php序列化与反序列化

最新推荐文章于 2024-06-01 15:16:28 发布
最新推荐文章于 2024-06-01 15:16:28 发布
阅读量106 收藏
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44110537/article/details/108818700
版权

序列化:

举个简单的例子:

<?php
class Test{
    protected $a=1;
    private $b=1;
    public $c=1;  
}

$test=new Test();
$a=serialize($test);
echo $a;
?>

输出:
在这里插入图片描述
O表示类型是object
4表示object对应的类的名字的长度是4
"Test"表示类名
3表示对应变量的个数
s表示序列化后为字符串
4表示第一个变量的长度(这里要注意由于a的protected类型,为了对其进行标识,其实还有两个不可见字符,完整应该为%00*%00a)
i表示变量a的类型
1表示变量a的值
"Testb"为7个字符长度,其实也是隐藏了两个不可见字符%00Test%00b
__sleep方法
__sleep方法是在序列化之前执行的一个方法.
举例:

<?php
class Test{
    protected $a=1;
    private $b=1;
    public $c=1;
    function __sleep(){
        return ['a','b'];
    }
}

$test=new Test();
$a=serialize($test);
echo $a;
?>

输出:
在这里插入图片描述
可以发现的是只输出了a,b
反序列化:
举例:

<?php
class Test{
    protected $a=2;
    private $b=1;
    public $c=1;
//    function __sleep(){
//        return ['a','b'];
//    }
}

$ftest=unserialize('O:4:"Test":1:{s:1:"c";i:1;}');
print_r($ftest);
?>

__wakeup方法
__wakeup方法是在反序列化之前的一个方法.

<?php
class Test{
    protected $a=2;
    private $b=1;
    public $c=1;
//    function __sleep(){
//        return ['a','b'];
//    }
    function __wakeup(){
        $this->b=5;
    }
}

$ftest=unserialize('O:4:"Test":1:{s:1:"c";i:1;}');
print_r($ftest);
?>

结果:
在这里插入图片描述
发现b被修改了.

前方是否可导?
关注
专栏目录
64-64.渗透测试-PHP序列化反序列化.mp4
05-10
64-64.渗透测试-PHP序列化反序列化.mp4
详解PHP序列化反序列化原理
10-18
首先,要理解PHP序列化反序列化的概念。序列化PHP将对象或变量的状态信息转换成可以存储或传输的形式的过程,反序列化则是将这些存储或传输后的信息还原成PHP可以识别的对象或变量的过程。PHP通过serialize...
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1751
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
php反序列化
weixin_52397172的博客
08-23 663
php序列化简介
PHP反序列化
m0_69637056的博客
07-10 5703
PHP
028-精通PHP序列化反序列化之_道_.pdf
09-20
PHP语言序列化反序列化是处理对象状态持久化与重建的重要手段。本文将深入探讨PHP序列化反序列化的概念、方法以及在实际应用的重要性,并详细介绍与反序列化相关的安全漏洞。 首先,序列化是一个将对象...
php json与xml序列化/反序列化
10-26
在Web开发,数据交换和存储常常涉及到对象的序列化反序列化PHP提供了多种方式来处理这一过程,其最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
PHP常见的序列化反序列化操作实例分析
10-16
PHP编程序列化反序列化是两种非常重要的数据处理技术,它们主要用于将复杂的变量结构转换为可存储或传输的格式,然后再恢复为原始形式。本文将深入探讨这两个概念,结合实例来分析PHP如何使用`serialize()...
反序列化——php反序列化
qq_48829044的博客
06-20 377
php反序列化
php反序列化入门
最新发布
2303_81631620的博客
06-01 1085
序列化是将对象或数组转化为方便存储、传输的字符串,php使用serialize()函数将对象序列化序列化只作用于对象的成员属性,不序列化成员方法。
PHP序列化,反序列化
kuzemax的博客
08-07 903
反序列化常用于上层语言构造特定调用链的方法,与二进制利用的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN的ROP,有时候反序列化一个对象时,由它调用的__wakeup()又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 1190
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP序列化反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
PHP反序列化初探
u011215939的博客
03-20 370
PHP反序列化初探 php序列化是什么? 在反序列化之前,先来看看php序列化是什么样的,php序列化反序列化由serialize()和unserialize()这两个函数进行相互转化的,简单的说就是serialize()将一串字符串、数组、对象进行格式化处理,然后再有unserialize()函数将格式化处理后的字符串、数组进行还原; 代码: <?php $str = "this ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值