java 反序列化php_PHP--序列化与反序列化详解

最新推荐文章于 2023-09-18 13:56:52 发布
最新推荐文章于 2023-09-18 13:56:52 发布
阅读量496 收藏
点赞数
文章标签: java 反序列化php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29186249/article/details/114571387
版权

PHP--序列化与反序列化详解

博客说明

文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!

说明

所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。

为了能够unserialize()一个对象,这个对象的类必须已经定义过。如果序列化类A的一个对象,将会返回一个跟类A相关,而且包含了对象所有变量值的字符串。 如果要想在另外一个文件中解序列化一个对象,这个对象的类必须在解序列化之前定义,可以通过包含一个定义该类的文件或使用函数spl_autoload_register()来实现。

PHP序列化:serialize

序列化是将变量或对象转换成字符串的过程。

class student{

public $name;

public $age;

public $number;

//_construct:创建对象时初始化

function __construct($name,$age,$number){

$this->name = $name;

$this->age = $age;

$this->number = $number;

}

}

$student = new student("Jack",22,11086);

var_dump(serialize($student));

?>

测试运行

c872baead72753f48cda2ea41c054388.png

string(76) "O:7:"student":3:{s:4:"name";s:4:"Jack";s:3:"age";i:22;s:6:"number";i:11086;}"

PHP反序列化:unserialize

反序列化是将字符串转换成变量或对象的过程。

class student{

public $name;

public $age;

public $number;

//_construct:创建对象时初始化

function __construct($name,$age,$number){

$this->name = $name;

$this->age = $age;

$this->number = $number;

}

}

$student = 'O:7:"student":3:{s:4:"name";s:4:"Jack";s:3:"age";i:22;s:6:"number";i:11086;}';

var_dump(unserialize($student));

?>

测试运行

fb1f50ccf12f72f96349edb387b57252.png

object(student)#1 (3) {

["name"]=>

string(4) "Jack"

["age"]=>

int(22)

["number"]=>

int(11086)

}

魔术函数

函数

说明

__construct()

类的构造函数

__destruct()

类的析构函数

__call()

在对象中调用一个不可访问方法时调用

__callStatic()

用静态方式中调用一个不可访问方法时调用

__get()

获得一个类的成员变量时调用

__set()

设置一个类的成员变量时调用

__isset()

当对不可访问属性调用isset()或empty()时调用

__unset()

当对不可访问属性调用unset()时被调用

__sleep()

执行serialize()时,先会调用这个函数

__wakeup()

执行unserialize()时,先会调用这个函数

__toString()

类被当成字符串时的回应方法

__invoke()

调用函数的方式调用一个对象时的回应方法

__set_state()

调用var_export()导出类时,此静态方法会被调用

__clone

当对象复制完成时调用

__autoload()

尝试加载未定义的类

__debugInfo()

打印所需调试信息

为什么突然说到魔术函数呢,因为在序列化和反序列化的时候经常会用到__construct(),__destruct(),__sleep(),__wakeup()

