记录PHPSerializer工具类反序列化遇到的坑

已于 2022-11-18 15:35:13 修改
阅读量550 收藏 1
点赞数 1
文章标签: java php
于 2022-07-14 17:24:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxclll/article/details/125788362
版权

php语言中,有自己封装好的序列化跟反序列化的方法,如果我们在java项目中需要反序列化由php序列化的数据,我们可以使用PHPSerializer工具类

pom文件中引入依赖

<!-- 反序列化php序列化过的字符串 -->
<dependency>
    <groupId>org.sction</groupId>
    <artifactId>phprpc</artifactId>
    <version>3.0.2</version>
</dependency>

使用也非常简单,由于序列化的数据大多数是json,该工具会反序列化成AssocArray类对象,所以写法如下:

public static AssocArray unSerializePhpStr(String str) throws InvocationTargetException, IllegalAccessException {
        if(StringUtils.isEmpty(str)) {
            return null;
        }
        PHPSerializer p = new PHPSerializer();
        return (AssocArray) p.unserialize(str.getBytes());
}

我们反序列化一个简单的json字符串:a:1:{i:123;s:2:"id"}

String str = "a:1:{i:123;s:2:\"id\"}";
AssocArray object = PhpSerializerUtil.unSerializePhpStr(str);
HashMap hashMap = object.toHashMap();

反序列化成功了,我们可以使用toHashMap()将AssocArray对象转成HashMap对象

但是这只是简单的json反序列化,php在序列化的时候,数字类型都会序列化成i类型,而在java中会区分int和long类型,所以如果数值太大,在java中会反序列化失败,比如:

a:2:{i:1;i:1649729539760;s:2:"id";i:2;}

我们反序列化一下试试

 

发现直接报错,我们去看一下源码:

这里可以看到,i类型直接会映射成Integer,所以长度会有限制。我们再仔细看,发现有个d类型可以映射成Double,那我们将i全部改成d试试

str.replaceAll("i:","d:");

 再试一下

发现返回的直接是null,虽然没报错,但是明显不对,我们再看看源码:

 

 i跟d的映射应该没有问题,问题出现在a上面,我们进去看看

json是<k,v>结构,可以看到AssoArray对象的key并不支持Double类型,所以直接返回了null,所以只能将value类型由i转成d,key不能改,但是反序列化之后的字符串特别难区分key和value,写起来很麻烦,所以干脆,直接将i类型转成s(String),这样key和value都支持

public static AssocArray unSerializePhpStr(String str) throws InvocationTargetException, IllegalAccessException {
        if(StringUtils.isEmpty(str)) {
            return null;
        }
        //整形全部转成字符串,避免长度超出(key不支持其他数字类型)
        String numStr = "i:";
        while (str.contains(numStr)) {
            int index = str.indexOf(numStr);
            String str1 = str.substring(0,index);
            String str2 = str.substring(index);
            int index1 = str2.indexOf(";");
            str = String.format("%ss:%d:\"%s\"%s",str1,index1-2,str2.substring(2,index1),str2.substring(index1));
        }
        PHPSerializer p = new PHPSerializer();
        return (AssocArray) p.unserialize(str.getBytes());
    }

 我们再试试:

发现成功了

注意:AssocArray对象中的字符串类型value全都是byte数组,需要自己手动转成String

补充:AssocArray对象处理起来太麻烦,补充一个返回json的方法

/**
     * 将所有的AssocArray转成java
     * @param str
     * @return
     * @throws InvocationTargetException
     * @throws IllegalAccessException
     */
    public static JSONObject unSerializePhpStrBackJson(String str) throws InvocationTargetException, IllegalAccessException {
        AssocArray assocArray = unSerializePhpStr(str);
        return assocArrayToHash(assocArray);
    }

    private static JSONObject assocArrayToHash(AssocArray assocArray) {
        HashMap hashMap = assocArray.toHashMap();
        JSONObject result = new JSONObject();
        for (Object key : hashMap.keySet()) {
            if(hashMap.get(key) instanceof AssocArray) {
                result.put(key.toString(),assocArrayToHash((AssocArray) hashMap.get(key)));
            }else if(hashMap.get(key) instanceof byte[]) {
                result.put(key.toString(),new String((byte[]) hashMap.get(key)));
            }else {
                result.put(key.toString(),hashMap.get(key));
            }
        }
        return result;
    }

