php 7 class 初始化 销毁_PHP反序列化的定义

最新推荐文章于 2023-02-17 15:29:59 发布
最新推荐文章于 2023-02-17 15:29:59 发布
阅读量182 收藏
点赞数
文章标签: php 7 class 初始化 销毁 字符串序列化调用writeutf

f7fdd87d4653a5123f9ad30bdd82bb45.png

PHP反序列化,基本都是围绕着serialize(),unserialize()这两个函数。序列化说通俗点就是把一个对象变成可以传输的字符串。反序列化就是把字符串转变为对象。

为了更好的理解序列化,以序列化Json为例。

json_encode()

json_decode()

b847c5de14122508887d695b4482fee7.png

输出结果

cbc35a8efc5681f985a3a1f1fbbdb0e9.png

所以在这里,将数组序列化成json格式的字串的目的就是为了方便传输。可以看见,这里json格式来保存数据主要是使用键值对的形式。

如何把一个对象序列化。

假设,写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就可以把这个对象序列化了,存成一个字符串,当要用的时候再调用出来就好了。

例子:

63d19872bdbeeb1dc50f7d68e5444cdb.png

ad1864a80d6d234efb0f1bad382a8a4d.png

漏洞的产生

PHP魔术方法:魔法函数一般是以_开头,通常会应为某些条件而触发。

__construct() 当一个对象创建时被调用

__destruct() 当一个对象销毁时被调用

__toString() 当一个对象被当作一个字符串使用

__sleep() 在对象在被序列化之前运行

__wakeup() 将在序列化之后立即被调用

以上为主要关注的魔术方法,如果服务器能够接收反序列化过的字符串、并且未经过滤的把其中的变量直接放进这些魔术方法里,就会造成漏洞。

weixin_39801158
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C++深度解析(14)—对象的销毁
小虾米编程
07-18 650
1.对象的销毁 一般而言,需要销毁的对象都应该做清理 解决方案: 为每个类都提供—个public的free函数 对象不再需要时立即调用free函数进行清理 classTest { int*p; public: Test() { p=newint; } voidfr...
C++CArchive序列化存储
10-17
在C++编程中,CArchive类是MFC(Microsoft Foundation Classes)库中的一个重要组件,它提供了对象的序列化反序列化功能。序列化是指将内存中的数据结构或对象转换为可以存储或传输的格式,而反序列化则是将这种...
php 面向对象 初始化
on_the_road_的专栏
03-22 1291
PHP中类的初始化有两种方式,一种是像你所说的同名函数做构造函数,另外一种则是定义__construct()(前面两个下划线_)做构造函数,这两者除了函数名称不一样外,其它没什么区别,都是用来初始化类的。但建议用后者,原因是如果使用了同名函数做构造函数,当类名发生改变,相应的构造函数名也要改变。而__construct被默认作为当前类的构造函数
php 7 class 初始化 销毁_在 PHP 中使用和管理 Session
weixin_39730911的博客
11-21 162
1、Session vs. Cookie与 Cookie 一样,Session 技术也是用于解决 HTTP 协议无状态的问题,不过,与 Cookie 数据保存在客户端不同,Session 数据存储在服务端,然后通过分配一个全局唯一的 ID 与特定用户关联(通常在用户认证通过后分配),但 Session 又与 Cookie 紧密关联,因为这个 Session ID 通常会存储到 Cooki...
php多次初始化一个类,php 类的初始化
weixin_35773344的博客
03-11 715
代码如下class child{private $parent;function __construct($parent){$this->parent = $parent;}function getnationality(){return $this->parent->nationality;}}$parent = new parent('hispanic');$child = ...
羞,Spring Bean 初始化/销毁竟然有这么多姿势
Java极客技术
11-23 233
这是 Java 极客技术的第260篇原创文章一、前言日常开发过程有时需要在应用启动之后加载某些资源,或者在应用关闭之前释放资源。Spring 框架提供相关功能,围绕 ...
php使用get_class_methods()函数获取分类的方法
12-18
- `__sleep()` 和 `__wakeup()`: 在序列化反序列化对象时执行。 同时,PHP还提供了其他与类和对象相关的函数,如 `get_class()` 获取对象的类名,`get_object_vars()` 获取对象的所有公开属性,`get_parent_class...
