web序列化与反序列化

最新推荐文章于 2024-03-19 11:26:50 发布
最新推荐文章于 2024-03-19 11:26:50 发布
阅读量1k 收藏 6
点赞数 3
分类专栏: ctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43508709/article/details/106172012
版权

记一次关于web序列化及反序列化的学习(小白级)

这只是我(小白)的学习记录,如有错误希望各位能指出来,万分感激!!!
内容还未全部完成,后续更新。

一、定义

序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。
序列化使其他代码可以查看或修改,那些不序列化便无法访问的对象实例数据。确切地说,代码执行序列化需要特殊的权限:即指定了SerializationFormatter 标志的 SecurityPermission。在默认策略下,通过 Internet下载的代码或 Internet 代码不会授予该权限;只有本地计算机上的代码才被授予该权限。
通常,对象实例的所有字段都会被序列化,这意味着数据会被表示为实例的序列化数据。这样,能够解释该格式的代码有可能能够确定这些数据的值,而不依赖于该成员的可访问性。类似地,反序列化从序列化的表示形式中提取数据,并直接设置对象状态,这也与可访问性规则无关。
对于任何可能包含重要的安全性数据的对象,如果可能,应该使该对象不可序列化。如果它必须为可序列化的,请尝试生成特定字段来保存不可序列化的重要数据。如果无法实现这一点,则应注意该数据会被公开给任何拥有序列化权限的代码,并确保不让任何恶意代码获得该权限。

序列化在计算机科学中通常有以下定义:

对同步控制而言,表示强制在同一时间内进行单一访问。
在数据储存与发送的部分是指将一个对象存储至一个存储介质,例如文件或是存储器缓冲等,或者透过网络发送数据时进行编码的过程,可以是字节或是XML等格式。而字节的或XML编码格式可以还原完全相等的对象。这程序被应用在不同应用程序之间发送对象,以及服务器将对象存储到文件或数据库。相反的过程又称为反序列化。

作者:小智DotNet
链接:https://www.jianshu.com/p/98b15a0e6806
来源:简书

二、PHP中的对象序列化

所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。

为了能够unserialize()一个对象,这个对象的类必须已经定义过。如果序列化类A的一个对象,将会返回一个跟类A相关,而且包含了对象所有变量值的字符串。 如果要想在另外一个文件中解序列化一个对象,这个对象的类必须在解序列化之前定义,可以通过包含一个定义该类的文件或使用函数spl_autoload_register()来实现。


<?php
// 需要创建三个文件classa.inc、page1.php、page2.php,对应代码如下
// classa.inc:
  
  class A {
   
      public $one = 1;
    
      public function show_one() {
   
          echo $this->one;
      }
  }
  
// page1.php:

  include("classa.inc");
  
  $a = new A;
  $s = serialize($a);
  // 把变量$s保存起来以便文件page2.php能够读到
  file_put_contents('store', $s);

// page2.php:
  
  // 要正确了解序列化,必须包含下面一个文件
  include("classa.inc");

  $s = file_get_contents('store');
  $a = unserialize($s);

  // 现在可以使用对象$a里面的函数 show_one()
  $a->show_one();
?>

当一个应用程序使用函数session_register()来保存对象到会话中时,在每个页面结束的时候这些对象都会自动序列化,而在每个页面开始的时候又自动解序列化。 所以一旦对象被保存在会话中,整个应用程序的页面都能使用这些对象。但是,session_register()在php5.4.0之后被移除了。

在应用程序中序列化对象以便在之后使用,强烈推荐在整个应用程序都包含对象的类的定义。 不然有可能出现在解序列化对象的时候,没有找到该对象的类的定义,从而把没有方法的类__PHP_Incomplete_Class_Name作为该对象的类,导致返回一个没有用的对象。

所以在上面的例子中,当运行session_register(“a”),把变量$a放在会话里之后,需要在每个页面都包含文件classa.inc,而不是只有文件page1.php和page2.php。

