PHP的序列化与反序列化的使用

最新推荐文章于 2024-01-03 14:19:03 发布
最新推荐文章于 2024-01-03 14:19:03 发布
阅读量662 收藏
点赞数
分类专栏: LAMP(WEB开发) 文章标签: php session 缓存系统 数据库 wordpress 数据结构

 

其实就是两个函数serialize()和unserialize()。做什么用的呢?官方说明

Generates a storable representation of a value

This is useful for storing or passing PHP values around without losing their type and structure.

生成一个可存储的值,可以很方便地存储或传递PHP值,同时保持原来的结构 。可以序列化所有的数据结构,除了资源类型(保存的是引用,而不是实际的值)。一些PHP内部方法里就使用了序列化,如session。

session_start
(
)
;


$_SESSION
[
'data'
]
 =
 array
(
'hello'
,
'php'
)
;


//最终被转化为如下格式,保存在文件中


//data|a:2:{i:0;s:5:"hello";i:1;s:3:"php";}

都可以用来做什么呢?

页面之间传递值

有两个页面,要传递一个object,又不想用$_SESSION,这时就可以考虑序列化。

<?php


//page1.php


class
 test

{


	private
 $i
 =
 1
;


	public
 function
 display(
)


	{


		echo
 '$i='
.
$i
;


	}


}


 

$test
 =
 new
 test(
)
;


<
form action=
'page2.php'
 method=
'post'
>


	<
input type=
"hidden"
 name=
"data"
 value=
"<?php serialize($test
); ?>"
 />


	<
input type=
"submit"
 value=
"submit"
 />


</
form>


 

//page2.php


$test
 =
 unserialize
(
$_POST
[
'data'
]
)
;


$test
->
display
(
)
;

保存数据到数据库

wordpress的插件参数就是序列化后保存到数据库。

<?php


$data
 =
 $_POST
[
'data'
]
;
//array


if
(
get_magic_quotes_gpc
(
)
)


{


	//去掉自动添加的转义符,避免被二次转义


	$data
 =
 stripslashes
(
$data
)
;


}


//避免序列化后出现的特殊字符对SQL造成干扰


$data
 =
 mysql_real_escape_string
(
serialize
(
$data
)
)
;


//执行数据库操作...

缓存文件

kohana的缓存系统就是通过序列化实现的,原理session差不多。

注意

尽量不要序列化浮点数,如3.14159之类的,会有意想不到的结果

<?php


$val
 =
 3.14159
;


var_dump
(
$val
)
;
  // initial value: float(3.14159)


$val
 =
 serialize
(
$val
)
;


var_dump
(
$val
)
;
  // string(55) "d:3.14158999999999988261834005243144929409027099609375;"

如果在处理特殊字符上实在觉得麻烦,就用base64来帮忙

$send_data
 =
 base64_encode
(
serialize
(
$obj
)
)
;


