php反序列化

最新推荐文章于 2024-07-25 16:56:37 发布
最新推荐文章于 2024-07-25 16:56:37 发布
阅读量110 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/0xdd/p/11106126.html
版权

1.__wakeup()函数漏洞就是与对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数,如果该数字大于真实属性个数,就会绕过__wakeup()函数。

 

2、__construct()
实例化对象时被调用。__construct()是构造函数,同时当函数名和类名相同的时候,也是构造函数,构造函数有两种表达方式。
但是当__construct和以类名为函数名的函数同时存在的时候,__construct将被调用,而以类名作为函数名的构造函数不被调用。

 

3、__destruct()
当删除一个对象或对象操作终止时被调用。


4、__call()

当对象调用某个方法的时候,若方法存在,则直接调用;若不存在,则会去调用__call函数。


5、__get()

读取一个对象的属性时,若属性存在,则直接返回属性值;若不存在,则会调用__get函数。

 

6、__set()

设置一个对象的属性时,若属性存在,则直接赋值;若不存在,则会调用__set函数。


7、__toString()
打印一个对象的时被调用。如 echo $obj ,或 print $obj;


8、__clone()
克隆对象时被调用。如:$t=new Test(),$t1=clone $t;


9、__sleep()
serialize之前被调用。若对象比较大,想删减一点东东再序列化,可考虑一下此函数。

10、__isset()
检测一个对象的属性是否存在时被调用。如:isset($c->name)。


11、__unset()
unset一个对象的属性时被调用。如:unset($c->name)。


12、__set_state()
调用var_export时,被调用。用__set_state的返回值做为var_export的返回值。


13、__autoload()
实例化一个对象时,如果对应的类不存在,则该方法被调用。
 

转载于:https://www.cnblogs.com/0xdd/p/11106126.html

weixin_30322405
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP反序列化学习(包含实例)
kiwi的博客
11-09 352
上面的是某道ctf题目其中highlight_file为高亮显示某个文件里面的内容serialize为序列化函数unserialize为反序列化函数flag就在flag.php文件里面我们的思路就是利用highlight_file函数将flag.php读取获得flag__toString为当输出字符串的时候才会执行的方法就等于
PHP反序列化
qq_46430168的博客
07-02 1560
一.序列化和反序列化    1. 序列化(serialize):是将变量或对象转换成字符串的过程。从而达到传输和存储的目的。 class S { public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize(s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“tes
Pikachu-PHP反序列化
baynk的博客
11-19 1029
0x00 PHP反序列化概述 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 原来在ctf中学习过,也可以看看这个https://baynk.blog.csdn.net/article/details/99712035和这个https://blog.csdn.net/u014029795/article/details/99707622。...
pikachu之不安全下载和目录遍历和敏感信息泄露和php反序列化
最新发布
LIU6636LIU的博客
07-25 693
pikachu之不安全下载和目录遍历和敏感信息泄露和php反序列化
pikachu之php反序列化
qq_43665434的博客
02-18 417
pikachu之php反序列化 一、php对象和类 php面向对象编程: 对象:可以做一些事情。一个对象有状态、行为和标识三种属性。 类:一个共享共同结构和行为的对象的集合。 每个类的定义都以class开头,后面跟着类的名字,一个类可以包含有属于自己的变量,变量(称为属性)以及函数(称为方法)。类定义了一件事物的抽象特点。通常来说,类定义了事物的属性和它可以做到的。 类可能包含一些特殊的函数(magic函数),magic函数命名是以符号‘_’开头的,比如_construct当一个队形创建时调用;_dest
pikachu-PHP反序列化
baidu_39504221的博客
11-23 531
PHP对象需要表达的内容较多,如类属性值的类型、值等,所以会存在一个基本格式。下面则是PHP序列化后的基本类型表达: 布尔型(bool):b:value=>b:0 整数型(int):i:value=>i:1 整数型(int):i:value=>i:1 字符串型(str):s:length:“value”;=>s:4:“aaaa” 数组型(array):a:<length>:{key,value pairs};=>a:1:{i:1;s:1:“a”} 对象型(obje
