PHP、Java、Python反序列化的区别

已于 2022-08-11 16:01:47 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: Java安全 文章标签: 网络安全
于 2022-08-11 15:59:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42974824/article/details/126287187
版权

区别

PHP反序列化是开发者不能参与的,开发者调用serialize函数以后,序列化的数据就已经完成了,你得到的是一个完整的对象,并不能在序列化流里新增某一个内容,如果想插入新的内容,只有将其保存在一个属性中。也就是说PHP的序列化、反序列化是一个纯内部的过程,而其_sleep_wakeup魔术方法的目的就是在序列化、反序列化的前后执行一些操作。

Java反序列化的操作,很多是需要开发者深入参与的,可以发现大量的库会实现readObjectwriteObject方法,这和_sleep_wakeup很少使用是存在鲜明对比的。

Python反序列化和Java、php有个显著的区别,就是Python的反序列化过程实际上是在执行一个基于栈的虚拟机。我们可以栈上增、删对象,也可以执行一些指令,比如函数的执行等,甚至可以用这个虚拟机执行一个完整的应用程序。所以,Python的反序列化可以立即导致任意函数、命令执行漏洞,与需要gadget的php和java相比更加危险。

总结

从危害上来看,Python的反序列化危害是最大的。
从应用广度上来看,Java的反序列化是最常被用到的。
从反序列化的原理上来看,PHP和Java是类似又不尽相同的。

