你们都不关注一些重要更新的吗？ 5 的版本至少要 5.6.23 ， 7 的话>=7.0.8 。你可以去看 centos 的 webtatic 源，最低版本都”恰好“是这个，之前的版本 GC 有 BUG ，带安全隐患。 https://www.evonide.com/breaking-phps-garbage-collection-and-unserialize/

你们自己跑下下边的代码，跟你想的结果不一样，说明就是有 GC 缺陷的版本，原因是漏写了个 array 的 gc 方法。。。

```
$serialized_string = 'a:1:{i:1;C:11:"ArrayObject":37:{x:i:0;a:2:{i:1;R:4;i:2;r:1;};m:a:0:{}}}';
$outer_array = unserialize($serialized_string);
gc_collect_cycles();
$filler1 = "aaaa";
$filler2 = "bbbb";
var_dump($outer_array);
```

如果顾虑不多，肯定选腾讯。因为一开始工作的环境很重要，银行不能说不好，但是在 BAT 待几年再跳槽，真的没啥坏处。

这事情太小了吧，对于那些从事安全的人来说，闷声发大财的还不在少数呢。不过既然扯到管理，如果有公司相关规定，按规定处理就可以了，我判断很大可能是没这个规定，谁说不能写脚本抢的，公司自己还有个 UC 抢票呢，但解释权终归是主办方的。开除是管理层的决策，总归要找条规定的，随意就上升到了价值观去了，毕竟不会事先规定"发现抽奖作弊即开除"。