$receive_data
 =
 unserialize
(
base64_decode
(
$send_data
)
)
;
billhu001
关注
专栏目录
php反序列化利用_利用PHP反序列化
weixin_26722031的博客
08-30 465
php反序列化利用Serialization is when an object in a programming language (say, a Java or PHP object) is converted into a format that can be stored or transferred. Whereas deserialization refers to the oppos...
php json与xml序列化/反序列化
10-26
在Web开发中,数据交换和存储常常涉及到对象的序列化反序列化PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
PHP反序列化
m0_69637056的博客
07-10 5703
PHP
php 反序列化 && 常见的利用
3569
06-20 3108
http://www.lmxspace.com/2018/05/03/php-unserialize-%E5%88%9D%E8%AF%86/第一章 写在开头在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下。我觉得学习的时候,所有的问题都应该问3个问题:what、why、how。what:什么是反序列化,why:为什么会出现反序列化漏洞,how:...
PHP反序列化漏洞利用及修复,示例代码讲解
最新发布
白帽子凯哥聊黑客
01-03 1700
您提到的PHP反序列化漏洞是一个重要的网络安全问题。在我的网络安全工程师的角色下,我可以提供关于此问题的深入分析。PHP反序列化漏洞通常发生在当不可信的数据被反序列化时。序列化是将数据结构或对象状态转换为可存储或可传输的格式的过程,而反序列化则是将这些格式转换回原始的数据结构或对象。在PHP中,如果反序列化的数据被恶意篡改,攻击者可以执行任意代码,导致应用程序或系统的安全风险。:当应用程序将不可信的数据传递给函数时,可能产生反序列化漏洞。这可能导致对象注入攻击。
php反序列化
weixin_52397172的博客
08-23 663
php序列化简介
详解PHP序列化反序列化原理
10-18
首先,要理解PHP序列化反序列化的概念。序列化PHP中将对象或变量的状态信息转换成可以存储或传输的形式的过程,反序列化则是将这些存储或传输后的信息还原成PHP中可以识别的对象或变量的过程。PHP通过serialize...
PHP常见的序列化反序列化操作实例分析
10-16
PHP编程中,序列化反序列化是两种非常重要的数据处理技术,它们主要用于将复杂的变量结构转换为可存储或传输的格式,然后再恢复为原始形式。本文将深入探讨这两个概念,结合实例来分析PHP中如何使用`serialize()...
PHP中SERIALIZE和JSON的序列化反序列化操作区别分析
10-21
PHP提供了两种序列化反序列化的机制,即使用serialize()和unserialize()函数进行PHP特有的序列化反序列化,以及使用json_encode()和json_decode()函数进行JSON格式的序列化反序列化。 首先,让我们来分析一下...
解析PHP多种序列化反序列化的方法
12-17
本文将深入解析PHP中常见的序列化反序列化方法。 1. `serialize` 和 `unserialize` 函数 `serialize` 是PHP内建的一个函数,用于将变量转换为一个字符串,该字符串可以被 `unserialize` 函数还原为原始的变量形式...
PHP OOP 对象的序列化 反序列化
yhwcool的博客
08-20 1162
基本介绍   所谓的对象序列化是指:将一个对象转化成一个字符串,这个字符串包括 属性 属性名,属性值,属性类型,和该对象对应的类名。简单的说明就是把一个对象的书和数据类型转成字符串; &lt;?php header("content-type:text/html;charset=utf-8"); class Cat { public $name; public $age; ...
PHP序列化反序列化
caliburrrr的博客
03-10 384
所谓序列化,就是将一个变量的数据转换为字符串(但是与类型转换不同)。其目的是将该字符串存储起来(存为文本文件),当在其他环境上运行时,可以通过反序列化,将其回复。(一般用在数据需要存储的地方)序列化:    $str=serialize($变量)//将数据转换为字符串,并存入变量$str。    file_put_conetents("文本文件路径",$str);//将文件存在文本文件中。反序列化...
PHP序列化反序列化
weixin_40950781的博客
09-15 2242
PHP序列化反序列化0x00 前言0x01 PHP类与对象0x02 PHP Magic 方法0x03 PHP 对象序列化0x04 PHP对象反序列化0x05 PHP反序列化漏洞/PHP对象注入1)__destruct的运用实例2)加入反序列化的实例3)__toString()进行反序列化1.反序列化实例:2.用反序列化调用logFile类0x06 总结0x07 漏洞前提0x08 防御 0x0...
php反序列化漏洞(万字详解)
永不落的梦想
07-26 4443
php反序列化万字文章详解,非常全面,并结合实际案例易于理解,包括pop链、字符串逃逸、session反序列化、phar反序列化、原生类的利用以及各种绕过方式。
php反序列化总结
weixin_44576725的博客
04-08 6738
php反序列化总结 基础知识 序列化 序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。 serialize ( mixed $value ) : string serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 example: class Test { public $name = "s1ng"; private $age = 19;
深入理解PHP反序列化机制
2. PHP序列化格式 序列化后的字符串包含了关于变量类型的元信息,每个类型都有对应的首字母缩写: - `a`: 数组 - `b`: 布尔 - `d`: 浮点数(double) - `i`: 整数 - `o`: 普通对象 - `r`: 引用 - `s`: 字符串 - `C`:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值