反序列化原理与实例讲解

最新推荐文章于 2024-04-28 18:08:34 发布
最新推荐文章于 2024-04-28 18:08:34 发布
阅读量839 收藏 2
点赞数 1
分类专栏: Web Web安全 文章标签: php 编程语言 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43395215/article/details/106195336
版权

博客地址:soliym.top

序列化与反序列化

序列化:把变量转换为课存储或课传输文本结构的过程

反序列化:在合适的时候把序列化后的文本结构转化为原来的变量

将变量对象持久化操作,让其离开内存保存在硬盘中,等到需要的时候,在从硬盘中加载变量对象到内存中,这样就可以大大节约内存地址

意义:序列化和反序列的结合可以轻松的存储和传输数据,我们可以把对象序列化为不同的格式,json、XML、二进制、SOAP等

使用序列化

1、将内存中的类写入文件或者数据库中

2、递归保存对象引用的每一个对象数据

3、分布式对象

4、同一对文件、对象、数据保存和传输

PHP的序列化和反序列化

PHP在序列化的函数为Serialize,将对象转换为字符串保存对象中的变量及变量值

php序列化一个对象会保存类型,对象的所有变量及值,但是不会保存方法

PHP的反序列化函数为unseralize,将序列化后的字符串转换为对象

PHP的魔法函数

__construct() //当⼀个对象创建时被调⽤

__destruct() //当对象被销毁是触发

__wakeup() //使⽤unserialize触发

__sleep() //使⽤serialize触发

__toString() //把类当做字符串使⽤时触发

__call() //在对象上下⽂中调⽤不可访问的⽅法时触发

__callStatic //在静态上下⽂中调⽤不可访问的⽅法时触发

__get() //⽤于从不可访问的属性读取数据

__set() //⽤于将数据写⼊不可访问的属性

__isset() //在不可访问的属性上调⽤isset()或者empty()触发

__unset() //在不可访问的属性上使⽤unset()是触发

__invoke() //当脚本尝试将对象⽤为函数时触发

由于序列化中不会传递方法,对象中的自定义函数我们没有办法直接利用,但是魔法函数是可以自动执行的,当类中调用了魔法函数时,魔法函数又自动触发执行的特点

反序列化漏洞实验

PHP反序列化漏洞,是在我们使⽤ unserialize() 进⾏反序列化的时候,如果反序列化对象中存在⼀

些我们可以利⽤的魔法函数且传⼊的变量可控,那么就可能触发这个魔法函数,来执⾏我们想要的过

程。

实验一:

搭建PHP页面

<?php 
class dome 
{ 
public $a='dome'; 
function __destruct() 
{ 
echo $this->a; 
echo '</br>'; 
} 
} 
$ob= new dome(); 
echo serialize($ob).'</br>'; 
$test= $_GET['id'] ; 
unserialize($test); 
?>

通过浏览器访问该页面

在url中构造注入参数

http://192.168.31.9/demo.php?id=O:4:%22dome%22:1:{s:1:%22a%22;s:4:%221234%22;}

结果:页面会显示我们输入的参数“1234”

