Ich schreibe eine Web-App, die Benutzereingaben in einem Objekt speichert. Dieses Objekt wird gebeizt.

Ist es einem Benutzer möglich, böswillige Eingaben zu erstellen, die ungeheuerlich sein können, wenn das Objekt nicht gepickt wird?

Hier ist ein wirklich grundlegendes Codebeispiel, das wundervolle Prinzipien wie die Verkapselung ignoriert, aber das verkörpert, was ich mir anschaue:

<code>import pickle

class X(object):
    some_attribute = None

x = X()
x.some_attribute = 'insert some user input that could possibly be bad'

p = pickle.dumps(x)

# Can bad things happen here if the object, before being picked, contained
# potentially bad data in some_attribute?
x = pickle.loads(p)
</code>