***********************补充2022/11/18

1、如果序列化后的数据包含转义字符,这个时候会反序列化失败,我们需要去除转义字符

str = str.replaceAll("\\\\\"","\"");

2、如果php序列化的数据包含中文,php可能会将其序列化为16进制编码,比如下面的数据

a:1:{s:4:"name";s:6:"\xe5\x90\x8d\xe7\x89\x87";}

这个时候同样会反序列化失败,此时,我们需要将16进制编码转变成中文

public static String hex2UTF8(String hexStr) throws UnsupportedEncodingException {
        return URLDecoder.decode(hexStr.replaceAll("\\\\x", "%"), StandardCharsets.UTF_8.name());
    }

先调用这个方法去除一下16进制编码,然后再反序列化就可以了

chenxianchong
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
C++ JSON 序列化与反序列化
06-22
1. 复杂类型的处理:除了基本类型外,还可以序列化和反序列化自定义类、结构体以及容器(如vector、map等)。对于自定义类型,通常需要重载`operator和`operator>>`,或者使用nlohmann/json库中的`to_json`和`from_...
Android快速开发系列 10个常用工具类 程序源码
09-05
1. **StringUtil**: 字符串处理工具类,包括字符串格式化、拼接、分割、校验等操作。例如,它可能提供检查字符串是否为空,转换首字母大写或小写,以及去除字符串两端的空白字符等方法。 2. **DateUtil**: 时间日期...
java反序列化PHPSerializer 序列化的对象)
Henry_Lin_Wind的博客
04-07 2895
java反序列化php序列化的对象 1、原始数据为一个字符串 2、原始数据为一个对象 3、原始数据为一个集合(List 或Map) 1、反序列化java字符串 s:21:"这是一个字符串"; String str = "s:21:\"这是一个字符串\""; PHPSerializer phpSerializer = new PHPSerializer(); Object o...
Java之模拟PHP序列化serialize()/反序列化unserialize()方法
netuser1937的博客
11-08 1647
PHP的serialize()/unserialize(),方便把一个数组序列化和反序列化Java的serialize,序列化之后,会把java.util…包名都放进去了,而且格式也不同于php, 对于汉字 php 占用2个字符,java占用一个字符,隐藏php序列化后,再由java 反序列化,可能导致乱码。 PHPSerializer 工具类: 当前版本实现了对各种基本类型、数组、ArrayList、HashMap、和其它可序列化对象的序列化。实现了 PHP 5 中的 Serializable 接口的
PHP 使用unserialize()反序列化报错问题
Lindong_Jen的博客
08-07 1039
1、问题描述:序列化的数组值中包含有英文下的双引号(“)、单引号(‘)、斜杆(\)等特殊字符,反序列化时会报如下错误: Notice: unserialize(): Error at offset 130 of 131 bytes in 2、问题分析:使用unserialize函数将数据反序列化时报错,后来发现是将gb2312转换成utf-8格式之后,每个中文的字节数从2个增加到3个之后导致了反序列化的时候判断字符长度出现了问题,所以需要使用正则表达式将序列化的数组中的表示字符长度的值重新计算一..
php的序列化与反序列化以及漏洞的成因
最新发布
jiangwnxu的博客
06-27 91
PHP序列化和反序列化是将数据从PHP对象或数组转换为字符串以在文件或网络中传输,然后将字符串转换回原始数据类型的过程。PHP序列化是通用数据交换格式,常用于Web应用程序中的数据存储和传输。
PHP反序列化漏洞总结
u013797594的博客
06-11 2473
PHP反序列化漏洞总结
java反序列化漏洞利用工具WebLogicExploit
01-14
本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再...
28个java常用的工具类源码
08-07
这些工具类通常包含了各种实用方法,可以处理字符串、集合、日期时间、数学计算等常见任务。以下是一些Java中常见的工具类及其相关知识点: 1. **`java.util.Arrays`**:这个工具类提供了一系列静态方法来操作数组...
Android反编译工具包(升级)官方绿色版
10-10
