java php 序列化_PHP序列化和反序列化语法差异问题

最新推荐文章于 2023-09-18 13:56:52 发布
最新推荐文章于 2023-09-18 13:56:52 发布
阅读量258 收藏
点赞数
文章标签: java php 序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39631932/article/details/114430854
版权

介绍

官方文档中介绍PHP序列化和反序列化如下:

所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。

为了能够unserialize()一个对象,这个对象的类必须已经定义过。如果序列化类A的一个对象,将会返回一个跟类A相关,而且包含了对象所有变量值的字符串。

简单说序列化是对象转化字符串的过程,反序列化是字符串还原对象的过程。

环境

文章中所述内容使用环境如下:

PHP7.3.1、SDK

VSCode

C++

在网上公开参数反序列化执行流程已经非常详细,但是对于一些细节地方有一些不足,其中就包括序列化和反序列化之间的语法差异问题

差异问题

序列化

我们通过编译PHP内核源码分析,发现PHP序列化在默认情况下在对象转换中加入:{和}用来拼接成字符串。

[var.c]

Line:882

static void php_var_serialize_intern()

Line:896

if (ce->serialize(struc, &serialized_data, &serialized_length, (zend_serialize_data *)var_hash) == SUCCESS) {

smart_str_appendl(buf, "C:", 2);

smart_str_append_unsigned(buf, ZSTR_LEN(Z_OBJCE_P(struc)->name));

smart_str_appendl(buf, ":\"", 2);

smart_str_append(buf, Z_OBJCE_P(struc)->name);

smart_str_appendl(buf, "\":", 2);

smart_str_append_unsigned(buf, serialized_length);

smart_str_appendl(buf, ":{", 2);

smart_str_appendl(buf, (char *) serialized_data, serialized_length);

smart_str_appendc(buf, '}');

}

Line:952

smart_str_appendl(buf, ":{", 2);

Line:995

smart_str_appendc(buf, '}');

咱们来看上面这段代码,PHP会使用smart_str_appendl为序列化字符串前后拼接:{和},从var.c的第882行开始进入序列化逻辑。在第896行进行序列化字符串拼接,第952行和第995行,对于内嵌方法进行拼接。

反序列化

反序列化是将序列化的字符串,按照一定语法规则进行转化还原。

[var_unserialize.c]

Line:655

static int php_var_unserialize_internal()

Line:674

{

YYCTYPE yych;

static const unsigned char yybm[] = {

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

128, 128, 128, 128, 128, 128, 128, 128,

128, 128, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

0, 0, 0, 0, 0, 0, 0, 0,

};

if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);

yych = *YYCURSOR;

switch (yych) {

case 'C':

case 'O': goto yy4;

case 'N': goto yy5;

case 'R': goto yy6;

case 'S': goto yy7;

case 'a': goto yy8;

case 'b': goto yy9;

case 'd': goto yy10;

case 'i': goto yy11;

case 'o': goto yy12;

case 'r': goto yy13;

case 's': goto yy14;

case '}': goto yy15;

default: goto yy2;

}

Line:776

yy15:

++YYCURSOR;

{

/* this is the case where we have less data than planned */

php_error_docref(NULL, E_NOTICE, "Unexpected end of serialized data");

return 0; /* not sure if it should be 0 or 1 here? */

}

通过内核代码能够看到第655行进入反序列化,反序列化是利用词法扫描,判断各项符号转换对应对象。能够看到反序列化中对于}进行了处理,处理中只是对计数器加一并没有其他操作。

实际作用

反序列化语法的差异,对于安全防护设备判断反序列化产生很大的影响。在Snort中,有段规则如下:

alert tcp any any -> any [80,8080,443] (uricontent:".php"; content:":{"; pcre:"/\{\w:.+?\}/"; sid:1; msg:php_serialize;)

