SESSION序列化机制

于 2021-01-29 14:11:18 发布
阅读量436 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49762339/article/details/113374899
版权
本文探讨了PHP中的session.serialize_handler的三种序列化方式,指出在不同方式间混用可能引发的安全问题。通过实验展示了当使用php_serialize序列化的数据在php引擎下反序列化时,由于'|'字符导致的解析错误,进而阐述了如何利用此特性进行潜在的代码执行攻击。文章以一个恶意构造的payload为例,说明了在序列化方式不匹配时,如何触发__wakeup方法,执行恶意代码。
摘要由CSDN通过智能技术生成

一、session.serialize_handler三种序列化方式

php_binary 键名的长度对应的ascii字符+键名+经过serialize()函数序列化后的值
php 键名+竖线(|)+经过serialize()函数处理过的值(默认)
php_serialize 经过serialize()函数处理过的值,会将键名和值当作一个数组序列化

可以通过这个函数来设置当前页面的序列化方式:ini_set('session.serialize_handler','php_serialize');

1.php:

 <?PHP
 	header("content-type:text/html;charset=utf-8");
	ini_set('session.serialize_handler','php');
	session_start();
	$_SESSION['user']='kiki';
	print_r($_SESSION);

session:user|s:4:"kiki";

2.php_serialize:

