PHP序列化与反序列化

最新推荐文章于 2020-11-23 17:37:56 发布
最新推荐文章于 2020-11-23 17:37:56 发布
阅读量74 收藏
点赞数
文章标签: php json 数据库
原文链接:http://www.cnblogs.com/yinyusoso/p/8820987.html
版权

对象的序列化和反序列化作用就不再赘述,php中序列化的结果是一个php自定义的字符串格式,有点类似json.

我们在任何语言中设计对象的序列化和反序列化都需要解决几个问题

把某个对象序列化之后,序列化的结果有自描述的功能(从序列化的结果中知道这个对象的具体类型,

知道类型还不够,当然还需要知道这个类型所对应具体的值).

序列化时的权限控制,可以自定义序列化字段等,例如golang中的做的就非常方便.

时间性能问题:在某些性能敏感的场景下,对象序列化就不能拖后腿,例如:高性能服务(我经常使用protobuf来序列化).

空间性能问题:序列化之后的结果不能太长,比如内存中一个int对象,序列化之后数据长度变成了10倍int的长度,那这个序列化算法是有问题的.

本文仅仅从php代码角度来解释php中序列化和反序列化的过程.,记住一点序列化和反序列化操作的仅仅是对象的数据,这一点有面向对象开发经验的都应该容易理解.

1.序列化serialize和反序列化方法unserialize

php原生提供了对象序列化功能,不像c++ ……^_^. 用起来也非常简单,就两

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
class fobnn
{
  public $hack_id;
  private $hack_name;
  public function __construct($name,$id)
  {
   $this->hack_name = $name;
   $this->hack_id = $id;
  }
  public function print()
  {
   echo $this->hack_name.PHP_EOL;
  }
}
$obj = new fobnn('fobnn',1);
$obj->print();
$serializedstr = serialize($obj); //通过serialize接口序列化
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);//通过unserialize反序列化
$toobj->print();
?
1
2
3
fobnn
O:5:"fobnn":2:{s:7:"hack_id";i:1;s:16:"fobnnhack_name";s:5:"fobnn";}
fobnn

看到第二行的输出,这个字符串就是序列化的结果,这个结构其实很容读懂,可以发现是通过对象名称/成员名称来映射的,当然不同访问权限的成员序列化之后的标签名称略有不同.

根据我上面讲到的3个问题,那么我们可以来看看

1.自描述功能

O:5:"fobnn":2 其中o就表示了object类型,且类型名称为fobnn, 采用这种格式,后面的2表示了有2个成员对象.

关于成员对象,其实也是同一套子描述,这是一个递归的定义.

自描述的功能主要是通过字符串记录对象和成员的名称来实现.

2.性能问题

php序列化的时间性能本文就不分析了,详见后面,但序列化结果其实类似json/bson定义的协议,有协议头,协议头说明了类型,协议体则说明了类型所对应的值,并不会对序列化结果进行压缩.

2.反序列化中的魔术方法

对应上述说的第二个问题,其实php中也有解决方法,一种是通过魔术方法,第二种则是自定义序列化函数.先来介绍下魔术方法 __sleep和__wakeup

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
class fobnn
{
  public $hack_id;
  private $hack_name;
  public function __construct($name,$id)
  {
   $this->hack_name = $name;
   $this->hack_id = $id;
  }
  public function print()
  {
   echo $this->hack_name.PHP_EOL;
  }
  public function __sleep()
  {
   return array("hack_name");
  }
  public function __wakeup()
  {
   $this->hack_name = 'haha';
  }
}
$obj = new fobnn('fobnn',1);
$obj->print();
$serializedstr = serialize($obj);
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);
$toobj->print();
?
1
2
3
fobnn
O:5:"fobnn":1:{s:16:"fobnnhack_name";s:5:"fobnn";}
haha

在序列化之前会先调用__sleep返回的是一个需要序列化的成员名称数组,通过这样我们就可以控制需要序列化的数据,案例中我只返回了hack_name,可以看到结果中只序列化了hack_name成员.

在序列化完成之后,会跳用__wakeup 在这里我们可以做一些后续工作,例如重连数据库之类的.

3.自定义Serializable接口

?
1
2
3
4
interface Serializable {
abstract public string serialize ( void )
abstract public void unserialize ( string $serialized )
}

通过这个接口我们可以自定义序列化和反序列化的行为,这个功能主要可以用来自定义我们的序列化格式.

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
class fobnn implements Serializable
{
  public $hack_id;
  private $hack_name;
  public function __construct($name,$id)
  {
   $this->hack_name = $name;
   $this->hack_id = $id;
  }
  public function print()
  {
   echo $this->hack_name.PHP_EOL;
  }
 
  public function __sleep()
  {
   return array('hack_name');
  }
 
  public function __wakeup()
  {
   $this->hack_name = 'haha';
  }
 
  public function serialize()
  {
   return json_encode(array('id' => $this->hack_id ,'name'=>$this->hack_name ));
  }
 
  public function unserialize($var)
  {
   $array = json_decode($var,true);
   $this->hack_name = $array['name'];
   $this->hack_id = $array['id'];
  }
}
$obj = new fobnn('fobnn',1);
$obj->print();
$serializedstr = serialize($obj);
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);
$toobj->print();
?
1
2
3
fobnn
C:5:"fobnn":23:{{"id":1,"name":"fobnn"}}
fobnn

当使用了自定义序列化接口之后,我们的魔术方法就没用了.

4.PHP动态类型和PHP反序列化

既然上文中提到的自描述功能,那么序列化结果中保存了对象的类型,且php是动态类型语言,那么我们就可以来做个简单的实验.