在攻击载荷中可以使用大多数字符代替{},从而导致规则失效。

总结

在红队攻击中可以利用PHP序列化和反序列化语法差异,从而达到绕过防护的目的。

在蓝队防御中建议考虑定义中所述不会保存对象的方法,只会保存类的名字。,拦截保存类的名字,以及语法中相同的字符比如冒号进行防御。

参考

weixin_39631932
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Json序列化反序列化通用的封装完整代码
08-30
JSON 是存储和交换文本信息的语法。类似 XML。JSON 比 XML 更小、更快,更易解析。下面通过实例代码给大家分享Json序列化反序列化通用的封装,需要的的朋友参考下吧
PHPJava、Python反序列化区别
weixin_42974824的博客
08-11 1035
PHPJava、Python反序列化区别
Java反序列化PHP反序列化区别
来日可期的博客
09-18 1581
反序列化存在的意义是为了数据传输,类是无法直接进行传输的。通过序列化后转换为字符串格式或者JSON格式进行传输。
面试php反序列化java反序列化原理和常见函数
m0_52556798的博客
03-18 3131
关于反序列化,我更多的只是针对phpJava,把原理看懂了点,后面还会对反序列化进行详细总结 1.什么是序列化反序列化序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象 也就是把数据转化为一种可逆的数据结构,再把这种可逆的数据结构转化回数据,这就是序列化反序列化 用途:   1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;   2) 在网络上传送对象的字节序列。 php反序列化序列化的函数:string serialize ( mixed
web漏洞“小迪安全课堂笔记”反序列化PHP&JAVA
weixin_42902126的博客
03-28 3403
小迪安全课堂笔记反序列化思维导图 思维导图
qpainter底层用的什么_那些鲜为人知的序列化反序列化有什么用?底层是怎么实现的?...
weixin_33983620的博客
01-18 213
在开发过程中经常会对实体进行序列化,但其实我们只是在“只知其然,不知其所以然”的状态,很多时候会有这些问题:什么是序列化反序列化?为什么要序列化?怎么实现序列化序列化的原理是什么呢?transient关键字序列化时应注意什么?如果你也有这些疑问,不妨看看本文?1. 什么是序列化反序列化Java序列化是指把Java对象转换为字节序列的过程;Java反序列化是指把字节序列恢复为Java对象的过...
Kotlin语法学习-变量定义、函数扩展、Parcelable序列化等简单总结
08-30
主要介绍了Kotlin语法学习-变量定义、函数扩展、Parcelable序列化等简单总结的相关资料,需要的朋友可以参考下
syn-serde:用于序列化反序列化Syn语法树的库
04-11
用于序列化反序列化语法树的库。 用法 将此添加到您的Cargo.toml : [ dependencies ] syn-serde = " 0.2 " 编译器支持:需要rustc 1.31+ 例子 [ dependencies ] syn-serde = { version = " 0.2 " , features =...
JavaScript 序列化对象实现代码
12-10
就像我们平时说的序列化反序列化啥的。当然可以了,因为JavaScript对象自身都提供了一个toString()方法,默认就是返回简单对象的Literal形式。 我们需要作的就是判断对象的具体类型,然后分别Serialize每种对象,...
php未定义的变量name_PHP--序列化反序列化详解
weixin_34472954的博客
01-24 191
PHP--序列化反序列化详解 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢! 说明 学到网络安全的时候用到了序列化反序列化的操作,感觉挺有用的,首先给出文档地址https://www.php.net/manual/zh/language.oop5.serialization.php 所有php里面的值都可以使用函数ser...
java 序列化PHP格式。
08-18
java数据 序列化PHP的格式 a:4:{s:6:"title2";s:13:"这是标题2";s:6:"title3";s:13:"这是标题3";s:5:"title";s:13:"这是标题1";s:6:"title4";s:13:"这是标题4";} 或者a:1:{i:0;a:1:{s:4:"name";s:10:"这是1321";}}等其他类型
java序列化对象传给php
01-17
android(包括java)序列化一个对象传给php去做处理,或是接到php序列化的对象在java中做处理的工具jar包以及使用方法. 使用方法: byte[] b = null; b = PHPSerializer.serialize(一个对象);//将一个对象序列化后返回byte[] String phpserialstr=new String(b); 将变量phpserialstr传给php即可. PHPSerializer中还有unserialize方法,是反序列化
java 解析php序列化数据问题
TOP__ONE的博客
03-21 4265
有很多情况会涉及到phpjava进行数据交换。一般情况是通过json数据格式去交换。但是对于那种比如:商城采用php进行开发,管理系统使用java语言开发,这其中就会涉及到数据交互,而正好php进行过数据序列化存储到数据库,而java还必须去解析,所以就会有这篇文章。开始我也上网查找过相关的工具类去进行解析,比如说我看到的一篇相关文章解决办法(在最后附录上)。下面介绍我我的方法如下: 1.这是
java/php 通用serialize/unserialize,序列与反序列化问题
thunder-1
06-17 2798
php的serialize/unserialize,方便把一个数组序列化反序列化,但是要和java交互,就比较麻烦了。 java的serialize,序列化之后,会把java.util…包名都放进去了,而且格式也不同于php 对于汉字 php 占用2个字符,java占用一个字符,隐藏php序列化后,再由java 反序列化,可能导致乱码。 PHPSerializer 工具类可解决以上问题 目前版本...
java反序列化php序列化的对象
weixin_30340617的博客
05-29 208
最近工作中遇到一个需要解析php序列化后存入DB的array, a:4:{i:0;a:2:{s:11:"province";s:8:"0016";s:7:"img";s:49:"20150117105023_kk-1.jpg";} i:1;a:2:{s:11:"province";s:8:"0017";s:7:"img";s:49:"20150117105025_kk-1.jpg";}} ...
JAVA反序列化安全
c0c0cf的专栏
09-15 6143
微信公众号:DebugPwn 新浪微博: http://weibo.com/u/2275304001/home?wvr=5 漏洞简介: 反序列化漏洞有十年的历史,存在于不同的编程语言中,最为明显的当属JavaPHP、Python、Ruby。漏洞的本质就是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象,
php 序列化java序列化一样结果么,什么是java序列化
weixin_42715608的博客
04-14 164
java序列化是将Java对象转换成字节流的过程。当Java对象需要在网络上传输 或者 持久化存储到文件中时,就需要对 Java 对象进行序列化处理。序列化的实现:类实现 Serializable 接口,这个接口没有需要实现的方法。实现 Serializable 接口是为了告诉 jvm 这个类的对象可以被序列化。 (推荐学习:java课程)注意事项:某个类可以被序列化,则其子类也可...
php反序列化部分学习
qq_63267612的博客
07-24 293
_isset()//在不可访问的属性上调用isset()或empty()触发。//a为要反序列化的对象(序列化结果开头是a,不影响作为数组元素的$a的析构)__wakeup()//执行unserialize()时,先会调用这个函数。__callStatic()//在静态上下文中调用不可访问的方法时触发。__unset()//在不可访问的属性上使用unset()时触发。__call()//在对象上下文中调用不可访问的方法时触发。__set()//用于将数据写入不可访问的属性。...
php反序列化如何学习
最新发布
09-25
总之,学习PHP反序列化需要理解概念、语法和安全问题,并通过实践不断提升自己的技能。通过不断学习和实践,可以掌握PHP反序列化的使用和安全开发技巧。 ### 回答3: PHP反序列化是指将序列化后的数据重新还原成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值