但是有一个问题是?为什么输出的顺序的1234在前呢

当代码被执行的时候是从上往下的ÿ

最低0.47元/天 解锁文章
初宸
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java反序列化原理_Java 序列化和反序列化的底层原理
weixin_36051235的博客
02-27 1379
序列化和反序列化序列化是通过某种算法将存储于内存中的对象转换成可以用于持久化存储或者通信的形式的过程反序列化是将这种被持久化存储或者通信的数据通过对应解析算法还原成对象的过程,它是序列化的逆向操作为什么需要序列化前端请求后端接口数据的时候,后端需要返回 JSON 数据,这就是后端将 Java 堆中的对象序列化为了 JSON 数据传给前端,前端可以根据自身需求直接使用或者将其反序列化为 JS 对象R...
matlab 神经网络原理实例讲解
09-02
“matlab 神经网络原理实例讲解”涵盖了神经网络的基础理论、MATLAB实现方法以及丰富的实例,旨在帮助学习者深入理解神经网络的工作原理,并掌握在MATLAB环境中进行神经网络设计和应用的技能。通过这些资料,读者...
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
热门推荐
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化与反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo的漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
php反序列化以及相关例题
最新发布
2401_82388450的博客
04-28 1101
1.序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。简单来说就是将内存变成文件,在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列化就是将内存的变量数据“保存”到文件中的持久数据的过程。2.反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。
Java 序列化和反序列化
GSON的博客
10-30 1556
遇到这个 Java Serializable 序列化这个接口,我们可能会有如下的问题 a,什么叫序列化和反序列化 b,作用。为啥要实现这个 Serializable 接口,也就是为啥要序列化 c,serialVersionUID 这个的值到底是在怎么设置的,有什么用。有的是1L,有的是一长串数字,迷惑ing。 我刚刚见到这个关键字 Serializable 的时候,就有如上的这么些问题。 在处理...
java】序列化和反序列化简单示例
CamphorBlossom的博客
01-31 2045
概念 java提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列(包括对象的数据、有关对象的类型和存储的数据类型信息)。简单点说,序列化表示将对象的状态转化成特定的流的过程;反序列化表示从特定的流中获取数据重新构建成对象的过程。 流:stream,二进制的字节序列。 另一方面理解,从内存读取到硬盘上的过程,可以看做是拆分对象;从硬盘读取到内存里的过程,可以看做是组装对象。 序列化的实现 类 ObjectInputStream 和 ObjectOutputStream 是
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6287
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
MATLAB神经网络原理实例精解pdf
01-03
《MATLAB神经网络原理实例精解》是一本深度学习初学者的理想教程,它全面涵盖了神经网络的基础理论以及MATLAB实现方法。这本书旨在帮助读者理解神经网络的工作原理,并通过具体的MATLAB实例,让读者能够动手实践,...
实例讲解Java基础之反射
08-26
反射在很多场景下都有应用,如框架开发(如Spring框架的依赖注入)、序列化/反序列化、单元测试、动态代理等。然而,由于反射涉及到安全性、性能和易维护性的问题,因此在不必要的情况下应避免过度使用。在实际开发...
微机原理基础讲解与知识点
05-07
微机原理讲解的目的是帮助巩固基础知识,汇编语言基本讲解,自动化专业基础课程,并通过经典实例讲解来帮助学生更好地理解微机原理。 微机概述 --------- 微机发展概述有四代:电子管、晶体管、集成电路和大归模...
matlab神经网络原理实例精解
01-06
《MATLAB神经网络原理实例精解》是一本深度探讨MATLAB在神经网络应用方面的专著,旨在帮助读者掌握如何运用MATLAB这一强大的数学工具进行神经网络的设计、训练和优化。MATLAB作为科学计算的强大平台,其内置的神经...
序列化与反序列化——最全教程(含代码示例)
freeline的博客
06-16 1973
python的序列化与反序列内容
序列化与反序列化简单示例
SimpleSimpleSimples的博客
02-06 956
一般情况下在网络传输对象或者把不活动的对象保存保存到本地时才做序列化操作,以减少服务器中内存的占用。做序列化的对象必须实现序列化接口。 1.在要序列化的类中必须实现序化接口 import java.io.Serializable; public class User implements Serializable {     //给定一个序列化版本,拥有相同的版本才能反序列化
2022年第五空间网络安全大赛WriteUp
渗透测试研究中心
09-22 6790
一、WEB1.web_BaliYun进去之后一个文件上传,而且只能上传图片。访问www.zip拿到源码网站源码:index.php:<?phpinclude("class.php");if(isset($_GET['img_name'])){$down=newcheck_img();#hereecho$down->img_check();}if(isset...
序列化和反序列化原理
xxx
10-04 258
java对象和字节序列的转换过程,序列化需要保证对对象状态的保存和可重建性。 持久化,远程通信 序列化算法实现原理 1、递归地输出类的超累描述直到不再有超类的对象实例的类元数据 2、递归地输出对象实例的实际数据值(理论上就是从超类开始的) 本质上讲就是先把描述字段写完,再按顺序将实际数据写一遍 jdk中的api java.io.ObjectOutputStream // 对象输出流->即序列化 java.io.ObjectInputStream // 对象输入流->即反序列化 想要实现
序列化和反序列化的底层实现原理是什么
T_Janey
07-02 3830
序列化和反序列化作为Java里一个较为基础的知识点,大家心里也有那么几句要说的,但我相信很多小伙伴掌握的也就是那么几句而已,如果再深究问一下Java如何实现序列化和反序列化的,就可能不知所措了!遥记当年也被问了这一个问题,自信满满的说了一大堆,什么是序列化、什么是反序列化、什么场景的时候才会用到等,然后面试官说:那你能说一下序列化和反序列化底层是如何实现的吗?一脸懵逼,然后回家等通知!一、基本概念...
序列化反序列化解析
wxswxswxsww的博客
03-19 121
一、什么是序列化和反序列化? 序列化:将对象状态信息转化成可以存储或传输的形式的过程(Java中就是将对象转化成字节序列byte[]的过程) 反序列化:从存储文件中恢复对象的过程(Java中就是通过字节序列转化成对象的过程) 二、为什么需要序列化和反序列化Java中对象都是存储在内存中,准确地说是JVM的堆或栈内存中,可以各个线程之间进行对象传输,但是无法在进程之间进行传输。另外如果需要在网络传输中传输对象也没有办法,同样内存中的对象也没有办法直接保存成文件。 所以需要对对象进行序列化,序列化对象之后.
Java:序列化和反序列化解析
STAR
02-29 184
本篇围绕三个问题展开: 1.什么是序列化?什么又是反序列化? 2.为什么要有序列化这个东西? 3.怎么用呢? 问题一:什么是序列化,反序列化? ...
网络传输: 序列化与反序列化
Kibaco的博客
11-16 1896
改不完的 Bug,写不完的矫情。公众号 杨正友 现在专注音视频和 APM ,涵盖各个知识领域;只做全网最 Geek 的公众号,欢迎您的关注! 一. 定义以及相关概念 由于在系统底层,数据的传输形式是简单的字节序列形式传递,即在底层,系统不认识对象,只认识字节序列,而为了达到进程通讯的目的,需要先将数据序列化,而序列化就是将对象转化字节序列的过程。相反地,当字节序列被运到相应的进程的时候,进程为了识别这些数据,就要将其反序列化,即把字节序列转化为对象 无论是在进程间通信、本地数据存储又或者是网络数据传输.
chap15动态规划1.PDF
08-03
本章《动态规划1》是算法设计与分析课程的一部分,由主讲人徐云在2018年秋季学期于中国科学技术大学讲解。这部分内容主要集中在以下几个关键点上: 1. 最优解的性质与结构特征:动态规划首先强调找出问题的最优解,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值