反序列化php/java

已于 2022-02-24 11:47:02 修改
阅读量217 收藏
点赞数
文章标签: php 开发语言 后端
于 2022-02-22 20:07:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Curry197/article/details/123073685
版权

目录

反序列化-PHP

是什么?

什么是序列化?

什么是反序列化?

关键函数:

格式

 思维导图

PHP里的等于号

常见魔术方法

反序列化-java

反序列化-PHP

是什么?

什么是序列化?

对象→字符串

什么是反序列化?

字符串→对象

关键函数:

serialize() 将一个对象转换成字符串

unserialize() 将字符串还原成一个对象

格式

 下图有错误,int型的时候不需要字符串长度以及双引号

 

 

 思维导图

PHP里的等于号

=赋值

==值相等

===值相等,类型相等

 分为两类:

1.无类

2.有类(就是有class)

有类就涉及到魔术方法(满足条件时会自动触发)

魔术方法参考网址:CTF PHP反序列化 - MustaphaMond - 博客园

常见魔术方法

1.__construct()//创建对象时触发

2.__destruct() //对象被销毁时触发

3.__call() //在对象上下文中调用不可访问的方法时触发

4.__callStatic() //在静态上下文中调用不可访问的方法时触发

5.__get() //用于从不可访问的属性读取数据

6.__set() //用于将数据写入不可访问的属性

7.__isset() //在不可访问的属性上调用 isset()或 empty()触发

8.__unset() //在不可访问的属性上使用 unset()时触发

9.__invoke() //当脚本尝试将对象调用为函数时触发

反序列化-java

Curry197
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phprpc.jar 包java 反序列化PHP工程demo
03-30
java 反序列化PHP ,java解析php序列化的字符串,工具包和工程实例
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
演示案例:Java 反序列化及命令执行代码测试WebGoat_Javaweb 靶场反序列化测试0x01 注入判断,获取管理员帐号密码:根据提示附件进行 java
java php序列化_java 反序列化PHP
weixin_36068796的博客
02-12 162
由于本人所在开发的项目,前期是由php完成的,这里需要对数据库中php序列化的字符串进行反序列化。1、引入maven依赖org.sctionphprpc3.0.22、反序列化对象方法public static Test getUnserialize(String content) throws Exception {PHPSerializer p = new PHPSerializer();if ...
java 反序列化 php数据
xhga
05-17 633
pom依赖: <dependency> <groupId>org.sction</groupId> <artifactId>phprpc</artifactId> <version>3.0.2</version> </dependency> 代码: /** ...
java 反序列化 PHP格式
gw的博客
08-18 2269
方式1 <!--Java 反序列化 php 序列化后的对象--> <dependency> <groupId>com.xk72</groupId> <artifactId>pherialize</artifactId> <versi...
java 反序列化php对象_PHP 序列化反序列化函数实例详解
weixin_28847199的博客
03-07 171
序列化反序列化把复杂的数据类型压缩到一个字符串中serialize() 把变量和它们的值编码成文本形式unserialize() 恢复原先变量1.创建一个$arr数组用于储存用户基本信息,并在浏览器中输出查看结果;$arr=array();$arr['name']='张三';$arr['age']='22';$arr['sex']='男';$arr['phone']='123456789';$a...
java序列化对象传给php
01-17
android(包括java)序列化一个对象传给php去做处理,或是接到php序列化的对象在java中做处理的工具jar包以及使用方法. 使用方法: byte[] b = null; b = PHPSerializer.serialize(一个对象);//将一个对象序列化后返回...
java 序列化PHP格式。
08-18
java数据 序列化PHP的格式 a:4:{s:6:"title2";s:13:"这是标题2";s:6:"title3";s:13:"这是标题3";s:5:"title";s:13:"这是标题1";s:6:"title4";s:13:"这是标题4";} 或者a:1:{i:0;a:1:{s:4:"name";s:10:"这是1321";...
PHP序列化/对象注入漏洞分析
12-18
它会被动检测PHPJava序列化的存在。 分析 我们检测到了应用里使用了PHP序列化,所以我们可以开始确认应用代码里是否含有远程代码执行漏洞。需要注意的是,序列化对象是从参数“r”取来的: $var1=unserialize($_...
第37天:WEB漏洞-反序列化PHP&JAVA全解(上)1
08-03
