php反序列化

最新推荐文章于 2024-06-01 15:16:28 发布
最新推荐文章于 2024-06-01 15:16:28 发布
阅读量87 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39514626/article/details/98472046
版权

文章目录


参考: https://www.freebuf.com/articles/web/167721.html

php反序列化漏洞

什么是反序列化
serialize()、unserialize()

首先呢,序列化就是利用serialize()函数将一个对象变成可以传输的字符串。例如json格式就是一种序列化。

[外链图片转存失败(img-HbRoXxGA-1564911356099)(en-resource://database/1095:0)]

‘Bill’=>‘35’
“Steve”=>“37”
“Elon”=>“43”
这是一个关于age的数组,如果我们想传输这个数组该怎么办呢。我们可以用json_encode()函数来将这个数组变成一串字符。
在这里插入图片描述

php使用序列化的原因

上面我们使用序列化是为了方便传输。那么php使用序列化的原因是什么呢?
假如,我们要创建一个class(类),在对象实例化之后里面的变量又发生了变化。如果我们之后要使用这些变量怎么办呢?又不能一直不销毁class,因为这样太耗资源了。

这时候我们就可以使用序列化将对象,需要使用的时候再反序列化就好了。
那么如何将对象序列化呢。
1、创建对象
在这里插入图片描述
这里,我们先创了个DemoClass,里面存了点信息,后来我们new了一个实例$example的时候,将这个class里的一些信息给改变了。如果我们之后还要用到这个实例怎么办呢,我们就先将他序列化存起来,到时候用的时候再放出来就好啦。

在这里插入图片描述在这里插入图片描述
那么如何反序列化呢?
[外链图片转存失败(img-C36CJoWW-1564911356107)(en-resource://database/1107:0)][外链图片转存失败(img-S7FXBUBK-1564911356108)(en-resource://database/1109:0)]

在这里插入图片描述

为什么会产生这个漏洞

为什么序列化以下然后反序列化就出毛病了呢?这就与php魔术方法有关了。魔法函数一般以”_“开头

_construct()当一个对象创建时被调用
_destruct()当一个对象销毁时被调用
_tostring()当一个对象被当作一个字符串使用调用
_sleep()在对象被序列化之前运行
_wakeup()在对象被序列化之后立即被调用