1、serialize() — 产生一个可存储的值的表示

serialize ( mixed $value ) : string

serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。

这有利于存储或传递 PHP 的值,同时不丢失其类型和结构。

想要将已序列化的字符串变回 PHP 的值,可使用 unserialize()。seriali

最低0.47元/天 解锁文章
张山山#小白
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
浅析JSON序列化反序列化
01-20
方法一:引入System.Web.Script.Serialization命名空间使用 JavaScriptSerializer类实现简单的序列化序列化类:Personnel 代码如下: public class Personnel { public int Id { get; set; } public string Name ...
php json与xml序列化/反序列化
10-26
WEB开发中,php对象的序列化反序列化经常使用,比较主流的有json格式与xml格式的序列化反序列化。今天我们就来看看是如何用的。
1-Web安全——序列化反序列化
网络安全
05-12 508
什么是序列化反序列化 一个程序在执行过程中通常会产生新的数据,这些数据会临时保存在内存中,有时候我们希望程序运行结束后能够持久化保存数据,这就会涉及到数据形式转换问题,而把内存中的数据转换为可以保存或可传输的过程就是序列化。 现在反过来理解,把保存或传输的数据加载到内存,还原成运行程序中的具体的数据类型变量的过程就是反序列化。 理解序列化反序列化 我们通过一个C语言的案例来理解序列化反序列化。 假如我们需要把一个班级的学生的数据保存到文件中,每一个学生有学号id,名字,成绩等信息,在C.
web 序列化
weixin_34419321的博客
01-25 101
序列化:将对象转换为二进制 object->二进制 可以写到硬盘文件也可以存到内存文件文件里 。流反序列化:将二进制数据转换为对象断点:窗口-即时窗口找文件存的东西先添加命名空间: using System.Runtime.Serialization.Formatters.Binary;序列化。格式化。二进制 using System.IO;流//指示一个类可以序列化,但是无法继...
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 1204
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
『JavaWeb序列化反序列化
叄拾叄画生
01-13 552
什么是序列化反序列化?什么时候需要序列化?实现序列化的方式。如何实现序列化?静态属性是否被序列化?SerialVersionUID。总结。
序列化反序列化web题型
weixin_43940853的博客
07-10 487
unserialize3 这里有个_wakeup函数漏洞,下面考虑如何绕过 大括号前面的1 就是xctf的属性变量的个数,下面将它修改为2,code参数提交 总结: 找到需要提交的参数,序列化的一些知识,基本代码的编写这道题的目的是绕过wakeup函数 ...
web渗透测试----20、反序列化漏洞--(1)序列化反序列化
七天
03-09 2028
序列化反序列化
JSON的序列化反序列化
07-31
利用JSON.NET制作的,对JSON文本进行序列化反序列化操作的类,可反序列化成实体类或Dictionary,也可从类或Dictionary序列化成JSON文本
Java反序列化实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游反序列化的世界。 反序列化入门 Fastjson Weblogic 反序列化防御
浅谈C# 序列化反序列化几种格式的转换
01-01
这里介绍了几种方式之间的序列化反序列化之间的转换 首先介绍的如何序列化,将object对象序列化常见的两种方式即string和xml对象; 第一种将object转换为string对象,这种比较简单没有什么可谈的; public string ...
WEB35(序列化反序列化)
y17861077326的博客
03-22 191
之前学java时就了解过java序列化,即把java对象转变为字节流。序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 总之,序列化作用就是方便传输和存储,将不同环境下的数据转换为一种公共的大家都认识的数据格式。 先不深究序列化了,应该会涉及到操作系统,编译原理等知识。 先浅浅的,形象化的认识一下php中的序列化反序列化吧。 先说结论:php序列化使得php中的所有数据类型都可以转换为一种特定的字符串,不必直接传输该数据,而是传递序列
WEB反序列化漏洞(更新中)
weixin_45844670的博客
09-08 542
安全反序列化0x00 前言0x01 什么是序列化?0x02 序列化反序列化0x03什么是不安全反序列化?0x04不安全反序列化漏洞如何产生?0x05不安全反序列化有何影响?0x06利用反序列化漏洞如何识别不安全反序列化PHP序列化格式Java序列化格式处理序列化对象修改对象属性 0x00 前言 在本文中,我们将介绍什么是不安全反序列化,并描述它如何使网站可能遭受高强度攻击。我们将重点介绍典型方案,并使用PHP,Ruby和Java反序列化的具体示例演示一些广泛适用的技术。我们还将研究一些方法,
13.反序列化
qq_45926195的博客
10-31 208
13.1什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串..
[Web/基础/反序列化]反序列化轻量总结
車鈊的博客
10-12 377
文章目录反序列化序列化反序列化序列化是什么?魔术方法三种类型的变量的表示方法(public,protected,private)基本反序列化破坏__Wakeup失效反序列化写链其他形式反序列化SESSION反序列化Session原理其反序列化字符逃逸Python反序列化`Phar`反序列化什么是`Phar`文件?`Phar`结构那么思路是什么呢?一些限制框架反序列化 反序列化 序列化反序列化 序列化是什么? 我们在运行程序时变量是存在于内存当中的,为了保存他们,我们可以将其转化为有确定格式的、可传输、可
三、Web漏洞-反序列化
weixin_70557959的博客
05-11 3561
37、WEB漏洞-反序列化之PHP(上) 原理 PHP 反序列化原理: 1.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 2.其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化反序列化相当于加解密过程) 3.在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 ---序列化函数:serialize() //将一个对象转换成一个字符串 ...
web安全入门(第九章-4)反序列化
Yzz_的博客
06-07 304
一、什么是序列化 1,定义 简单的说:将php中对象、类、数组、变量、匿名函数等,转化为字符串, 方便保存到数据库或者文件中 //将状态信息保存为字符串 2,什么是反序列化 //将字符串保存为状态信息 3,类与对象 ~类与对象 在次说一下, 类就是代表一种物体的总称,比如猫类,狗类,鱼类等等 对象就是类的具体体现,比如狗类的拉布拉多犬 举例: 人这个“类”,张三是类具体的人,即对象 这里的类就是“人”,张三就是“对象” ~类得初始化,即要给“类”赋予
玩转web之ajax(一)---使用表单的serialize()方法中文乱码解决
weixin_30498921的博客
05-02 88
有时候我们需要使用ajax提交去提交form的值,这样就需要使用serialize()去获取form的值,但这样获取的值如果有中文,会乱码,原因和解决方法如下: 原因:.serialize()自动调用了encodeURIComponent方法将数据编码了 解决方法:调用decodeURIComponent(XXX,true);将数据解码 如: var data=$('#...
Web反序列化 262~263详解
读书 买花 长大
11-19 1152
262~263
什么是php序列化反序列化
最新发布
05-08
序列化反序列化Web 应用程序中经常用于存储和传输数据,例如在会话管理和缓存机制中。但需要注意的是,反序列化操作可能存在安全风险,因为攻击者可以构造恶意数据来触发代码执行,从而导致应用程序被攻击。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值