序列化和反序列化

最新推荐文章于 2024-07-21 21:22:27 发布
最新推荐文章于 2024-07-21 21:22:27 发布
阅读量229 收藏
点赞数
分类专栏: web 文章标签: linq xml c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AboutLzs/article/details/124799656
版权

一、什么是序列化和反序列化:

        1、序列化:

                 将对象的状态信息转换为可存储或传输的星时代的过程。

        2、反序列化:

                将可存储或传输的形式的过程恢复为对象的过程

        3、存储格式:

                二进制、XML、JSON

二、反序列化漏洞:

        序列化与反序列化机制本身并无问题,但应用程序对于用户输入数据(不可信数据)进行了反序列化处理,使反序列化生成了非预期的对象,在对象的产生过程中可能产生攻击行为。

        常见编程语言PHP、JAVA、Python中均具有反序列化问题,但由于JAVA的公用库,如Apache Commons Collections的广泛使用,导致WebLogic、webSphere、JBoss、Jenkins等应用均具有此漏洞。

三、PHP序列化与反序列化

首先在WWW目录下创建student.php文件:

<?php

class Student{
    public $name;
    public $age;
    public function Say(){
        echo 'Hello, I am '.$this->name. ', I am '.$this->age.' years old'.'<br />';
    }
}

$s1 = new Student();
$s1->name = 'liming';
$s1->age = 44;
$s1->Say();

?>

执行结果为:

序列化:

PHP通过serialize进行序列化操作,保存对象以供以后使用:

<?php

class Student{
    public $name;
    public $age;
    public function Say(){
        echo 'Hello, I am '.$this->name. ', I am '.$this->age.' years old'.'<br />';
    }
}  

$s1 = new Student();
$s1->name = 'liming';
$s1->age = 44;
$s1->Say();

echo serialize($s1);  

?>

执行结果为:

O:7:"Student":2:{s:4:"name";s:6:"liming";s:3:"age";i:44;}为序列化结果。

反序列化:

<?php

class Student{
    public $name;
    public $age;
    public function Say(){
        echo 'Hello, I am '.$this->name. ', I am '.$this->age.' years old'.'<br />';
    }
}  

$s2 = unserialize('O:7:"Student":2:{s:4:"name";s:6:"liming";s:3:"age";i:44;}');
$s2->Say();

$s3 = unserialize('O:7:"Student":2:{s:4:"name";s:5:"xuyin";s:3:"age";i:66;}');
$s3->Say();

?>

执行结果:

 反序列化漏洞复现:

在www目录下创建log.php文件:

<?php

class LOG{

    public $filename = 'access.txt';
    function Write_log($text){
        echo "access".$text;
        file_put_contents($this->filename,$text,FILE_APPEND);
    }
}

$log1 = new LOG();
$log1->Write_log('Sometimes your whole life boils down to one insane move.');

?>

 执行结果为:

成功在www目录下创建文件

 

 

创建log1.php文件

<?php

class LOG{

    public $filename = 'access.txt';
    function Write_log($text){
        echo "Delete".$text;
        file_put_contents($this->filename,$text,FILE_APPEND);
    }
}

$log2 = unserialize($_POST['s']);
$log2->Write_log('unserialize data!!!');

?>

 执行代码:

 

