"ami fel tud boritani egy unserialize hivast."
Akkor arra is validalni kell. Es akkor maris a sajat rendszerben sem lesz valid.
"de nem ertem hogy ez miert zarja ki, hogy a sajat implementaciomban is maradjon kihasznalhato sebezhetoseg."
Nem azt mondtam, hogy hibatlan lesz, de mas fajta serializacio eseteben masfajta hibak vannak. Az, ami a beepitett serializaciot megboritja, jo esellyel a sajat implementaciot nem boritja meg. Es a rossz szandeku felhasznalok elsosorban az elterjedt hibakat fogjak kihasznalni, mert azzal meg mindig tobb oldalt tudnak feltorni, mint egy teljesen custom eljarassal valo kinlodassal.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.