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
class fobnn
{
  public $hack_id;
  public $hack_name;
  public function __construct($name,$id)
  {
   $this->hack_name = $name;
   $this->hack_id = $id;
  }
  public function print()
  {
   var_dump($this->hack_name);
  }
}
$obj = new fobnn('fobnn',1);
$obj->print();
$serializedstr = serialize($obj);
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);
$toobj->print();
$toobj2 = unserialize("O:5:\"fobnn\":2:{s:7:\"hack_id\";i:1;s:9:\"hack_name\";i:12345;}");
$toobj2->print();

我们修改hack_name反序列化的结果为int类型, i:12345

?
1
2
3
4
string(5) "fobnn"
O:5:"fobnn":2:{s:7:"hack_id";i:1;s:9:"hack_name";s:5:"fobnn";}
string(5) "fobnn"
int(12345)

可以发现,对象成功序列化回来了!并且可以正常工作!. 当然php的这种机制提供了灵活多变的语法,但也引入了安全风险. 后续继续分析php序列化和反序列化特性带来的安全问题.

转载于:https://www.cnblogs.com/yinyusoso/p/8820987.html

weixin_30362801
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
golang实现php里的serialize()和unserialize()序列和反序列方法详解
01-20
Golang 实现 PHP里的 serialize() 、 unserialize() 安装 go get -u github.com/techleeone/gophp/serialize 用法 package main import ( fmt github.com/techleeone/gophp/serialize ) func main() { str := `a:1:{s:3:php;s:24:世界上最好的语言;}` // unserialize() in php out, _ := serialize.UnMarshal([]byte(str
序列化反序列化
lei_gentle的博客
12-11 5万+
我以前确实对序列化,乃至现在也是不是很熟悉,有时候查找资料,但依旧懵懵懂懂,不过还好遇到一个博主,确定写的挺好的,链接会放再底部 废话不多说,先看官网定义: 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 序列化主要有两个用途 把对象的字节序列永久保存到硬盘上,通常存放在一个文件中(序列化对象) 在网络上传送对象的字节序列(网络传输对象)
spark(kryo)、hadoop(writable)、jdk(serializable)-序列化
DCHAO的博客
10-07 668
一、SRC 一个类在jvm中是有结构的,但即使是在jvm中,也是一堆数据。网络只能传文本,所以需要序列化反序列化。 通过几种方式的序列化后文本输出到本地文件,可以对比下大小。 二、jdk的序列化 将类的上级所有层次都序列化,相当于把类的所有描述信息写在文本中传输。效率较低。 ObjectOutputStream底层就是调用的DataOutputStream,只不过把类的层级、包名和数据一起传了。 三、hadoop 如果提前告知对方类的结构,则只需要传数据。效率会高。MR就是这种思路,所以MR用的是xxxW
序列化反序列化,看这一篇就够了!
leon
08-16 8407
Java 领域的对象如何传输 基于 socket 进行对象传输
详解PHP序列化反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
php json与xml序列化/反序列化
10-26
在WEB开发中,php对象的序列化反序列化经常使用,比较主流的有json格式与xml格式的序列化反序列化。今天我们就来看看是如何用的。
php序列化反序列化详解
01-20
把复杂的数据类型压缩到一个字符串中 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);...
PHP常见的序列化反序列化操作实例分析
10-16
主要介绍了PHP常见的序列化反序列化操作,结合实例形式分析了php使用serialize()及unserialize()进行序列化反序列化相关操作技巧及注意事项,需要的朋友可以参考下
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6247
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
序列化反序列化的底层实现原理是什么?
徐刘根的博客
04-07 8万+
序列化反序列化作为Java里一个较为基础的知识点,大家心里也有那么几句要说的,但我相信很多小伙伴掌握的也就是那么几句而已,如果再深究问一下Java如何实现序列化反序列化的,就可能不知所措了!遥记当年也被问了这一个问题,自信满满的说了一大堆,什么是序列化、什么是反序列化、什么场景的时候才会用到等,然后面试官说:那你能说一下序列化反序列化底层是如何实现的吗?一脸懵逼,然后回家等通知! 一、...
序列化反序列化的详解
热门推荐
tree_ifconfig的博客
09-19 29万+
一、基本概念 1、序列化反序列化的定义:     (1)Java序列化就是指把Java对象转换为字节序列的过程         Java反序列化就是指把字节序列恢复为Java对象的过程。    (2)序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。        反序列化的最重要的作用:根据字节流中保存的对...
AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1645
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
理解Java对象序列化
ikon的地盘
02-15 265
关于Java序列化的文章早已是汗牛充栋了,本文是对我个人过往学习,理解及应用Java序列化的一个总结。此文内容涉及Java序列化的基本原理,以及多种方法对序列化形式进行定制。在撰写本文时,既参考了Thinking in Java, Effective Java,JavaWorld,developerWorks中的相关文章和其它网络资料,也加入了自己的实践经验与理解,文、码并茂,希望对大家有所帮助。...
序列化反序列化漏洞的简单理解
jameson_的专栏
06-28 2万+
1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel
最简单的基于FFMPEG的转码程序
雷霄骅(leixiaohua1020)的专栏
05-25 9万+
本文介绍一个简单的基于FFmpeg的转码器。转码器在视音频编解码处理的程序中,属于一个比较复杂的东西。因为它结合了视频的解码和编码。一个视频播放器,一般只包含解码功能;一个视频编码工具,一般只包含编码功能;而一个视频转码器,则需要先对视频进行解码,然后再对视频进行编码,因而相当于解码器和编码器的结合。下图例举了一个视频的转码流程。输入视频的封装格式是FLV,视频编码标准是H.264,音频编码标准是
6.6: 序列化元素
confirmAname的专栏
01-06 437
占地
php序列化反序列化
最新发布
07-29
- *1* *2* *3* [PHP序列化反序列化](https://blog.csdn.net/weixin_44033675/article/details/116809651)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值