php 把值存入cookie中,php 序列化存储数组数据到 cookie 中,取出后再反序列化为 false...

最新推荐文章于 2022-05-29 11:39:09 发布
最新推荐文章于 2022-05-29 11:39:09 发布
阅读量249 收藏
点赞数
文章标签: php 把值存入cookie中

不推荐将数组数据通过 serialize() 存储到 cookie 中,因为:Cookie 名称可以设置成数组名称,PHP 脚本里会是数组, 但用户系统里储存的是单独分开的 Cookie。 可以考虑使用 explode() 为一个 Cookie 设置多个名称和值。 不建议将 serialize() 用于此处,因为它会导致安全漏洞。

这边仅作测试使用。以下为测试 demo1:$goods_list = array(

"xx-aa"=>array("price"=>"25.00", "number"=>"10", "title"=>"普通毛巾"),

"yy-bb"=>array("price"=>"36.00", "number"=>"8", "title"=>"精品毛巾"));

ob_start();

header('HTTP/1.1 200');

header('Content-Type:application/json');

var_dump($goods_list);

$goods_serial = serialize($goods_list);

var_dump($goods_serial);

set_cookie('goods_list', $goods_serial);

$goods_serial = get_cookie('goods_list');

var_dump($goods_serial);

$goods_list = unserialize($goods_serial);

var_dump($goods_list);

这份代码在服务器上跑,反序列化后结果为 false。查了 unserialize() 函数注解,传递的字符串不可解序列化会返回 false。也就是说从 cookie 中再次取出来的值与存入的值不等。

因为在本地(php 7.3.2 nts)和个人服务器(php 7.3.2 zts)测试,都是可以正常取出数组,所以可以排除线程安全问题。之后想到可能是 php 版本问题,服务器使用的是 php 5.2.17(很古老的 php 版本了),猜测是低版本环境下,setcookie 做了一些处理导致了值不同。

在 setcookie 函数注解的范例 - 案例#1 中有这样一个说明:注意:在发送 Cookie 时,值的部分会被自动 urlencode 编码。收到 Cookie 时,会自动解码,并赋值到可变的 Cookie 名称上。 如果不想被编码,可以使用 setrawcookie() 代替。

也就是说,正常情况下 setcookie 和 getcookie 会分别使用 urlencode 编码字符串值,urldecode 解码字符串值。那么是不是低版本下缺少了这个步骤呢?测试 demo2 如下:$goods_list = array(

"xx-aa"=>array("price"=>"25.00", "number"=>"10", "title"=>"普通毛巾"),

"yy-bb"=>array("price"=>"36.00", "number"=>"8", "title"=>"精品毛巾"));

ob_start();

header('HTTP/1.1 200');

header('Content-Type:application/json');

var_dump($goods_list);

$goods_serial = urlencode(serialize($goods_list));

var_dump($goods_serial);

set_cookie('goods_list', $goods_serial);

$goods_serial = get_cookie('goods_list');

var_dump($goods_serial);

$goods_list = unserialize(urldecode($goods_serial));

var_dump($goods_list);

结果数组正常正常解析出来了。然后就有了使用 json_encode 和 json_decode 版本(serialize() 存在漏洞,不安全)demo3:$goods_list = array(

"xx-aa"=>array("price"=>"25.00", "number"=>"10", "title"=>"普通毛巾"),

"yy-bb"=>array("price"=>"36.00", "number"=>"8", "title"=>"精品毛巾"));

ob_start();

header('HTTP/1.1 200');

header('Content-Type:application/json');

var_dump($goods_list);

$goods_serial = urlencode(json_encode($goods_list));

var_dump($goods_serial);

set_cookie('goods_list', $goods_serial);

$goods_serial = get_cookie('goods_list');

var_dump($goods_serial);

$goods_list = json_decode(urldecode($goods_serial), true);

var_dump($goods_list);

一开始可能因为 urldecode 位置放错了,没有成功,然后观察了中间刚取出 cookie 的值,发现了 unserialize() 反序列化失败的真正原因:php 5.2.17 版本 setcookie 存入的值使用了 addslashes() 函数做转义处理,但 getcookie 取出时没有自动调用 stripslashes() 取消转义。

针对这个问题,可以在取出 cookie 之后增加一步取消处理即可:$goods_serial = stripslashes($goods_serial);

后续 php 版本修复了这个 bug,在 cookie 读写函数内部采用了 urlencode 和 urldecode 方法处理数据。而低版本中使用 urlencode 和 urldecode 方法也可以解决这个 bug,因为 url 转码恰好修改了需要转义的项,使 addslashes() 无功而返,最终解码成功。

