本文共计990个文字,预计阅读时间需要4分钟。
PHP 7.4 允许从 __toString() 抛出异常(允许从 __toString() 抛出异常),这会导致从 __toString() 抛出异常,进而导致致命错误。这使调用任意代码变得非常危险,并可能使其成为一个有问题的通说。
PHP 7.4允许从__toString() 抛出异常(Allow Exceptions from __toString())
介绍
目前禁止从__toString()抛出异常,并将导致致命错误。这就使得调用任意代码变得很危险,并使其成为一个有问题的通用API。此RFC旨在取消此限制。
当前行为的基本原理是,在整个引擎和标准库的许多地方都执行了字符串转换,并不是所有地方都准备“正确地”处理异常,即尽可能早地处理异常。
从技术角度来看,这种限制最终是无效的,因为字符串转换期间的异常仍然可以由将可恢复错误转换为异常的错误处理程序触发:
set_error_handler(function() { throw new Exception(); }); try { (string) new stdClass; } catch (Exception $e) { echo "(string) threw an exception...\n"; }
事实上,Symfony利用这个漏洞来绕过当前的限制。不幸的是,这依赖于$errcontext参数,它在PHP 8中消失了.
尽管如此,在我们对该代码库中的字符串转换进行了全面审核之前,过去关于该主题的讨论一直没有放松这种限制。这已在附加的实现请求中完成。
本文共计990个文字,预计阅读时间需要4分钟。
PHP 7.4 允许从 __toString() 抛出异常(允许从 __toString() 抛出异常),这会导致从 __toString() 抛出异常,进而导致致命错误。这使调用任意代码变得非常危险,并可能使其成为一个有问题的通说。
PHP 7.4允许从__toString() 抛出异常(Allow Exceptions from __toString())
介绍
目前禁止从__toString()抛出异常,并将导致致命错误。这就使得调用任意代码变得很危险,并使其成为一个有问题的通用API。此RFC旨在取消此限制。
当前行为的基本原理是,在整个引擎和标准库的许多地方都执行了字符串转换,并不是所有地方都准备“正确地”处理异常,即尽可能早地处理异常。
从技术角度来看,这种限制最终是无效的,因为字符串转换期间的异常仍然可以由将可恢复错误转换为异常的错误处理程序触发:
set_error_handler(function() { throw new Exception(); }); try { (string) new stdClass; } catch (Exception $e) { echo "(string) threw an exception...\n"; }
事实上,Symfony利用这个漏洞来绕过当前的限制。不幸的是,这依赖于$errcontext参数,它在PHP 8中消失了.
尽管如此,在我们对该代码库中的字符串转换进行了全面审核之前,过去关于该主题的讨论一直没有放松这种限制。这已在附加的实现请求中完成。