10、php反序列化

最新推荐文章于 2024-06-13 15:01:36 发布
最新推荐文章于 2024-06-13 15:01:36 发布
阅读量168 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/guike/p/11191424.html
版权

10 反序列化

概念

      序列化就是把对象转换成字节流,便于保存在内存、文件、数据库;反序列化即逆过程,由字节流还原成对象。php允许保存一个对象方便以后重用,这个过程被称为序列化。

      为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。试想,如果为一个脚本中想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容释放掉了,我们要如何操作呢?难道要前一个脚本不断的循环,等待后面脚本调用?这肯定是不现实的。serialize和unserialize就是用来解决这一问题的。

serialize可以将对象转换为字符串并且在转换中可以保存当前对象的值;

 

unserialize则可以将serialize生成的字符串变换回对象。PHP中序列化用于存储或传递PHP值的过程中,同时不丢失其类型和结构。

 

magic函数__construct和__destruct会在对象创建或者销毁时自动调用;

__sleep:serialize() 函数会检查类中是否存在一个魔术方法    __sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容,则    NULL 被序列化,并产生一个 E_NOTICE 级别的错误。

__wakeup: unserialize() 会检查是否存在一个 __wakeup()方法。如果存在,则会先调用 __wakeup 方法,预先准备对象需要的资源。__wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。

__construct():当一个对象创建时被调用

__destruct():当一个对象销毁时被调用

__toString():当一个对象被当作一个字符串使用

实例1:文件删除

 

攻击代码

 

 

实例2:文件读取

 

 链接一位大佬的文章:https://chybeta.github.io/2017/06/17/浅谈php反序列化漏洞/

转载于:https://www.cnblogs.com/guike/p/11191424.html

denie6587
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java安全 反序列化(一)
sechelper的博客
12-07 302
java反序列化基础知识,漏洞成因,案例
JAVA 序列化
liyongshun82的博客
05-24 362
Java unserialize serialized Object(AnnotationInvocationHandler、ysoserial) In readObject() LeadTo TransformedMap Change LeadTo InvokerTransformer(Evil MethodName/Args) catalog 1. Java 序列化 2. Commons...
php反序列化漏洞复现
aobipi2343的博客
08-30 269
超适合小白的php反序列化漏洞复现 写在前头的话 在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下。我觉得学习的时候,所有的问题都应该问3个问题:what、why、how。what:什么是反序列化,why:为什么会出现反序列化漏洞,how:反序列化漏洞如何利用。 在这里我对反序列化的原理不做详细介绍,大家可以自行到网上搜索。在这...
序列化和反序列化漏洞的简单理解
jameson_的专栏
06-28 2万+
1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel
反序列化漏洞
tomyyyyy
03-26 449
反序列化 原理介绍 序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。比如你可以将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复。 漏洞成因 序列化...
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
详解php反序列化
12-17
最近也是在复习之前学过的内容,感觉对PHP反序列化的理解更加深了,所以在此总结一下 2 serialize()函数  “所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会...
php json与xml序列化/反序列化
10-26
在WEB开发中,php对象的序列化与反序列化经常使用,比较主流的有json格式与xml格式的序列化与反序列化。今天我们就来看看是如何用的。
PHP常见的序列化与反序列化操作实例分析
10-16
主要介绍了PHP常见的序列化与反序列化操作,结合实例形式分析了php使用serialize()及unserialize()进行序列化与反序列化相关操作技巧及注意事项,需要的朋友可以参考下
PHP将二进制字节流转成中文字符串
嬴政
09-30 5393
最近在开发YII2中文验证码功能,需要一种成语的验证码,然后我用C++生成了一些成语,最终产生二进制文件,按GBK编码保存,一个汉字两字节。 最终是需要PHP读取二进制文件的,在读取二进制文件时碰到问题,需要将这种二进制转成字符串,然后在网上找了一些资料最终确定了以下方法是可行的。 $c = dirname(__FILE__)."/idiom.dat";//含有汉字的二进制文件
php 控制字节流_PHP 文件处理操作
weixin_42509293的博客
03-08 503
PHP 文件处理操作作者: 初生不惑 Java技术QQ群:227270512 / Linux QQ群:479429477PHP文件系统允许我们创建文件,逐行读取文件,逐个字符读取文件,写入文件,附加文件,删除文件和关闭文件。PHP打开文件 - fopen()函数PHP fopen()函数用于打开文件。语法resource fopen ( string $filename , string $mod...
java序列化漏洞_Java反序列化漏洞研究
weixin_39917576的博客
02-16 72
漏洞原理java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。当反序列化的输入来源于程序外部,可以被用户控制,恶意用户便可以构造恶意的字节流,经反序列化之后得到精心构造的恶意对象。也就是说一些java应用的数据在网络中传输,我们把里面的序列化数据抠出来,替换成我们的payload,应用程序接收之后把payload进行反序列化,构造的恶意功能(如...
php 控制字节流_php输出字节流(本节以音频播放为例)
weixin_33987275的博客
03-08 746
本教程是在ThinkPHP5.0中进行的,如用在其它程序中,作少量修改即可。/***以文件流输出音频文件*@authorSindsun*@date2018年10月27日22:32:17*@param$filePath文件地址*@param$param其它参数*@param$fun执行一个闭包函数第一个参数为外部参数*@outputfilestream*@ret...
[转]信息安全相关理论题(三)
热门推荐
Herry_Lee的专栏
02-18 20万+
21、静态分析是运行程序后进行调试? A、 对 B、 错 您的答案: 标准答案: B 22、安卓反编译后会出现$符号字节码表示是匿名内部类? A、 对 B、 错 您的答案: 标准答案: A 23、反编译安卓应用后,一般应该先查看哪一个smali文件的代码? A、 编译程序打开控制台 B、 打开匿名类smali文件 C、 打开加密解密smali文件 D、 ...
php 控制字节流_php 如何接受并转换http字节流
weixin_42543046的博客
03-08 651
我做一个php服务端, java客户端以http post方式,把文件流转换为字节流,再setEntity给我, java代码片段如下:HttpPost post = new HttpPost(postUrl);ByteArrayEntity entity = new ByteArrayEntity(outputStream.toByteArray());post.setEntity(entity...
1. NAS和SAN存储
最新发布
u010198709的博客
06-13 374
流程:存储端共享裸块设备,客户端连接存储映射出sdx的虚拟硬盘,客户端分区格式化挂载使用。IQN名称格式: iqn.yyyy-mm.反域名:自定义名称。用户名:openfiler, 密码:password。磁盘接口:SATA,SAS、NVME。支持nfs、cifs协议共享存储空间。nfs:适用于Linux、Unix。类型:IP SAN、FC SAN。cifs:适用于Windows。磁盘类型:机械硬盘、SSD。基于文件系统级别的共享。DAS 直接附加存储。NAS 网络附加存储。SAN 存储区域网络。
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 280
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
源码编译安装LAMP
潇的博客
06-12 849
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
软考初级网络管理员_07_网络单选题
2301_80961833的博客
06-12 909
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域网,下面的描述中错误的是()。
PHP序列化和反序列化
09-14
PHP序列化和反序列化是将PHP对象转换为可存储或传输的格式,以及将已序列化的数据重新恢复为PHP对象的过程。 在PHP中,序列化可以通过serialize()函数实现,该函数将PHP对象转换为一个字符串。反序列化则可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值