PHP反序列化漏洞初窥1
08-03
### PHP反序列化漏洞解析 ...通过以上分析可以看出,理解序列化反序列化的基本概念及其在PHP中的实现方式对于防范反序列化漏洞至关重要。此外,遵循最佳实践和安全指南也是保护应用程序免受此类攻击的关键步骤。
php7-singleton
04-05
// 阻止序列化反序列化 private function __wakeup() {} } ``` ### 4. 使用Singleton模式的场景 - **全局配置管理**: 存储和读取配置信息,避免在多个地方重复初始化。 - **数据库连接**: 数据库连接池的实现...
KryoJava序列化和克隆框架具有快速高效自动的特点
08-06
Kryo是一个针对Java的高性能对象图序列化框架,由Esoteric Software开发,其特性包括快速、高效以及自动处理,使得在内存序列化反序列化过程中能实现卓越的性能。 **Kryo的核心特性** 1. **速度与效率**:Kryo...
偷懒万岁-让PHP自己初始化
张沫
10-15 418
 class a {......    function a1() {        include_once ROOT_PATH . lib/db.php;        $db = new db();        $res = $db->get_array(select * from table);        ......    }....
php 7 class 初始化 销毁_PHP中的类,在内存中的存储结构原来是这样,终于弄明白了...
weixin_39788256的博客
11-23 169
类的定义类是现实世界或思维世界中的实体在计算机中的反映,它将某些具有关联关系的数据以及这些数据上的操作封装在一起。在面向对象中类是对象的抽象,对象是类的具体实例。我们先来看一下PHP中是如何定义类的:class 类名 {常量;成员属性;成员方法;}一个类可以包含有属于自己的常量、变量(称为“属性”)以及函数(称为“方法”),下面我们将围绕这三部分具体弄清楚以下几个问题:类的存储及索引成员属性的存储...
ES6 Class类 事件的注册与销毁
最新发布
^Being^
02-17 1188
ES6 中使用 Class 语法糖,处理事件监听器的注册(addEventListener)和销毁(removeEventListener)时,其中遇到的、或者说需要注意的一些问题(如:注册事件无法销毁)及解决方案。
php 什么时候销毁对象,什么决定什么时候在PHP销毁类对象?
weixin_33632298的博客
03-18 362
PHP中,所有值都保存在所谓的zvals中.这些zvals包含实际的数据,类型信息,这对您的问题很重要 – 引用计数.看看下面的代码段:$a = new B; // $a points to zval(new B) with refcount=1$b = $a; // $a, $b point to zval(new B) with refcount=2 (+1)...
Java高级系列——如何创建和销毁对象
热门推荐
Ron.Zheng
12-30 1万+
本系列文章我们我们将会覆盖一些高级的Java概念,我们假设你对Java语言已经有一些基础知识。本系列文章并不是一个完整的参考,而是一个将您的Java技能提升到下一个级别的详细指南。Java是面向对象的编程语言,所以新实例(objects)的创建可能是它最重要的概念之一。在新的类实例中构造器(Constructors)扮演了非常核心的角色,Java对于构造器(Constructors)的定义提供了很多方案。
Java进阶 创建和销毁对象
weixin_30824599的博客
05-12 483
最近准备写点Javase的东西,希望可以帮助大家写出更好的代码。 1、给不可实例化的类提供私有构造器 比如:每个项目中都有很多工具类,提供了很多static类型的方法供大家使用,谁也不希望看到下面的代码: TextUtils textUtils = new TextUtils(); if(textUtils.isDigitsOnly("123")) { //doSome...
java 卸载class_卸载Java中的类?
weixin_42524945的博客
02-13 1440
小编典典可以卸载类的唯一方法是,如果使用的类加载器是垃圾回收。这意味着对每个单个类的引用以及对类加载器的引用都需要遵循dodo的方式。一种可能的解决方案是为每个jar文件提供一个Classloader,为每个AppServer提供一个Classloader,以将类的实际加载委托给特定的Jar类加载器。这样,您可以为每个App服务器指向jar文件的不同版本。不过,这并非微不足道。OSGi平台努力做到...
深入理解PHP反序列化漏洞
在给出的实例分析中,`index.php`引入了名为 `Shield` 的类,并根据GET参数 `class` 进行操作,这可能是一个潜在的漏洞点,因为未经验证的输入可能导致恶意反序列化操作。 理解并正确处理序列化反序列化是防止这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值