Android反编译工具包,内含图形和命令两种反编译方式,命令支持windows和linux平台,亲测验证成功!详见博客:Android APK反编译详解(附图) http://blog.csdn.net/sunboy_2050/article/details/6727581
php-serializer:用于快速操作大型序列化数组的库
06-22
PHP序列化程序 该库正在进行中。 在使用phpunit之前测试任何构建。 用于快速操作大型序列化字符串的库, PHPSerializer 旨在提高的效率 在 PHP 中,如果您有一个序列化数组,并且希望向该数组添加一个项目,则需要执行以下操作: $data = unserialize($serialized); array_push($data, 'some-new-item'); $serialized = unserialize($data); 这有什么问题? 好吧,为这样一个简单的操作反序列化整个数组是非常低效的。 如果您正在反序列化一个小数组或者您不经常这样做,那么这可能没问题,但如果您处于重负载设置中,则必须有更好的方法。 PHPSerializer 背后的想法本质上是根据操作以最有效的方式解析和流式传输序列化的字符串,而不是unserialize()为每个函数处理
java序列化对象传给php
01-17
android(包括java)序列化一个对象传给php去做处理,或是接到php的序列化的对象在java中做处理的工具jar包以及使用方法. 使用方法: byte[] b = null; b = PHPSerializer.serialize(一个对象);//将一个对象序列化后返回byte[] String phpserialstr=new String(b); 将变量phpserialstr传给php即可. PHPSerializer中还有unserialize方法,是反序列化
java 对象的序列化与反序列化
06-21
java 对象的序列化与反序列化 java 对象的序列化与反序列化
Android开发常用工具类
08-27
- `GsonUtils`:基于Gson库,用于JSON数据的序列化和反序列化,方便地将Java对象转换为JSON字符串,反之亦然。 7. **权限管理工具类**: - `PermissionUtils`:在Android 6.0及以上版本,处理运行时权限的申请和...
Java反序列化终极测试工具
09-17
这个“Java反序列化终极测试工具”可能是为了帮助开发者测试其应用程序中的反序列化过程,确保数据正确无误地恢复,并且可以用来检测潜在的安全问题,如利用不安全的反序列化漏洞进行攻击。 Java反序列化漏洞通常...
unserialize用法
笔记
05-03 2732
unserialize (PHP 3 >= 3.0.5, PHP 4, PHP 5) unserialize --  从已存储的表示中创建 PHP 的值 描述 mixed unserialize ( string str [, string callback] ) unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可
javascript中模仿php的serialize和unserialize序列化函数
小虎哥-把不可能的变成可能
07-24 334
/* phpserializer.js - JavaScript to PHP serialize / unserialize class. * * This class is designed to convert php variables to javascript * and javascript variables to php with a php serialize u...
java/php 通用serialize/unserialize,序列与反序列化的问题
thunder-1
06-17 2809
php的serialize/unserialize,方便把一个数组序列化和反序列化,但是要和java交互,就比较麻烦了。 java的serialize,序列化之后,会把java.util…包名都放进去了,而且格式也不同于php 对于汉字 php 占用2个字符,java占用一个字符,隐藏php序列化后,再由java 反序列化,可能导致乱码。 PHPSerializer 工具类可解决以上问题 目前版本...
php unserialize反序列化报错问题
huihuangjiuai的专栏
10-30 2584
一开始在本地测试的时候,取序列化值得时候,直接是unserialize(数组)["名称"],这样使用,没问题,也不报错。后来传到服务器上以后(tp框架),莫名其妙报错,也没有具体错误原因。挨个方法调试以后,终于找到就是unserialize的原因。 后来用变量接受一下反序列化的数组,然后用变量["名称"]的方式调用,一点问题没有。不知道这是不是一个unserialize的漏洞。希望能给大家一个提

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值