在后面的博客里面有相应的ctf实例

感谢

万能的网络

以及勤劳的自己

三道杠林同学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java序列化对象传给php
01-17
android(包括java)序列化一个对象传给php去做处理,或是接到php序列化的对象在java中做处理的工具jar包以及使用方法. 使用方法: byte[] b = null; b = PHPSerializer.serialize(一个对象);//将一个对象序列化后返回byte[] String phpserialstr=new String(b); 将变量phpserialstr传给php即可. PHPSerializer中还有unserialize方法,是反序列化
java 序列化反序列化的实例详解
08-29
主要介绍了java 序列化反序列化的实例详解的相关资料,需要的朋友可以参考下
PHPJava、Python反序列化区别
weixin_42974824的博客
08-11 1028
PHPJava、Python反序列化区别
Java反序列化PHP反序列化区别
最新发布
来日可期的博客
09-18 1556
反序列化存在的意义是为了数据传输,类是无法直接进行传输的。通过序列化后转换为字符串格式或者JSON格式进行传输。
Java反序列化php反序列化区别
weixin_58954236的博客
09-16 504
序列化反序列化本身是为了实现数据在网络上完整高效的传输,但是由于反序列化过程中,对象的魔术方法会自动调用,魔术方法本身调用了别的方法,最终呈现一种链式调用,直到执行任意的代码或者命令。反序列化漏洞中危险函数执行的时候参数对我们来说可控,反序列化才能成立。所以反序列化漏洞的利用条件非常苛刻。​反序列化的时候实现了函数的链式调用,在这个链式调用的函数里有一个漏洞点,并且可以控制这个漏洞点的参数。
php未定义的变量name_PHP--序列化反序列化详解
weixin_34472954的博客
01-24 190
PHP--序列化反序列化详解 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢! 说明 学到网络安全的时候用到了序列化反序列化的操作,感觉挺有用的,首先给出文档地址https://www.php.net/manual/zh/language.oop5.serialization.php 所有php里面的值都可以使用函数ser...
Java中对象序列化反序列化详解
09-03
主要介绍了Java中对象序列化反序列化,较为详细的分析了java中对象序列化的概念、原理、实现方法及相关注意事项,具有一定参考借鉴价值,需要的朋友可以参考下
详解PHP序列化反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
详解Java 序列化反序列化(Serialization)
08-26
主要介绍了Java 序列化反序列化(Serialization),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PHP多种序列化/反序列化的方法详解
10-19
本篇文章主要介绍了PHP多种序列化/反序列化的方法详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
php未定义的变量name_PHP常量
weixin_29617841的博客
01-24 651
一 什么是常量常量是一个简单值的标识符,该值在脚本中不能改变。一个常量由英文字母、下划线、和数字组成,但数字不能作为首字母出现。 (常量名不需要加 $ 修饰符),常量在整个脚本中都可以直接使用。使用常量时,不能在常量名前添加$ 符号,不然会将常量转换成新的未定义变量使用,会导致报错PHP中(PHP 4及以后)我们可以使用函数define()来定义常量define ( string $name ,...
面试php反序列化java反序列化原理和常见函数
m0_52556798的博客
03-18 3105
关于反序列化,我更多的只是针对phpJava,把原理看懂了点,后面还会对反序列化进行详细总结 1.什么是序列化反序列化序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象 也就是把数据转化为一种可逆的数据结构,再把这种可逆的数据结构转化回数据,这就是序列化反序列化 用途:   1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;   2) 在网络上传送对象的字节序列。 php反序列化序列化的函数:string serialize ( mixed
Java之模拟PHP序列化serialize()/反序列化unserialize()方法
netuser1937的博客
11-08 1543
PHP的serialize()/unserialize(),方便把一个数组序列化反序列化Java的serialize,序列化之后,会把java.util…包名都放进去了,而且格式也不同于php, 对于汉字 php 占用2个字符,java占用一个字符,隐藏php序列化后,再由java 反序列化,可能导致乱码。 PHPSerializer 工具类: 当前版本实现了对各种基本类型、数组、ArrayList、HashMap、和其它可序列化对象的序列化。实现了 PHP 5 中的 Serializable 接口的
java php序列化_java 反序列化PHP
weixin_36068796的博客
02-12 159
由于本人所在开发的项目,前期是由php完成的,这里需要对数据库中php序列化的字符串进行反序列化。1、引入maven依赖org.sctionphprpc3.0.22、反序列化对象方法public static Test getUnserialize(String content) throws Exception {PHPSerializer p = new PHPSerializer();if ...
java 反序列化PHP序列化字符串
yixian918的专栏
04-11 2317
import java.util.HashMap; /**  * Since i have to declare the return type of a function, and i have no idea  * ahead of time what value is being unserialized, this helper class is a hack  * so
php反序列化部分学习
qq_63267612的博客
07-24 288
_isset()//在不可访问的属性上调用isset()或empty()触发。//a为要反序列化的对象(序列化结果开头是a,不影响作为数组元素的$a的析构)__wakeup()//执行unserialize()时,先会调用这个函数。__callStatic()//在静态上下文中调用不可访问的方法时触发。__unset()//在不可访问的属性上使用unset()时触发。__call()//在对象上下文中调用不可访问的方法时触发。__set()//用于将数据写入不可访问的属性。...
qpainter底层用的什么_那些鲜为人知的序列化反序列化有什么用?底层是怎么实现的?...
weixin_33983620的博客
01-18 212
在开发过程中经常会对实体进行序列化,但其实我们只是在“只知其然,不知其所以然”的状态,很多时候会有这些问题:什么是序列化反序列化?为什么要序列化?怎么实现序列化序列化的原理是什么呢?transient关键字序列化时应注意什么?如果你也有这些疑问,不妨看看本文?1. 什么是序列化反序列化Java序列化是指把Java对象转换为字节序列的过程;Java反序列化是指把字节序列恢复为Java对象的过...
java集合进行php序列化反序列化
墨 尘
07-27 401
依赖jar包 <dependency> <groupId>org.sction</groupId> <artifactId>phprpc</artifactId> <version>3.0.2</version> </dependency> 序列化PHPSerializer phpSerializer = new PHPSerializer(); List<Has.
java 反序列化php对象_PHP 序列化反序列化函数实例详解
weixin_28847199的博客
03-07 168
序列化反序列化把复杂的数据类型压缩到一个字符串中serialize() 把变量和它们的值编码成文本形式unserialize() 恢复原先变量1.创建一个$arr数组用于储存用户基本信息,并在浏览器中输出查看结果;$arr=array();$arr['name']='张三';$arr['age']='22';$arr['sex']='男';$arr['phone']='123456789';$a...
java 对象序列化与反序列使用详解
08-31
Java 对象的序列化是将对象的状态转换为字节流,以便将其存储在文件中或通过网络进行传输。而反序列化则是将字节流重新转换为对象,以便在程序中重新使用。 对象的序列化主要涉及到两个接口,即 Serializable 和 Externalizable。Serializable 接口是 Java 标准序列化机制的简单版本,所有需要序列化的类都需要实现这个接口。而 Externalizable 接口则需要自己实现序列化反序列化的方法。 在进行对象序列化时,可以使用 ObjectOutputStream 类来实现。通过这个类的 writeObject() 方法,可以将对象写入到输出流中。而在进行反序列化时,可以使用 ObjectInputStream 类来实现。通过这个类的 readObject() 方法,可以将字节流重新转换为对象。 对象序列化的主要用途包括: 1. 对象的持久化:通过将对象序列化后存储在文件中,可以实现对象的持久化,当程序再次启动时,可以反序列化读取文件并重新获取对象的状态。 2. 对象的传输:通过将对象序列化后通过网络传输,可以实现在不同计算机之间的对象传递。 在进行对象序列化时,需要注意以下几点: 1. 需要被序列化的对象和其引用的对象,都需要实现 Serializable 接口。 2. 对于不希望被序列化的属性,可以使用 transient 关键字进行标记。 3. 如果序列化的是一个对象的成员变量,而不是整个对象,那么成员变量对应的类也需要实现 Serializable 接口。 总之,Java 对象序列化反序列化是一种非常有用的机制,它可以将对象的状态转换为字节流进行存储或传输,以便在需要时重新获取对象。通过使用序列化机制,我们可以实现对象的持久化和传输,使得编程更加灵活和便捷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值