雪蔻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP反序列化漏洞总结
u013797594的博客
06-11 2429
PHP反序列化漏洞总结
PHP session反序列化漏洞原理解析
Askshhbs的博客
04-25 397
网络安全,web,Kali,渗透测试相关课件,工具,资料 可以关注公众号:“掌控安全课堂” 回复:“我想学黑客”即可免费获得 PHPsession反序列化漏洞,是当序列化存储Session数据反序列化读取Session数据的方式不同时产生的。 总结学习,能力有限,如有错误请大佬指出。 什么是session 官方Session定义:在计算机,尤其是在网络应用,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。主要有以下特点: session保存的位置是在服务器
记一次初学PHP反序列化
XunanSec的博客
05-29 435
0x00 直接进入状态 刚开始学习反序列化,此贴为记录初学的入门级反序列化的CTF题 此题为Bugku的一道Web题,考点是反序列化PHP的基本知识 该题的标题为:点login咋没反应 进入靶场之后,可以看到Login按钮是一个摆设,并没有提交功能 右键查看源代码,只能看到一个css文件,点开看一下 第一行就是一个注释,提示我们在Url后面添加?19737 添加?19737之后,显示了源码 这里我们只看PHP代码 <?php error_reporting(0); ...
php数据存到cookie,php如何保存cookie登录状态的安全性
weixin_42120275的博客
03-10 400
我们知道web是基于HTTP协议传输的,明文传输是极其危险的,随便哪个抓包工具分析下数据包,就over啦,一个加密的传输过程应该包括两部分,一部分为身份认证,用户鉴别这个用户的真伪;另外一部分为数据加密,用于数据的保密。我大概是这样做的:(1)生成用户验证token用户登录后我会生成一个token,该token可能由如下信息组成:username+ip+expiration+salt【只是举例】,...
php对象序列化cookie的问题,反序列化false
weixin_33847182的博客
06-03 359
php对象序列化cookie的问题,反序列化false $searchKeywords = array("羊奶","肥皂"); $searchKeywords = serialize($searchKeywords);//序列化 echo $searchKeywords; setcookie("searchKeyword...
探讨多键cookie(phpcookie存取数组)的详解
12-18
方法一:先用serialize序列化数组,再存入COOKIE ,读出来时用unserialize得到原来的数组方法二:设定多键cookie,注意必须给键复制代码 代码如下:$arr = array(1,2,3); setcookie(“a[0]”, $arr[0]); se
C++实现从.txt文件读取数据存入数组,将数组数据写入.txt文件.rar vc6.0源代码
01-30
C++实现从.txt文件读取数据存入数组,将数组数据写入.txt文件.rar C++实现从.txt文件读取数据存入数组,将数组数据写入.txt文件.rar
PHP实现使用DOM将XML数据存入数组的方法示例
10-19
主要介绍了PHP实现使用DOM将XML数据存入数组的方法,结合具体实例形式分析了php基于DOM实现xml数据读取与解析相关操作技巧,需要的朋友可以参考下
c语言实现把文件数据读取并存到数组
01-01
// C++读取文本到数组.cpp : 定义控制台应用程序的入口点。 // #include stdafx.h int readfile1D() { char a[100]; int i; FILE *fp = fopen(1.txt,r); if(fp == NULL) { printf(文件读取无效.\n); ...
在java如何将数组里的数据存入数据库呢.txt
最新发布
10-03
在java如何将数组里的数据存入数据库呢.txt
PHP多种序列化/反序列化的方法详解
10-19
本篇文章主要介绍了PHP多种序列化/反序列化的方法详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
读资源文件(传入相应的key就可取出相应的value),读取COOKIE,存储COOKIE,把Bean序列化存储COOKIE,返序列化COOKIEk取出Bean
06-23
真实项目常用到的 自己写的工具类,包括读资源文件(传入相应的key就可取出相应的value),读取COOKIE,存储COOKIE,把Bean序列化存储COOKIE,返序列化COOKIEk取出Bean
多键cookiephpcookie存取数组
yinyiniao(Leo)'s blog
11-27 5906
cookie默认不能存数组,所以下面的写法是错误的。 <?php$arr = array(1,2,3); setcookie(a,$arr); $arr = array(1,2,3);setcookie(a,$arr);?> 报错如下:Warning: setcookie() expects parameter 2 to be strin
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1635
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的都可以使用函数serialize()来返回一个包含字节流的字符串来表...
php 序列化反序列化
天空之城
10-09 7567
简介 在php序列化用与存储或传递php的过程,同时不丢失其结构和数据类型。 相关的函数包括serialize、unserialize,魔术方法包括__sleep、__wakeup。 序列化 语法:string serialize ( mixed $value ) 可以对String、Integer、Boolean、Null、Array、Object进行操作 反序列化 语法:mi...
php 写入和读取序列化cookie
phper
05-26 194
[code="java"] public function saveConfigToCookie(array $config){ setcookie("c", urlencode(serialize(($config))), time() + 9999999, "/"); } [/code] [code="j...
php数据存到cookie,php – 在cookie存储数组
weixin_30999669的博客
03-10 280
如何生成唯一ID,将其存储cookie,并将序列化数组和ID存储数据?例:// ------------ STORING TO COOKIE AND DATABASE ------------ //$id = uniqid();setcookie("id", $id, time()+60*60*24); // 1 day$serialized = serialize($array);my...
php,cookie和session和序列化
世间繁华梦一出
01-05 157
1、PHP 需要对php网站进行安全配置的一些相关属性 在php.ini文件修改相关可能导致出现漏洞或者容易被攻击者利用的参数来进行防御 2、wireshark 网络流量分析和网络故障处理工具。关于这一款网络分析工具的使用我们会在后续的文章进行讲述和演示。 3、 Apache服务器的配置 ServerTokens OS 4、 变量覆盖漏洞 通常将可以用自定义的参数替换原有变量的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数
cookies序列化反序列化
一个程序员的成长之路。。。
09-06 3902
cookies 序列化# python3 ,推荐使用 cPickle from http.cookies import SimpleCookie import pickle, osif not os.path.exists(doc_name): with open(doc_name, 'wb') as f: pickle.dump({k.key: k.value for k
D3.js 把数组数据存入csv
07-10
在D3.js,你可以使用以下步骤将数组数据存入CSV文件: 1. 首先,将数据转换为CSV格式的字符串。你可以使用D3.js的`d3.csvFormat()`方法来实现这一点。这个方法接受一个对象数组作为参数,并返回一个包含CSV格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值