POSTのデータをdeserialize()関数に渡さないようにして、PHPオブジェクトのインジェクションに対する脆弱性を解消しました。Pedro Ribeiro氏の情報提供に感謝します。(#6695を参照)
deserialize()