浅谈PHP序列化,反序列化

最新推荐文章于 2023-11-21 17:59:09 发布
置顶 最新推荐文章于 2023-11-21 17:59:09 发布
阅读量387 收藏
点赞数 1
分类专栏: PHP 反序列化漏洞 文章标签: php java python json javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43553654/article/details/107686899
版权

1.序列化是什么意思呢?

序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式  serialize(); 

2.反序列化是什么意思呢?

其实就是字面的意思,把序列化的数据,转换成我们需要的格式      unserialize();

那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过array序列化而来的。而反序列化就是把那串可以传输的字符串再变回对象。

相关网站

https://www.cnblogs.com/junyi-bk/p/11631685.html

直接上例子便于理解:

我们先讲一讲比较简单的序列化,我们就用序列化json来举例子吧。虽然序列化Json和我们讲PHP反序列化的漏洞没有什么关系。但是在理解序列化这个概念和之后的内容会有所帮助

json_encode()

json_decode()

json_decode( )    ---- json 转 对象/数组

当第二个参数为true返回 array ,默认是false返回object。

json_encode( )    ---- 对象/数组 转 json

成功返回 json 编码的 string ,失败返回 false 。

相应网站

https://www.runoob.com/php/php-json.html

上代码

<?php

$book = array('book1'=>'1','book2'=>'2','Book3'=>'3','Book4'=>'4');

$json = json_encode($book);

var_dump($book);

echo $json;

?>

这边有一个book的数组

‘book1′=>’1’,

‘book2′=>’2

最低0.47元/天 解锁文章
Noslpum
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反序列化漏洞详解
weixin_56714714的博客
07-25 753
反序列化漏洞 什么是序列化反序列化? ​ PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果 ​ 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行getshell等一系列不可控的后果。 ​ 反序列化漏洞并不是PHP特有,也存在于javapython等语言中,但其原理基本相同 为什么存在反序列化? ​ 1.大型网站中类创建的对象多的时候会占用大量的空间,反序列化
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 5174
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
简单描述什么是反序列化漏洞
m0_64429364的博客
11-21 63
序列化:把对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为对象的过程称为对象的反序列化。上面是专业的解释,现在来点通俗的解释。在代码运行的时候,可以是一个,也可以是一类对象的集合,很多的对象数据,这些数据中,有些信息我们想让他持久的保存起来,那么这个序列化
网络安全-反序列化漏洞简介、攻击与防御
热门推荐
关注网络安全、云原生安全
03-13 1万+
目录 简介 PHP序列化 Python序列化 攻击 PHP举例 Python举例 防御 参考 简介 各种语言都有反序列化漏洞,JavaPHPPython等。序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象,也就是序列化的逆过程。 PHP序列化 php序列化反序列化函数为serialize、unserialize。 我们尝试对一些类型进行序列化 <?php // 字符串类型 $s = "a string"; $serializ
php json与xml序列化/反序列化
10-26
在Web开发中,数据交换和存储常常涉及到对象的序列化反序列化PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSONJavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
详解PHP序列化反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
浅谈.Net中的序列化反序列化
12-17
序列化反序列化相信大家都经常听到,也都会用, 然而有些人可能不知道:.net为什么要有这个东西以及.net Frameword如何为我们实现这样的机制, 在这里我也是简单谈谈我对序列化反序列化的一些理解。 一、什么...
浅谈C# 序列化反序列化几种格式的转换
09-01
下面小编就为大家带来一篇浅谈C# 序列化反序列化几种格式的转换。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
C# xml序列化反序列化
最新发布
01-05
在C#编程中,XML序列化反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
XSS防御
程序员朱永胜
03-16 161
自定义json反序列化器 package cc.fedtech.filter; import com.fasterxml.jackson.core.JsonParser; import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.DeserializationContext; import com.fasterxml.jackson.databind.JsonDeseri
反序列化漏洞汇总
hackzkaq的博客
12-08 5087
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
WEB漏洞——PHP反序列化漏洞
holen_的博客
02-18 4075
一、原理 序列化:将对象转化为字节流,字节流中包括这个对象的数据和信息。 反序列化:将字节流还原成对象。 序列化反序列化的出现便于数据的存储与传输。 二进制序列化保持类型保真度,这对于在应用程序的不同调用之间保留对象的状态很有用。例如,通过将对象序列化到剪贴板,可在不同的应用程序之间共享对象。您可以将对象序列化到流、磁盘、内存和网络等等。远程处理使用序列化“通过值”在计算机或应用程序域之间传递对象。 PHP反序列化漏洞原理: 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致..
反序列化漏洞
weixin_46476861的博客
03-23 8657
什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时
PHP反序列化漏洞解析
weixin_43960066的博客
10-13 1083
先观察代码中是否有class,然后查找是否有反序列化的函数,判断是否可控,接着这条线索查找是否有魔术方法可利用,是否有敏感函数利用,开始构造poc,思考代码逻辑,先顺着代码走一边,然后思考poc。方法中有一些敏感函数,例如(include()、file_get_contents()、file_put_contents()、eval()等),总结起来就是一些可以利用的函数。进行序列化,使用**unserialize()**函数进行反序列化。将数组或者class转化字符串,就叫做序列化
反序列化漏洞(PHP
qq_42383069的博客
05-18 6441
反序列化漏洞 0x01. 序列化反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列化 序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构 0x03. 序列化反序列化代码示例 <?php class User { public $username = 'admin'; public $password = '123456';
PHP序列化反序列化
09-14
PHP序列化反序列化是将PHP对象转换为可存储或传输的格式,以及将已序列化的数据重新恢复为PHP对象的过程。 在PHP中,序列化可以通过serialize()函数实现,该函数将PHP对象转换为一个字符串。反序列化则可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值