 <?PHP
 	header("content-type:text/html;charset=utf-8");
	ini_set('session.serialize_handler','php_serialize');
	session_start();
	$_SESSION['user']='kiki'
最低0.47元/天 解锁文章
k_i_k_i
关注
Session持久化存储中的名词:序列化
Aiaiaiaiai0的博客
04-28 211
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
tomcat-session序列化(tomcat-kryo序列化
06-21
tomcat kryo序列化,msm-memcached-session-manager-tc7-1.8.2
JavaWeb之Session序列化和反序列化 && Session的活化和钝化
NotPerfect-EOF
05-16 1万+
应用场景: 1.一般来说,服务器启动后,就不会再关闭了,但是如果逼不得已需要重启,而用户会话还在进行相应的操作,这时就需要使用序列化session信息保存起来放在硬盘,服务器重启后,又重新加载。这样就保证了用户信息不会丢失,实现永久化保存 2.淘宝每年都会有定时抢购的活动,很多用户会提前登录等待,长时间不进行操作,一致保存在内存中,而到达指定时刻,几十万用户并发访问,就可能会有几十万个ses
web中session序列化的问题
热门推荐
武哥聊编程
05-16 1万+
最近在写网上商城项目的时候学习了一个关于session序列化问题,过来总结一下。         众所周知,session是服务器端的一种会话技术,只要session没有关闭,一个会话就会保持。这里先引出一个问题:如果我在访问某个页面后,服务器重启了一下,但是网页还没关,那么原来的session还在么?答案是很明显的,你都把服务器关掉了,session肯定不是原来的session了,原来的像登
49-session序列化
Lich Howger
11-20 136
    session序列化 我们先来一个小例子 我们来一个a.jsp &lt;html&gt; &lt;head&gt; &lt;title&gt;a&lt;/title&gt; &lt;/head&gt; &lt;body&gt; &lt;% session.setAttribute("name", "my name is Alice&qu
Session序列化
weixin_33795833的博客
01-28 92
注意:将对象保存在session中时一定要序列化(串行化)后才可以,否则会丢失数据精度(类型和结构)。 其他类型的数据可不必显示序列化,因为系统会自动正确的序列化数据。 很简单的东西,因为在学习中遇到了,所以记录下来. 事情的起因是,我在做一个购物栏时,将一个自定义的类CartManager整个放进Session中,它的部分代码如下,其实就是有一个Pri...
深入解析PHPSESSION序列化机制
10-20
在深入探讨PHPSESSION的反序列化机制之前,我们需要了解PHP会话的基本概念。PHP会话机制允许我们跟踪访问者在整个网站中的行为,通过一个独特的会话ID(PHPSESSID)来识别每个访问者。会话信息被存储在服务器上,...
memcached各种序列化策略之session共享
04-28
- **Javolution**:高性能的Java库,提供了一种高效的数据结构和序列化机制,适合处理大量数据。 - **Kryo**:一个快速、高效的序列化库,特别适用于Java对象到字节数组的转换,适用于大量数据和内存敏感的环境。 ...
Session序列化
guoth的博客
07-03 687
如果对象被保存在了session中,toncat在重启或关闭是会吧Session对象序列化到硬盘,这个对象必须实现Serializable接口。 目录:Session序列化文件(.ser) 当用户第一次访问某个网站时会自动创建HttpSession,添加到HttpSession中的对象最好是实现Serializable接口,这样Servlet容器在必要的时候可以将其序列化到文件中,否则序列化时会...
序列化作用
weixin_33842328的博客
03-14 115
首先明白一个概念,sessio可以存储在很多位置,并不是固定在某个地方。可能是内存,也可以是硬盘,服务器关闭后,session暂时还不会失效,比如登录页面,如果服务器关闭了,session还没失效,但是开启服务器后,希望还是看到之前登录的用户登录进去的页面,这时候需要序列化改pojo对象,这样pojo对象会跟session一起保存到内存或者硬盘。 而重新开启服务器后,session和pojo会重新...
session序列化、反序列化session的活化、钝化
刘伟佳的博客
11-21 1055
一、session序列化和反序列化 序列化 一般来说,服务器启动后,就不会再关闭了,但是如果逼不得已需要重启,而用户会话还在进行相应的操作,这时就需要使用序列化session信息保存起来放在硬盘,服务器重启后,又重新加载。这样就保证了用户信息不会丢失,实现永久化保存。 我们举个例子演示一下: 比如我们新建一个项目,放入两个简单的jsp, a.jsp <body> <h1&g...
Session对象的序列化和反序列化
小刘的博客
10-28 369
session序列化和反序列化 /** * * 机能概要:将Session序列化成String类型 * * @param session * @return */ public static byte[] serializ(Session session) { try { ...
session三种php序列化机制
D1stiny的博客
05-17 310
php储存session的三种方式 php_serialize 经过serialize()函数序列化数组 php 键名+竖线+经过serialize()函数处理的值 php_binary 键名的长度对应的ascii字符+键名+serialize()函数序列化的值 127.0.0.1/test.php?xxx=123 xxx是键,这里的s是字符串,3是字符串的长度 这里的<0x03>是ASCII码的值,xxx是键名,s代表字符串,3是字符串的长度 a代表数组,
session序列化以及session的钝化和活化
zgstwz的博客
08-02 719
session序列化即重启服务器后,session里原本的内容会重新加载到session域中以tomcat为例,关闭服务器时,服务器会在tomcat目录下的work\Catalina\localhost\项目名下创建一个名为SESSIONS.ser的文件若不需要此项服务,只要在tomcat目录下的\conf下找到context.xml,将该文件中<!-- 若取消注释 则session无法序列化 <
Php学习之SESSION序列化机制
qq_32506555的博客
10-20 786
php.ini中存在三项配置项:   session.save_path="" --设置session的存储路径   session.save_handler="" --设定用户自定义存储函数,如果想使用PHP语言内置会话存储机制之外的可以使用本函数(数据库等方式)   session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不
java session序列化、钝化和活化
23号员工的博客
08-12 532
session序列化: 我们知道session的生命周期是一次请求的开始与结束,但是关闭启动服务器那我们在session中存储的数据会跟着消失咯?【场景:当用户浏览商品时,需要重启服务器更新,难道要所有用户下线?】 实际上并不是,session会在服务器关闭前,将所有的session存储到apache-tomcat-7.0.94\work\...
序列化保存session
istruth::blog
10-19 733
session id 是由服务器在客户端连接后自动分配的。当服务端重启后,如果没有保存session信息,则当已连接的客户端再次发送请求到服务器时,由于session id已失效,服务器会为每个客户端重新分配一个新的session id. 如何让session在服务器重新启动后保持有效呢?可以在服务器关闭之前序列化保存session到文件中,然后在重启服务器后,从指定文件中反序列化session。...
Session序列化和反序列化 Session的活化和钝化
gdhgr的博客
01-09 608
http://blog.csdn.net/wjw0130/article/details/45766709  活化钝化介绍 http://blog.csdn.net/qqahanson/article/details/41891147  一分钟使用钝化操作 一、session只有可以被序列化才可以被钝化。可以被钝化的有:字符串,javabean在继承接口Serializab
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值