php中的序列化

最新推荐文章于 2024-06-05 22:03:46 发布
最新推荐文章于 2024-06-05 22:03:46 发布
阅读量530 收藏
点赞数
分类专栏: PHP 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pish7/article/details/78804778
版权

简介

序列化就是将一个值转换为字符串,并可将字符串存入硬盘文件、数据库等。任何时候只要将这个字符串作反序列化操作,就可还原出原来的值。


serialize()
string serialize ( mixed $value )
序列化值$value,并以字符串形式返回。serialize() 可处理除了 resource 之外的任何类型。甚至可以 serialize() 那些包含了指向其自身引用的数组。你正 serialize() 的数组/对象中的引用也将被存储。

unserialize()
mixed unserialize ( string $str )
对单一的已序列化的变量进行操作,将其转换回 PHP 的值。注意,序列化得到的字符串中是包含类型信息的,所以反序列化得到的结果不需要再次执行类型转换。

正常情况下返回的是转换之后的值,可为 integer、float、string、array 或 object类型。 如果传递的字符串不可解序列化,则返回 FALSE,并产生一个 E_NOTICE。 如果反序列化了 FALSE 的值,或者在过程中发生了错误,都会返回 FALSE。 可以通过 str 和 serialize(false) 进行比较,或者捕捉 E_NOTICE 错误来判断这种特殊情况。 

$a = 78;
$b = "abc";
$c = true;
$d = null;
$e = [[1,2],[3,4]];

$sa = serialize($a);
$sb = serialize($b);
$sc = serialize($c);
$sd = serialize($d);
$se = serialize($e);

echo "$sa\n";   // i:78;
echo "$sb\n";   // s:3:"abc";
echo "$sc\n";   // b:1;
echo "$sd\n";   // N;
echo "$se\n";   // a:2:{i:0;a:2:{i:0;i:1;i:1;i:2;}i:1;a:2:{i:0;i:3;i:1;i:4;}}

$a = unserialize($sa);
$b = unserialize($sb);
$c = unserialize($sc);
$d = unserialize($sd);
$e = unserialize($se);

var_dump($a);
var_dump($b);
var_dump($c);
var_dump($d);
var_dump($e);
/*
int(78)
string(3) "abc"
bool(true)
NULL
array(2) {
  [0]=>
  array(2) {
    [0]=>
    int(1)
    [1]=>
    int(2)
  }
  [1]=>
  array(2) {
    [0]=>
    int(3)
    [1]=>
    int(4)
  }
}
*/

序列化对象

序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 所以,为了能够unserialize()一个对象,这个对象的类必须已经定义过。如果序列化类A的一个对象,将会返回一个跟类A相关,而且包含了对象所有变量值的字符串。 如果要想在另外一个文件中解序列化一个对象,这个对象的类必须在解序列化之前定义。如果在解序列化对象的时候,没有找到该对象的类的定义,将会使用__PHP_Incomplete_Class_Name作为该对象的类,导致返回一个没有用的对象。 
可以通过包含一个定义该类的文件或使用函数spl_autoload_register()来实现。 

也可以通过配置项unserialize_callback_func来实现类的自动加载:
ini_set('unserialize_callback_func', 'mycallback'); // 设置回调函数
function mycallback($classname) 
{
   // 只需包含含有类定义的文件
   // $classname 指出需要的是哪一个类
}

serialize() 函数会检查类中是否存在一个魔术方法 __sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容,则 NULL 被序列化,并产生一个 E_NOTICE 级别的错误。 
注意,__sleep() 不能返回父类的私有成员的名字。可以用 Serializable 接口来替代。 
unserialize() 会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup 方法,预先准备对象需要的资源。 __wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。 

class MyClass
{
  public $a = 5;
  public $b = 6;
  public $c = 7;

  public function __sleep() {
    return array("b");
  }
  public function __wakeup() {
    $this->c = 0;
  }
}