WEB漏洞-反序列化PHP&JAVA全解(上) 在 WEB 应用程序中,反序列化是一种常见的漏洞,攻击者可以通过反序列化来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHPJAVA 中,反序列化漏洞尤其常见,本文将...
java 反序列化PHP序列化字符串
yixian918的专栏
04-11 2326
import java.util.HashMap; /**  * Since i have to declare the return type of a function, and i have no idea  * ahead of time what value is being unserialized, this helper class is a hack  * so
php反序列化部分学习
qq_63267612的博客
07-24 298
_isset()//在不可访问的属性上调用isset()或empty()触发。//a为要反序列化的对象(序列化结果开头是a,不影响作为数组元素的$a的析构)__wakeup()//执行unserialize()时,先会调用这个函数。__callStatic()//在静态上下文中调用不可访问的方法时触发。__unset()//在不可访问的属性上使用unset()时触发。__call()//在对象上下文中调用不可访问的方法时触发。__set()//用于将数据写入不可访问的属性。...
java反序列化PHPSerializer 序列化的对象)
Henry_Lin_Wind的博客
04-07 2881
java反序列化php序列化的对象 1、原始数据为一个字符串 2、原始数据为一个对象 3、原始数据为一个集合(List 或Map) 1、反序列化java字符串 s:21:"这是一个字符串"; String str = "s:21:\"这是一个字符串\""; PHPSerializer phpSerializer = new PHPSerializer(); Object o...
php反序列化java_详解php反序列化
weixin_42466331的博客
02-25 281
1 前言最近也是在复习之前学过的内容,感觉对PHP反序列化的理解更加深了,所以在此总结一下2 serialize()函数“所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。”一开始看这个概念可能有些懵,但之后也是慢慢理解了在程序执行结束时,内存数据便会立即销毁,变量所储存的数...
Java之模拟PHP序列化serialize()/反序列化unserialize()方法
netuser1937的博客
11-08 1585
PHP的serialize()/unserialize(),方便把一个数组序列化反序列化Java的serialize,序列化之后,会把java.util…包名都放进去了,而且格式也不同于php, 对于汉字 php 占用2个字符,java占用一个字符,隐藏php序列化后,再由java 反序列化,可能导致乱码。 PHPSerializer 工具类: 当前版本实现了对各种基本类型、数组、ArrayList、HashMap、和其它可序列化对象的序列化。实现了 PHP 5 中的 Serializable 接口的
PHP序列化反序列化
caliburrrr的博客
03-10 371
所谓序列化,就是将一个变量的数据转换为字符串(但是与类型转换不同)。其目的是将该字符串存储起来(存为文本文件),当在其他环境上运行时,可以通过反序列化,将其回复。(一般用在数据需要存储的地方)序列化:    $str=serialize($变量)//将数据转换为字符串,并存入变量$str。    file_put_conetents("文本文件路径",$str);//将文件存在文本文件中。反序列化...
PHP多种序列化/反序列化的方法
wml
05-27 2763
1. serialize和unserialize函数serialize() 函数,把复杂的数据类型压缩到一个字符串中,把变量和它们的值编码成文本形式,这有利于存储或传递 PHP 的值,同时不丢失其类型和结构 unserialize() 函数对单一的已序列化的变量进行操作,将其转换回 PHP 的值 例:$stooges = array('Moe','Larry','Curly'); $new =
java 实现PHP serialize() unserialize接口
deng11342的专栏
07-11 7536
// 接口/** @ClassName Serializable * @Description java 实现PHP serialize() unserialize接口 * @author jiangshiwen * @date 2015-6-17 上午11:13:01 */ interface Serializable { byte[] serialize();
序列化Java中将使用PHP序列化工具将数据序列化
种一棵树最好的时间是十年前,其次是现在。
01-15 2869
在项目中需要和PHP公用一个MySQL数据库,有些数据需要序列化之后保存,这就需要将待存储的数据序列化之后存到数据库中,取出的时候,需要反序列化之后才能正常使用。 原数据: {&quot;06008816930683722.jpg&quot;, &quot;06008816930681525.jpg&quot;} 数据库中存的数据是这样的: a:1:{s:5:&quot;buyer&quot;;a:2:{i:1;s:21:&quot;060
存在反序列化漏洞的框架有哪些
最新发布
07-11
3. Java RMI(远程方法调用):Java RMI是Java中的远程调用机制,也存在反序列化漏洞。例如,Apache River框架在较旧版本中存在漏洞。 4. Java EE(Enterprise Edition):Java EE是一套用于开发企业级应用程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值