access.txt文件被删除

AboutLzs
关注
专栏目录
记Django CBV下的put,delete方法反序列化不成功的解决办法
月守护的博客
07-22 309
JS前端准备以put及delete方式向后台发送数据 格式提取如下: var postlist = []; var temp={"id":"1","name":"月守护3dfd21","gender":"女","cls_id":"计算机三班"} postlist.push(JSON.stringify(temp)) var temp={"id":"2","number":"1402024321",...
java序列化反序列化,面试必备
12-21
Java序列化反序列化是Java开发中常见且重要的概念,尤其在面试中常常被问及。序列化是指将一个Java对象转化为字节序列的过程,这样可以将对象的状态持久化到磁盘上或者在网络中进行传输。反序列化则是相反的过程,...
序列化反序列化 - BinaryFormatter二进制(.dat)、SoapFormatter(.soap)、XmlSerializer(.xml)...
ajwqb06628的专栏
05-07 173
序列化反序列化 - BinaryFormatter二进制(.dat)、SoapFormatter(.soap)、XmlSerializer(.xml)   XML系列化更详细的文章:http://www.cnblogs.com/kissdodog/p/346838...
【渗透入门】反序列化
最新发布
LongL_GuYu的博客
07-21 1147
反序列化漏洞是一种安全漏洞,它发生在应用程序将序列化的数据(通常是从不可信的源接收的数据)反序列化成对象时。序列化是将对象状态转换为可以存储或传输的格式的过程,而反序列化则是相反的过程,即将这些格式转换回对象。
二进制BinaryFormatter 泛型 序列化反序列化 (保存文件到本地和读取)
weixin_33921089的博客
05-01 203
搬迁原来博客海澜CSDN #region using using System; using System.Collections; using System.Collections.Generic; using System.Threading; using System.Threading.Tasks;...
java 序列化反序列化
洞玄之境的博客
09-06 156
https://blog.csdn.net/xlgen157387/article/details/79840134 一、基本概念 1、什么是序列化反序列化 (1)Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程; (2)序列化:对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。序列化是把对象...
.net中对象序列化技术浅谈
热门推荐
周公(周金桥)的专栏
03-11 1万+
序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。这两个过程结合起来,可以轻松地存储和传输数据。例如,可以序列化一个对象,然后使用 HTTP 通过 Internet 在客户端和服务器之间传输该对象。反之,反序列化根据流重新构造对象。此外还可以将对象序列化后保存到本地,再次运行的时候可以从本地文件中“恢复”对象到序列化之前的状态。在.net中有提供了几种序
protobuf序列化反序列化技术
12-28
protobuf序列化反序列化技术是大数据处理领域中不可或缺的一部分,尤其在实时大数据场景下,高效的数据传输和存储对性能有着直接影响。谷歌推出的Protocol Buffers(简称protobuf)是一种语言无关、平台无关的数据...
C#使用Json.Net进行序列化反序列化及定制化
12-31
反序列化(Deserialize)则是将上面的字节流转换为相应对象的过程;在.Net阵营中,Json.Net是由官方推荐的高性能开源序列化/反序列化工具,其官方网站:https://www.newtonsoft.com/json; 一、将对象序列化为Json...
Java对象的序列化反序列化实践
12-22
 把字节序列恢复为Java对象的过程称为对象的反序列化。  对象的序列化主要有两种用途:  1)把对象的字节序列地保存到硬盘上,通常存放在一个文件中;  2)在网络上传送对象的字节序列。  一、JDK类库...
c#序列化反序列化
05-24
- **序列化反序列化的工具**:C#提供了几种不同的序列化机制,如BinaryFormatter、SoapFormatter和XML序列化等。 #### 四、示例:使用BinaryFormatter进行序列化 在给定的部分内容中,我们看到了如何使用...
tpl存储序列化
01-28
这个库是用C语言写的,存储序列化十分的方便 官方推荐编译环境2008 和 2010,不过经过个人修改源码,在VC 6.0环境下编译通过!
tpl:tpl-用于C的小型二进制序列化
05-08
有关tpl的文档,请访问:
tpl:使用少量API函数即可轻松序列化C数据-开源
04-13
Tpl使得仅使用少量API函数即可轻松序列化C数据。 数据以其原始二进制格式存储,以实现最大效率。 支持C,Perl和XML。 数据可以从Unix到Mac再到Windows跨CPU类型和OS移植。
Linux | 网络通信 | 序列化反序列化的讲解与实现
凡事都是靠练习
02-18 1177
通信模型中,序列化协议的定制,深刻理解序列化
序列化反序列化
刘翼荣的博客
03-01 198
文章目录序列化反序列化定义优点实现方式java原生序列化Json序列化FastJson序列化ProtoBuff序列 序列化反序列化 定义 序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程。 序列化: 对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。序列化是把对象转换成有序字节流,以便在网络上传输或者保存在本地文件中。核心作用是对象状态的保存与重建。 反序列化: 客户端从文件中或网络上获得序列化后的对象字节流,根据字节
序列化反序列化以及几种JSON库的性能比较
藏经阁
08-09 4781
一、序列化反序列化 内存中的数据对象只有转换成二进制才可以进行数据持久化和网络传输。将数据对象转换成二进制的流程称之为对象的序列化(Serialization)。 反之,将二进制流恢复为数据对象的过程称之为反序列化(Deserialization)。序列化需要保留充分的信息以恢复数据对象,但是为了节省存储空间和网络带宽,序列化后的二进制流又要尽可能的小。序列化常见的使用时RPC框架的数据...
C#语言实现XML文件序列化反序列化的示例代码
XmlSerializer类提供了多种方法来控制序列化反序列化的过程,例如可以指定要序列化的对象类型、控制序列化的深度等。 在序列化对象时,需要注意以下几点: 1. 序列化的对象不能出现序列化异常,否则将导致序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值