在php中的序列化与反序列化

最新推荐文章于 2024-07-06 10:05:27 发布
最新推荐文章于 2024-07-06 10:05:27 发布
阅读量822 收藏 13
点赞数 5
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64302290/article/details/139750960
版权

序列化与反序列化的定义:

        序列化是指把对象转化为可传输的字节序列过程,而反序列化是指把字节序列还原为对象的过程。序列化和反序列化是数据持久化和网络传输中常用的技术手段,它们使得数据可以在不同平台、不同系统之间进行有效的存储和通信。

序列化详解:

  1. 概念解释:序列化是将对象的状态信息转换为可以存储或传输的形式(如字节流)的过程。这个过程可以通过不同的方式实现,例如使用Java内置的Serializable接口或者通过其他第三方库如JSON、XML等。

  2. 应用场景:序列化主要用于对象的持久化存储以及网络传输。在存储方面,它可以将对象保存到数据库或文件中;在网络传输方面,它允许对象通过网络发送到远程系统上,然后再反序列化成本地对象。

  3. 实现方法:在Java中,实现序列化的一种常见方法是让对象实现Serializable接口。这个接口虽然没有方法需要实现,但它标记了这个对象可以被JVM序列化和反序列化。

  4. 注意事项:在序列化过程中,静态字段和用transient关键字修饰的字段不会被序列化。此外,为了确保版本兼容性,建议显式定义serialVersionUID来控制版本的一致性。

  5. 性能考虑:选择序列化工具和技术时,需要考虑其性能和生成的数据大小。例如,Protobuf和MessagePack等工具提供了更小的消息大小和更快的序列化速度,适合在大规模分布式系统中使用。

反序列化详解:

  1. 概念解释:反序列化是将字节序列恢复成原有对象形态的过程。这一过程本质上是序列化的逆操作,要求能够准确地还原对象的状态。

  2. 应用场景:当数据从数据库或文件系统中读取出来,或者通过网络接收到序列化的数据后,客户端需要对这些数据进行反序列化,以重建原有的对象状态,进而执行业务逻辑处理。

  3. 实现方法:在Java中,使用ObjectInputStream类可以从输入流中读取字节序列,并将其反序列化为对象。这要求原始对象类实现了Serializable接口。

  4. 安全注意:反序列化过程可能存在安全风险,因为执行反序列化的过程中可能会运行恶意代码。因此,在处理不受信任的输入流时,应当格外小心,并采取相应的安全防护措施。

  5. 兼容性问题:如果序列化对象的类结构发生了变化(如添加了新的字段),可能导致反序列化失败。因此,管理serialVersionUID并合理设计类的结构变化对于保证反序列化的成功率至关重要。

总结而言,序列化与反序列化是数据处理和系统间通信不可或缺的技术。它们支持数据的持久化存储和跨网络传输,适用于多种场合,包括数据缓存、远程方法调用等。在选择具体的序列化技术时,应综合考虑性能、跨平台支持、安全性等因素,以适应不同的应用需求。

序列化与反序列化例子:
 

注意,当我们在序列化一个类的时候我们需要将该类定义出来。如下。

<?php
$raw = 'O:1:"A":1:{s:1:"a";s:1:"b";}';
var_dump(unserialize($raw));  //1进行反序列化并输出
echo serialize(unserialize($raw)); //2先进行反序列化再进行序列化。
?>

//输出结果1:
object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(1) "A" ["a"]=> string(1) "b" }

//输出结果2:
O:1:"A":1:{s:1:"a";s:1:"b";}

这段代码中的$raw字符串是一个序列化后的PHP对象。它包含了一个名为"A"的类的实例,该类有一个属性"a",其值为"b"。我们

$raw解析:

  1. O:1:"A":1:{s:1:"a";s:1:"b";}表示一个对象,其中:
    • O:1:"A"表示对象的类型为"A",并且该类型的类定义在当前命名空间中(即没有指定命名空间)。
    • 1表示对象的属性数量为1个。
    • {s:1:"a";s:1:"b";}表示对象的属性列表,其中:
      • s:1:"a"表示一个字符串类型的属性,属性名为"a",长度为1。
      • s:1:"b"表示另一个字符串类型的属性,属性名为"a"的值,长度为1。
  2. 反序列化$raw字符串后,会得到一个名为"A"的类的实例,该实例有一个属性"a",其值为"b"。

|我们通过对php的代码分析发现我们序列化了一个不存在的类“A“,但是当我们对$raw进行反序列化再序列化之后的输出和原来一样,这是为什么呢?
原因如下:

