序列化与反序列化简介
- 基本概念
序列化 | 反序列化 |
---|---|
对象转化成字节序列的过程 | 字节序列恢复为对象的过程 |
在传递和保存对象时,保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中 | 根据字节流中保存的对象状态及描述信息,通过反序列化重建对象 |
session的序列化 | REDIS的序列化 |
---|---|
在web项目通常需要保留用户的会话session,这些session对象是存储在内存中的,但是如果session对象多了,我们内存就会不足,就需要将部分对象存储在硬盘中,这个时候我们就要将对象转为为字节流,这个过程就是对象的序列化 | 我们需要将一个user对象缓存入redis,必须经过网络传输,网络传输只认识字节流,所以我们必须将user对象转化为字节流,这个过程就是序列化 |
-
常见的序列化格式:二进制格式,字节数组,json字符串,xml字符串。
-
序列化机制的核心作用就是对象状态的保存与重建
举个例子便于理解:把一个东西转化成便于存储或运输的形式,方便进行存储或运输,(这就是序列化过程)当要用时或者运输到时,再转换成原来的形式(这就是反序列的过程)。在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在网络上传送。发送方需要把这个Java对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为Java对象。 -
序列化算法的一般步骤:
- 将对象实例相关的类元数据输出。
- 递归地输出类的超类描述直到不再有超类。
- 类元数据完了以后,开始从最顶层的超类开始输出对象实例的实际数据值。
- 从上至下递归输出实例的数据
-
对象序列化步骤
- 创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流;
- 通过对象输出流的writeObject()方法写对象。
-
对象反序列化的步骤
- 创建一个对象输入流,它可以包装一个其他类型的源输入流,如文件输入流;
- 通过对象输入流的readObject()方法读取对象。
PHP序列化与反序列化
-
原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动融发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
-
序列化函数 :serialize():将对象转换成字符串
-
反序列化函数:unserialize():将字符串转换成对象
-
unserialize()变量可控,文件中存在可利用的类,类中有魔术方法
有类无类就看代码中有没有class,有类的话,魔术方法
__wakeup() //使用unserialize时触发
__sleep() //使用serialize时触发
__construct() //创建对象时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当脚本尝试将对象调用为函数时触发
-
序列化格式字符串格式:
Object(O): O:<class_name_length>:"<class_name>":<number_of_properties>:{<properties>} Boolean(b): b:value;(0或1) integer(i): i:value; array(a): a:<length>:{key,keyvalue} string(s): s:<length>:value; null(N) double(d)
- 危害:SQL注入、代码执行、目录遍历
Java序列化与反序列化
-
序列化:ObjectOutputStream类→writeObject()
该方法对参数指定的obj对象进行序列化,把字节序列写到一个目标输出流中,按Java的标准约定是给文件一个
.ser
扩展名 -
反序列化:ObjectInputStream类→readObject()
该方法从一个源输入流中读取字节序列,再把他们反序列化成一个对象,并将其返回
下方的特征可以作为序列化的标志参考:
一段数据以rO0AB开头,基本可以确定这串是Java序列化base64加密后的数据或者如果以aced开头则是一段Java序列化的16进制