$var = new MyClass();
$var->a = 555;
$var->b = 666;
$str = serialize($var);
$var = unserialize($str);
var_dump($var);
/*
object(MyClass)#2 (3) {
  ["a"]=>
  int(5)
  ["b"]=>
  int(666)
  ["c"]=>
  int(0)
}
*/

Serializable 序列化接口

一个类通过实现此接口,可自定义序列化和反序列化的过程,该接口包含如下两个方法:
abstract public string serialize ( void )
abstract public mixed unserialize ( string $serialized )


实现此接口的类将不再支持 __sleep() 和 __wakeup()。不论何时,只要有实例需要被序列化,serialize 方法都将被调用。它将不会调用 __destruct() 或有其他影响,除非程序化地调用此方法。当数据被反序列化时,类将被感知并且调用合适的 unserialize() 方法而不是调用 __construct()。如果需要执行标准的构造器,你应该在这个方法中进行处理。 


下例中,类在序列化时只保存了部分父类私有成员。

class Base
{
  private $a;
  private $b;
  public function __construct($a, $b) {
    $this->a = $a;
    $this->b = $b;
  }
  protected function getA() {
    return $this->a;
  }
}

class MyClass extends Base implements Serializable
{
  public function __construct($a, $b) {
    parent::__construct($a, $b);
  }
  public function serialize() {
    return serialize($this->getA());
  }
  public function unserialize($str) {
    $a = unserialize($str);
    parent::__construct($a, 0);
  }
}

$var = new MyClass(5, 6);
var_dump($var);
$str = serialize($var);
$var = unserialize($str);
var_dump($var);

/*
object(MyClass)#1 (2) {
  ["a":"Base":private]=>
  int(5)
  ["b":"Base":private]=>
  int(6)
}
object(MyClass)#2 (2) {
  ["a":"Base":private]=>
  int(5)
  ["b":"Base":private]=>
  int(0)
}
*/