        可以发现PHP在遇到不存在的类时,会把不存在的类转换成__PHP_Incomplete_Class这种特殊的类,同时将原始的类名A存放在__PHP_Incomplete_Class_Name这个属性中,其余属性存放方式不变。而我们在序列化这个对象的时候,serialize遇到__PHP_Incomplete_Class这个特殊类会倒推回来,序列化成__PHP_Incomplete_Class_Name值为类名的类,我们看到的序列化结果不是O:22:"__PHP_Incomplete_Class_Name":2:{xxx}而是O:1:"A":1:{s:1:"a";s:1:"b";}

正常情况下的代码应该这样写:

<?php
class A {
    public $a;
}  //将A这个类定义出来

$raw = 'O:1:"A":1:{s:1:"a";s:1:"b";}';
$object = unserialize($raw);
var_dump($object);  //输出反序列化的结果
?>

//输出结果如下:
object(A)#1 (1) {
  ["a"]=>
  string(1) "b"
}

这表示我们成功地定义了类 "A",并通过反序列化得到了一个该类的实例,其中属性 $a 的值被正确设置为 "b"。

注意:

在实际应用中,序列化和反序列化数据时,确保在进行反序列化之前,相关的类已经被定义,以避免遇到__PHP_Incomplete_Class或其它潜在问题。

@菜鸟小小
关注
  • 5
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python序列序列
景天科技苑
01-10 1082
序列: 把不能够直接存储在文件的数据变得可存储。 序列: 把存储在文件的数据拿出来恢复成原来的数据类型
PHP序列序列
sinat_35161044的博客
08-20 2027
今天在学习面向对象时,里边的一个两个魔术方法__sleep()和__wake()让我一开始有点困惑,这两个方法分别是让类序列序列时使用的,因为看的是视频,老师说的很笼统,就自己在网上查了一下,下边是我总结的内容: 1.序列是将对象通过一系列的操作转为字符串的过程。 2.什么时候需要序列? 1)对象在网络上传输时 2)对象保存到文件时 3.序列与__sleep()魔法方法...
PHP序列命令执行及防范
金色%夕阳的博客
05-08 1064
PHP序列命令执行 1、 序列序列原理 序列(serialization)在计算机科学的数据处理,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络发送),以留待后续在相同或另一台计算机环境,能恢复原先状态的过程。依照序列格式重新获取字节的结果时,可以利用它来产生与原始对象相同语义的副本。序列是一种将对象的状态信息转换为可以存储或传输的形式的过程(转为信息流)。在序列期间,对象将其当前状态写入到临时或持久性存储区以后,可以通过从存储区读取或序列对象
PHP序列序列
2401_82985722的博客
06-05 1054
1.对象被创建时触发__construct()方法,对象使用完被销毁时触发__destruct()方法。2.对象被序列时触发了__sleep(),字符串被序列时触发了__wakeup()//大写字母O表示对象,4是类名长度,test为类名,表示该类有3个成员属性。类型:长度:“值”…admin=admin,passwd=ctf时得到flag,序列p。admin=admin,passwd=wllm得到flag,序列p。4.$a->h()调用了不存在的方法触发了__call()方法。
CTFPHP序列ALL IN ONE
热门推荐
Love&Share
09-01 1万+
CTFPHP序列 1.序列的基础知识 什么是序列序列php序列序列字符串知识,漏洞产生原因,修复方法 php序列漏洞,又叫php对象注入漏洞,是ctf常见的漏洞。 PHP基础知识 PHP类与对象(https://www.php.net/manual/zh/language.oop5.phpPHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php序列定义 php程序为了保存和转储对象,提供了序
皮卡丘PHP序列
LiBai'S BLOG
08-29 7426
PHP序列序列序列PHP的魔法函数pikachu漏洞 以下内容来自pikachu靶场,自己记录用于复习PHP序列的利用. 真他妈后悔上课的时候没好好学PHP,现在搞web很是吃力.一步一步的走是很重要的. 序列 序列说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象 使用的函数serialize() class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列
PHP序列序列
dydydt的博客
07-11 905
序列序列
PHP序列总结4--原生类总结
m0_66458291的博客
01-14 693
PHP 原生类指的是 PHP 内置的类,它们可以直接在 PHP 代码使用且无需安装或导入任何库,相当于代码的内置方法例如echo ,print等等可以直接调用,但是原生类就是可以就直接php直接创建的类,我们可以直接调用创建对象,但是这些类有的会有魔术方法,为此,我们可以创建原生类去利用其的魔术方法来达到我们序列的利用。
php序列失败,php序列失败怎么办
weixin_34947914的博客
03-26 699