pikachu_php反序列化
qq_58683895的博客
11-22 471
unser->test源码可见,需要执行到test,那么就需要执行construct函数,该魔法函数创建对象时就会被执行,执行到else分支之后输入值的反序列化就会当做值给test调用。
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
总之,PHP反序列化过程中的对象注入问题主要源于过滤函数处理不当导致的字符串长度变化。开发者在编写代码时应谨慎处理用户输入,并确保过滤和反序列化操作的安全性。正确使用过滤函数,避免在过滤后改变原始序列化...
php反序列化例题.docx
07-18
PHP 反序列化详解 PHP 反序列化是指将序列化的数据重新转换为 PHP 对象或数组的过程。PHP 提供了两个用于序列化和反序列化的函数:`serialize()` 和 `unserialize()`。在本文中,我们将详细介绍 PHP 反序列化的过程...
详解php反序列化
10-15
PHP反序列化PHP编程中的一个重要概念,它涉及到将PHP变量从一种状态转换成另一种状态,即从内存中的表示形式转换成能够在文件或数据库中持久保存的格式,然后再将其还原回内存状态的过程。序列化操作可以通过PHP的...
pikachu之PHP反序列化
Alsn86的博客
12-23 388
pikachu之PHP反序列化 概述
pikachu~~~PHP反序列化
weixin_50339832的博客
06-06 134
序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";} O:代表object 1:代表对象名字长度
pikachu之php反序列化()
weixin_54431413的博客
04-15 3255
pikachu靶场的反序列化漏洞 (代码审计能力有点弱鸡,不对之处请指教)
Pikachu系列——php反序列化
Zlirving_的博客
05-21 1101
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验八 —— php反序列化 php反序列化概述 php允许保存一个对象方便以后使用,这个过程被称为序列化。为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。 如果另一个脚本想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容已经释放掉了,我们要如何操作呢?难道要一个脚本不断地循环,等待后面脚本调用?这肯定是不现实的 serialize和unserialize就是
序列化接口 Serializable 和 Parcelable
binaryshao
01-17 461
Serializable 反射? serialVersionUID 确保反序列化成功的关键 ANY-ACCESS-MODIFIER static final long serialVersionUID = 42L; * It is also strongly advised that explicit * serialVersionUID declarations use the &amp;amp;amp;lt;...
php反序列化语句实例,PHP反序列化的一些例子
weixin_34006872的博客
03-11 597
之前web一直被PHP反序列化的一些问题困扰,现在痛定思痛,决定好好的总结一番(大佬请略过)一般反序列化能用的例子都是利用了PHP中的一些可以自动调用的特殊函数,类似于C++中的构造函数之类的,不需要其他函数调用即可自动运行。通常称这些函数为魔幻函数,常用的魔幻函数包括construct(),destruct(), sleep(),wakeup(), toString().首先我们以constr...
十、pikachu之php反序列化
qq_55202378的博客
08-24 1038
pikachu php反序列化
通过简单案例接触PHP反序列化
bwxzdjn的博客
03-22 3741
PHP反序列化漏洞为例,理解不安全的反序列化的成因。为接下来反序列化引发的诸多场景介绍奠定基础。
十二、pikachu PHP反序列化
山兔的博客
09-18 133
1.PHP反序列化概述 序列化serialize() 把一个对象变成可以传输的字符串,比如下面是一个对象: 反序列化unserialize() 把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。 序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题 2.PHP反序列化漏洞 看一下页面,接受反序列化,打开源码文件看看它反序列化什么 也就是把我们传进去的东西进行序列化 我们先在本地直接搭建一个序列化的内容,在浏览器访问它 O:1
深入理解PHP反序列化机制
"PHP 反序列化详解,包括serialize()函数的使用、序列化的概念和示例,以及PHP反序列化格式的解析。" 在PHP中,反序列化是一个至关重要的概念,它允许我们把之前通过序列化过程保存的字节流(通常是存储在文件或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值