在这里插入图片描述

梦梦梦·
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php反序列化失败,php反序列化失败怎么办
weixin_34947914的博客
03-26 739
【摘要】PHP即“超文本预处理器”,是一种通用开源脚本语言。PHP是在服务器端执行的脚本语言,与C语言类似,是常用的网站编程语言。PHP独特的语法混合了C、Java、Perl以及 PHP 自创的语法。下面是php反序列化失败怎么办,让我们一起来看看php反序列化失败怎么办的具体内容吧!php反序列化失败怎么办php反序列化失败是因为序列化数据时的编码与反序列化时的编码不一致导致的,其解决办法就是使...
详解php反序列化
12-17
PHP反序列化是一种将之前通过序列化保存的字符串还原成原始数据结构的技术。在PHP中,`serialize()`函数用于将变量转化为可存储或传输的字符串形式,而`unserialize()`函数则相反,它将字符串还原为原来的变量。这两...
PHP反序列化
Flynn的博客
03-31 1000
序列化 以PHP语言为例子,在写程序尤其是写网站的时候,经常会构造类,并且有时候会将实例化的类作为变量进行传输。序列化就是在此为了减少传输内容的大小孕育而生的一种压缩方法。我们知道一个PHP类都含有几个特定的元素: 类属性、类常量、类方法。每一个类至少都含有以上三个元素,而这三个元素也可以组成最基本的类。那么按照特定的格式将这三个元素表达出来就可以将一个完整的类表示出来并传递。序列化就是将一个类压缩成一个字符串的方法 <?php class TEST{ public $a="public"; pr
php反序列化原理
byll1024的博客
05-20 1069
PHP反序列化是将经过序列化的字符串恢复成原始数据结构的过程。序列化是指将复杂数据结构(如数组、对象)转换为可存储或传输的字符串形式,而反序列化则是将这些字符串重新转换回原来的数据结构。在PHP中,这通常通过`unserialize()`函数实现。这个函数读取序列化字符串,并根据其中包含的信息重建原始的数据结构。需要注意的是,反序列化过程可能会执行字符串中包含的代码,因此存在安全风险。为了避免潜在的安全隐患,建议只对可信的序列化字符串进行反序列化操作。
php反序列化入门
2303_81631620的博客
06-01 1044
序列化是将对象或数组转化为方便存储、传输的字符串,php使用serialize()函数将对象序列化;序列化只作用于对象的成员属性,不序列化成员方法。
php反序列化魔术方法
2301_80913334的博客
03-26 1219
_sleep()__wakeup()__invoke()__clone触发时机实例化对象对象引用完成或对象被销毁;反序列化之后序列化之前反序列化之前把对象当成字符串调用(使用echo或print)把对象当成函数调用当使用clone关键字拷贝完成一个对象功能提前清理不必要内容对象被序列化之前触发,返回需要被序列化储存的成员属性,删除不必要的属性参数返回值需要被序列化的成员属性__call()__get()__set()__isset()__unset()
php反序列化以及相关例题
2401_82388450的博客
04-28 1187
1.序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。简单来说就是将内存变成文件,在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列化就是将内存的变量数据“保存”到文件中的持久数据的过程。2.反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。
php反序列化总结
weixin_44576725的博客
04-08 6682
php反序列化总结 基础知识 序列化 序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。 serialize ( mixed $value ) : string serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 example: class Test { public $name = "s1ng"; private $age = 19;
php 反序列化总结
m0_64815693的博客
12-02 3753
php 反序列化从零开始到啥也不会 横批:一篇足以
php反序列化例题.docx
07-18
PHP 反序列化详解 PHP 反序列化是指将序列化的数据重新转换为 PHP 对象或数组的过程。PHP 提供了两个用于序列化和反序列化的函数:`serialize()` 和 `unserialize()`。在本文中,我们将详细介绍 PHP 反序列化的过程...
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
总之,PHP反序列化过程中的对象注入问题主要源于过滤函数处理不当导致的字符串长度变化。开发者在编写代码时应谨慎处理用户输入,并确保过滤和反序列化操作的安全性。正确使用过滤函数,避免在过滤后改变原始序列化...
详解PHP序列化和反序列化原理
10-18
这通常是由于PHP反序列化时会执行对象的魔术方法,如果攻击者能够构造特殊的序列化数据,就可能在反序列化时触发恶意代码执行。因此,在使用序列化和反序列化时,需要特别小心,确保输入的数据是可信的,或使用安全...
PHP反序列化命令执行及防范
金色%夕阳的博客
05-08 1120
PHP反序列化命令执行 1、 序列化与反序列化原理 序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。依照序列化格式重新获取字节的结果时,可以利用它来产生与原始对象相同语义的副本。序列化是一种将对象的状态信息转换为可以存储或传输的形式的过程(转化为信息流)。在序列化期间,对象将其当前状态写入到临时或持久性存储区以后,可以通过从存储区中读取或反序列化对象
【轨迹跟踪】基于matlab惯性导航系统INS惯性测量单元 IMU跟踪物体运动轨迹【含Matlab源码 7350期】.mp4
08-25
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
基于微信小程序模拟考试设计与实现.docx
08-25
基于微信小程序模拟考试设计与实现.docx
打车票管理系统前端_invoice_vue.zip
最新发布
08-25
打车票管理系统前端_invoice_vue
Windows Server2019主域控制器与额外备份域控制器之间的角色转换
08-25
Windows Server2019主域控制器与额外备份域控制器之间的角色转换 场景一:主域控服务器正常,主域角色转移到备份域控,使备份域成为主域控 场景二:主域控服务器挂掉了,额外/备份域控制器夺取角色成为主域控
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值