【摘要】PHP即“超文本预处理器”,是一种通用开源脚本语言。PHP是在服务器端执行的脚本语言,与C语言类似,是常用的网站编程语言。PHP独特的语法混合了C、Java、Perl以及 PHP 自创的语法。下面是php序列失败怎么办,让我们一起来看看php序列失败怎么办的具体内容吧!php序列失败怎么办php序列失败是因为序列数据时的编码与序列时的编码不一致导致的,其解决办法就是使...
php序列序列详解
01-20
把复杂的数据类型压缩到一个字符串 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);echo ...
php json与xml序列/序列
10-26
在Web开发,数据交换和存储常常涉及到对象的序列序列PHP提供了多种方式来处理这一过程,其最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
PHP常见的序列序列操作实例分析
10-16
PHP编程序列序列是两种非常重要的数据处理技术,它们主要用于将复杂的变量结构转换为可存储或传输的格式,然后再恢复为原始形式。本文将深入探讨这两个概念,结合实例来分析PHP如何使用`serialize()...
详解PHP序列序列原理
10-18
本篇文章给大家分享了下PHP序列漏洞系列之PHP序列序列原理的相关知识,有这方面需要的朋友参考学习下吧。
实战某大型连锁企业域渗透
Ms08067安全实验室
07-04 843
点击星标,即时接收最新推文本文选自《内网安全攻防:红队之路》扫描二维码五折购书实战域渗透测试流程对黑客来说,拿下域控制器是终极目标。然而攻击者空间是如何通过采取信息收集、权限提升、横向移动等一系列手段,从而一步步拿下域控制器的呢?本次将从一张拓扑图开始,和大家一起梳理域的相关知识,并串联内网的各类攻击技术。实验环境概述 下图是一张某公司(虚构名:北京test公司)的网络拓扑示意图。该公司员工...
php header函数使用无效怎么解决
滴水石穿
07-03 155
如果使用PHP header函数时发生无效的情况,可能有几种可能的原因和解决方法: 1、确保在调用header函数之前没有输出任何内容。header函数必须在任何输出之前调用,包括HTML标记、空格、换行符等。 2、确保没有使用BOM(Byte Order Mark)标记。BOM是一种在UTF-8编码用于标识文件开头的特殊字符序列,它会导致header函数无效。可以使用文本编辑器将文件另存为UTF-8无BOM格式。 注意:在某些情况下,BOM会导致PHP session无法正常工作,因为session数据
如何用Java写一个整理Java方法调用关系网络的程序
最新发布
qq_42349895的博客
07-06 464
最近遇到了一个问题,大致是这样的:如果给你一个 java 方法,如何找到有哪些菜单在使用。我的第一想法是,这不很简单吗?!使用 IDEA 自带的右键 Find Usage 功能,一步一步往上溯源最终找到 Controller 的方法,找到 requestMapping 的映射路径,然后去数据库一查便知。
Symfony实战手册:PHP框架的高级应用技巧
weixin_41859354的博客
07-02 439
Symfony框架的高级应用技巧涵盖了上述多个方面,通过深入理解和有效应用这些技术,开发人员可以构建出性能优异、安全可靠且易于维护的Web应用程序。继续学习和实践这些技术,将帮助开发人员在Symfony项目取得更大的成功和成就。
30、PHP 实现 左旋转字符串、翻转单词顺序列
weixin_44010641的博客
07-06 87
后来才意识到,这家伙原来把句子单词的顺序翻转了,正确的句子应该是“I am a student.”。例如,字符序列S=”abcXYZdef”,要求输出循环左移3位后的结果,即“XYZdefabc”。对于一个给定的字符序列S,请你把其循环左移K位后的序列输出。同事Cat对Fish写的内容颇感兴趣,有一天他向Fish借来翻看,但却读不懂它的意思。公司最近来了一个新员工Fish,每天早晨总是会拿着一本英文杂志,写些句子在本子上。汇编语言有一种移位指令叫做循环左移(ROL),现在有个简单的任务,
php序列序列
07-29
PHP序列是将PHP对象转换为字符串的过程,以便在存储或传输时使用。序列后的字符串可以通过序列操作重新还原为原始的PHP对象。\[1\] 在PHP,可以使用serialize()函数将对象序列为字符串,然后使用unserialize()函数将字符串序列为对象。这样可以方便地在不同的环境传递和存储对象数据。 然而,序列操作也存在安全风险。恶意用户可以构造特定的序列字符串,以触发PHP序列漏洞,导致代码执行或敏感信息泄露。因此,在进行序列操作时,需要谨慎处理输入数据,验证和过滤不可信的序列字符串。 除了使用serialize()和unserialize()函数,还可以利用一些特殊的方式来触发PHP序列漏洞。例如,通过Phar序列,可以在不使用unserialize()函数的情况下触发PHP序列漏洞。当使用phar://伪协议读取phar文件时,会自动序列meta-data存储的信息,从而导致漏洞触发。\[2\]\[3\] 因此,在开发和使用PHP应用程序时,需要注意对序列序列操作进行安全处理,避免潜在的安全风险。这包括对输入数据进行验证和过滤,限制序列操作的权限,以及及时更新和修复可能存在的漏洞。 #### 引用[.reference_title] - *1* *2* *3* [PHP序列序列](https://blog.csdn.net/weixin_44033675/article/details/116809651)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值