pish7
关注
专栏目录
PHP:对象序列化
希望我的博客,能帮上你解决学习中工作中所遇到的问题
09-28 237
PHP:对象序列化
PHP序列化
钞sir的博客
03-02 9975
序列化 serialize()将对象转变成一个字符串便于之后的传递与使用; 序列化会保存对象所有的变量,但是不会保存对象的方法; 反序列化 unserialize()将序列化的结果恢复成对象; 反序列化一个对象,这个对象的类必须在反序列化之前定义,或者通过包含该类的定义或者使用 spl_autoload_register() (自动包含类)实现; 例子 <?php class Demo{ ...
PHP序列化的概念
qq_60463414的博客
08-13 1351
PHP序列化漏洞之PHP序列化概念
PHP 序列化(serialize)格式详解
weixin_34204057的博客
08-17 481
1.前言 PHP (从 PHP 3.05 开始)为保存对象提供了一组序列化和反序列化的函数:serialize、unserialize。不过在 PHP 手册对这两个函数的说明仅限于如何使用,而对序列化结果的格式却没做任何说明。因此,这对在其他语言实现 PHP 方式的序列化来说,就比较麻烦了。虽然以前也搜集了一些其他语言实现的 PHP 序列化的程序,不过这些实现都不完...
php 序列化数组
weixin_34237596的博客
08-05 214
PHP程序员在实际开发编程经常会用到数组来完成自己的代码程序。那么。如何才能正确的应用PHP序列化数组,以满足我们的需求呢? serialize --------- 将数组格式化成有序的字符串 unserialize ----- 将数组还原成数组 PHP序列化数组测试实例: $test = array("a"=>0,"b"=>0,"c"=>0); ...
php序列化与反序列化详解
01-20
把复杂的数据类型压缩到一个字符串 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);echo ...
php 序列化和json使用介绍
12-12
序列化的概念】 序列化是将对象状态转换为可保持或可传输的格式的过程。与序列化相对的是反序列化,它将...类似地,反序列化序列化的表示形式提取数据,并直接设置对象状态,这也与可访问性规则无关。 对于任何可
一个Vue.js组件,用于编辑已在PHP序列化的数据-JavaScript开发
05-26
要求Vue.js 2.x安装npm install @ deliciousbrains / serialized-editor //或yarn add @ deliciousbrains / serialized-editor用法该软件包分为两部分:SerializedParser类,用于将PHP序列化的字符串转换为JSON。...
3 ways to serialize variables in php
weixin_34112181的博客
08-01 202
序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。1. serialize和unserialize函数这两个是序列化和反序列化PHP数据的常用函数。 Php代码 $a=array('a'=>'Apple','b'=>...
PHP数组序列化(serialize)反序列化(unserialize)
qq_41082746的博客
07-30 447
把数组进行序列化 $arr = [ 'db_host' => 'localhost', 'db_user' => 'root', 'db_pass' => 'root', 'db_name' => 'test', ]; //进行序列化 $str = serialize($arr); //存储到记事本 file_put_contents("abc....
php 序列化
rufeike的博客
11-06 203
文章目录PHP序列化变量序列化序列化函数 serialize()反序列化函数 unserialize()对象序列化 PHP序列化 变量序列化 定义: 序列化是将变量转换成可以保存或传输的字符串的过程; 反序列化就是在需要的时候把已序列化的字符串转换成变量的过程; 作用:序列化有利于数据的存储和传输 序列化函数 serialize() 描述:把变量转换成一个可以存储的值; 语法:stri...
PHP序列化和反序列化入门
2301_77342543的博客
07-13 2029
serialize() //将一个对象转换成一个字符串unserialize() //将字符串还原成一个对象通过序列化与反序列化我们可以很方便的在PHP进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击php//实例化一个对象?返回结果s:4:"name";s:3:"age";s:2:"18";O代表对象,这里是序列化的一个对象,要序列化数组的就用A6表示的是类的长度sunset表示对是类名。
php 序列化对象
1_bit 的博客
02-26 1795
习惯性借用手册里面的介绍: 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 唔,不懂没事,我们直接看代码: 注释有解释=。=。。。<?php //首先声明一个数组 $array_1 = array();
PHP序列化、反序列化
最新发布
2401_82985722的博客
06-05 1271
1.对象被创建时触发__construct()方法,对象使用完被销毁时触发__destruct()方法。2.对象被序列化时触发了__sleep(),字符串被反序列化时触发了__wakeup()//大写字母O表示对象,4是类名长度,test为类名,表示该类有3个成员属性。类型:长度:“值”…admin=admin,passwd=ctf时得到flag,序列化p。admin=admin,passwd=wllm得到flag,序列化p。4.$a->h()调用了不存在的方法触发了__call()方法。
PHP序列化,反序列化
kuzemax的博客
08-07 907
序列化常用于上层语言构造特定调用链的方法,与二进制利用的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN的ROP,有时候反序列化一个对象时,由它调用的__wakeup()又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。
php序列化和反序列化
qq_63501912的博客
02-07 1390
php序列化和反序列化
PHP序列化与反序列化
sinat_35161044的博客
08-20 2053
今天在学习面向对象时,里边的一个两个魔术方法__sleep()和__wake()让我一开始有点困惑,这两个方法分别是让类序列化和反序列化时使用的,因为看的是视频,老师说的很笼统,就自己在网上查了一下,下边是我总结的内容: 1.序列化是将对象通过一系列的操作转化为字符串的过程。 2.什么时候需要序列化? 1)对象在网络上传输时 2)对象保存到文件时 3.序列化与__sleep()魔法方法...
php php 序列化方法,PHP序列化的4种方法已公布,这是你PHP进阶之路必会的
weixin_39631350的博客
03-19 3916
【摘要】php作为一种编程软件,也能实现很多功能,不过今天环球网校的小编要为大家讲解PHP序列化的4种方法已公布,这是你PHP进阶之路必会的?看完这个代码你就明白了,因为只要你了解了PHP序列化的4种方法已公布,这是你PHP进阶之路必会的,你对于PHP7的了解就更深入了。在PHP序列化用于存储或传递 PHP 的值的过程,同时不丢失其类型和结构。本文讲述PHP序列化的四种方案,感兴趣的可以了解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值