杜子腾1
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
标题中的“WEB漏洞-反序列化PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHPJAVA平台上的反序列化漏洞。反序列化漏洞是由于程序在处理序列化数据时没有充分验证输入,从而允许攻击者构造...
Json反序列化
10-24
反序列化是将JSON格式的字符串转换为程序可直接使用的对象的过程,这对于处理网络请求返回的数据至关重要。在本篇文章中,我们将深入探讨JSON反序列化的概念、原因以及在实际开发中的应用。 一、什么是JSON反序列化...
Java反序列化PHP反序列化区别
最新发布
来日可期的博客
09-18 1638
反序列化存在的意义是为了数据传输,类是无法直接进行传输的。通过序列化后转换为字符串格式或者JSON格式进行传输。
Java反序列化php反序列化区别
weixin_58954236的博客
09-16 552
​ 序列化和反序列化本身是为了实现数据在网络上完整高效的传输,但是由于反序列化过程中,对象的魔术方法会自动调用,魔术方法本身调用了别的方法,最终呈现一种链式调用,直到执行任意的代码或者命令。反序列化漏洞中危险函数执行的时候参数对我们来说可控,反序列化才能成立。所以反序列化漏洞的利用条件非常苛刻。​反序列化的时候实现了函数的链式调用,在这个链式调用的函数里有一个漏洞点,并且可以控制这个漏洞点的参数。
qpainter底层用的什么_那些鲜为人知的序列化和反序列化有什么用?底层是怎么实现的?...
weixin_33983620的博客
01-18 217
在开发过程中经常会对实体进行序列化,但其实我们只是在“只知其然,不知其所以然”的状态,很多时候会有这些问题:什么是序列化和反序列化?为什么要序列化?怎么实现序列化?序列化的原理是什么呢?transient关键字序列化时应注意什么?如果你也有这些疑问,不妨看看本文?1. 什么是序列化和反序列化Java序列化是指把Java对象转换为字节序列的过程;Java反序列化是指把字节序列恢复为Java对象的过...
面试php反序列化java反序列化原理和常见函数
m0_52556798的博客
03-18 3226
关于反序列化,我更多的只是针对phpJava,把原理看懂了点,后面还会对反序列化进行详细总结 1.什么是序列化和反序列化? 序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象 也就是把数据转化为一种可逆的数据结构,再把这种可逆的数据结构转化回数据,这就是序列化与反序列化 用途:   1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;   2) 在网络上传送对象的字节序列。 php反序列化: 序列化的函数:string serialize ( mixed
php未定义的变量name_PHP--序列化与反序列化详解
weixin_34472954的博客
01-24 197
PHP--序列化与反序列化详解 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢! 说明 学到网络安全的时候用到了序列化和反序列化的操作,感觉挺有用的,首先给出文档地址https://www.php.net/manual/zh/language.oop5.serialization.php 所有php里面的值都可以使用函数ser...
thrift 的 javapython结合例子
02-06
Thrift处理了数据的序列化和反序列化,以及网络通信的细节,使得开发者可以专注于业务逻辑,而不用关心底层通信的具体实现。此外,Thrift还支持其他多种语言,如C++, PHP, Ruby等,这使得构建分布式系统时可以灵活...
anyvalue:高性能数据序列化库,支持C++ java python php objectc 语言,兼容json数据格试,可以互相转换,跨语言交换数据,网络传输,远程调用
07-07
anyvalue高性能数据序列化库,支持C++ java python php objectc 语言,兼容json数据格试,可以互相转换php$obj['abc']='dasdasdsa';$obj['bcd']=10000;$obj['name']="sssssss";$obj['urls']=array('');$obj['info']...
ProtobufDemo:Protobuf演示,用于在JavaPython之间进行序列化
05-02
Protobuf演示 Protobuf JavaPython的环境文档env 在JavaPython之间进行序列化的Protobuf用法演示
java php 序列化_PHP序列化和反序列化语法差异问题
weixin_39631932的博客
02-21 263
介绍官方文档中介绍PHP序列化和反序列化如下:所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。为了能够unserialize()一个对象,这个对象的类必须已经定义过。如果序列化类A的一个对象,将会返回一个跟类A...
pythonphp的差异(python的列表、元组和字典对应PHP的索引数组和关联数组)
luyaran的博客
02-10 1701
有关于PHP的索引数组和关联数组,相信每一个PHPer都是熟悉的不能再熟悉了,然而对照与python来说,PHP的索引数组就相当于python中的列表以及元组,而关联数组就相当于python中的字典。 有关于python中的列表以及元组,相信了解过python的小伙伴都知道,如下格式的叫做列表或者元组,并且在python中,元组是不可以修改的,它只可以重新赋值,来看下: #列表 [1,2,3...
学习随笔之序列化与反序列化
shadow20112011的博客
10-31 219
序列化与反序列化 相关概念:序列化 和 反序列化。 序列化:将对象转化为字符串,目的:便于对象的保存和传输。 反序列化:将序列化字符串转化为对象。 很多编程语言都有序列化和反序列化操作,比如 pythonphpjava、c# 等。 python2中,用于序列化和反序列化的库为cPickle和pickle。cPickle是C语言写的,速度快,pickle是纯Python写的,速度慢,python...
PHPPython的比较
程序员写的技术 FAQ 和杂文
02-26 1349
PHPPython的比较 PythonPHP的共同之处: 1. 都是解释型的,它们都是有动态类型的高级语言(动态语言)。 2. 都是开源的,(当然,要除掉Zend的几个产品)。 3. 都有大量开发者社区来支持。 4. 都易学,比Java容易学,甚至比Perl都容易学。 5. 都易扩展,用C,C++,Java都可以对它们扩展 6. 都有很好的兼容性,它们不用重新编译,就可以运行在目
php 序列化 和java序列化一样结果么,什么是java的序列化
weixin_42715608的博客
04-14 168
java的序列化是将Java对象转换成字节流的过程。当Java对象需要在网络上传输 或者 持久化存储到文件中时,就需要对 Java 对象进行序列化处理。序列化的实现:类实现 Serializable 接口,这个接口没有需要实现的方法。实现 Serializable 接口是为了告诉 jvm 这个类的对象可以被序列化。 (推荐学习:java课程)注意事项:某个类可以被序列化,则其子类也可...
web漏洞“小迪安全课堂笔记”反序列化PHP&JAVA
weixin_42902126的博客
03-28 3424
小迪安全课堂笔记反序列化思维导图 思维导图
java/php 通用serialize/unserialize,序列与反序列化的问题
thunder-1
06-17 2807
php的serialize/unserialize,方便把一个数组序列化和反序列化,但是要和java交互,就比较麻烦了。 java的serialize,序列化之后,会把java.util…包名都放进去了,而且格式也不同于php 对于汉字 php 占用2个字符,java占用一个字符,隐藏php序列化后,再由java 反序列化,可能导致乱码。 PHPSerializer 工具类可解决以上问题 目前版本...
java反序列化php序列化的对象
weixin_30340617的博客
05-29 211
最近工作中遇到一个需要解析php序列化后存入DB的array, a:4:{i:0;a:2:{s:11:"province";s:8:"0016";s:7:"img";s:49:"20150117105023_kk-1.jpg";} i:1;a:2:{s:11:"province";s:8:"0017";s:7:"img";s:49:"20150117105025_kk-1.jpg";}} ...
深入解析:JavaPythonPHP和Ruby中的反序列化漏洞及其防治
支持序列化的编程语言包括JavaPythonPHP和Ruby等,它们各自有特定的库和API来实现这些操作。 在Java中(第6章),由于其强大的反射机制,反序列化容易成为攻击者的目标。攻击者可以通过构造恶意序列化数据,使...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值