编写PHP代码实现简单反序列化

已于 2023-11-21 21:36:08 修改
阅读量57 收藏
点赞数
文章标签: php 开发语言 网络安全 笔记
于 2023-11-21 21:05:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58155715/article/details/134540430
版权

PHP反序列化

serialize(); 将对象序列化成字符串
unserialize(); 将字符串反序列化回对象

序列号

  • 对象转化成字符串
  • 方便传输
创建类、创建对象(序列号)
<?php
class Stu{
    public $name;
    public $age;
    public $sex;
    public $score;
}
    $stu1 = new Stu();
    $stu1->name = "z99";
    $stu1->age = 18;
    $stu1->sex = true;
    
    var_dump($stu1);
    print("<br>");
    $a=serialize($stu1);
	echo $a;
	print("<br>");
	$b=unserialize($a);
	var_dump($b);
?>

在这里插入图片描述

反序列化

字符串转换成对象

<?php
class Stu{
    public $name;
    public $age;
    public $sex;
    public $score;
    public function __wakeup(){
        if(@$_GET['cmd']=="z99"){
				system("calc");
			}
    }
}
    $stu1 = new Stu();
    $stu1->name = "z99";
    $stu1->age = 18;
    $stu1->sex = true;
    
    $stu2 = @serialize($stu1);
    unserialize($stu2)
?>

正常访问时无无回显
在这里插入图片描述
当cmd=z99时,会弹出计算器
在这里插入图片描述

Z99.Rabbit
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解PHP序列化反序列化的方法
12-19
经常看到一些配置文件里面存放的是一些类似带有格式的变量名称和值,其实就是一个序列化的过程,在需要用到这些数据库的时候会进行一个反序列化过程,就是将这个字符串再还原成他原来的数据结构。下面说说php 如何进行数据的序列化和反序列化的。 php 将数据序列化和反序列化其实就用到两个函数,serialize 和unserialize。 serialize 将数组格式化成有序的字符串 unserialize 将数组还原成数组 例如: $user=array('Moe','Larry','Curly'); $user=serialize($stooges); echo '<pre>'; print_
PHP 反序列化
qq_27862405的博客
05-05 182
PHP 反序列化
php反序列化
最新发布
doubirui的博客
03-23 1735
一个预定义好的,在特定情况下自动触发的行为方法。
PHP反序列化
Flynn的博客
03-31 936
序列化 以PHP语言为例子,在写程序尤其是写网站的时候,经常会构造类,并且有时候会将实例化的类作为变量进行传输。序列化就是在此为了减少传输内容的大小孕育而生的一种压缩方法。我们知道一个PHP类都含有几个特定的元素: 类属性、类常量、类方法。每一个类至少都含有以上三个元素,而这三个元素也可以组成最基本的类。那么按照特定的格式将这三个元素表达出来就可以将一个完整的类表示出来并传递。序列化就是将一个类压缩成一个字符串的方法 <?php class TEST{ public $a="public"; pr
PHP多种序列化/反序列化的方法详解
10-19
然而,它并不直接生成可执行的PHP代码,因此不能直接通过`eval`来反序列化。为了实现反序列化,我们需要在`var_export`生成的字符串前添加一个变量声明,然后用`eval`执行这段代码。这种方法虽然不常见,但在某些...
解析PHP多种序列化与反序列化的方法
10-27
然后,通过`eval`函数,可以将输出的PHP代码执行,从而达到反序列化的目的。但需要注意的是,`eval`函数的安全性较低,因为它执行的是动态生成的代码,可能会带来潜在的安全风险。 最后,PHP还提供了`wddx_...
php json与xml序列化/反序列化
12-19
在Web开发中,数据交换和存储常常涉及到对象的序列化和反序列化。序列化是将数据结构或对象转换为可存储或传输的格式,而反序列化则是将这种格式还原为原来的对象。PHP提供了多种序列化和反序列化的方法,其中JSON和...
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
开发者在编写代码时应谨慎处理用户输入,并确保过滤和反序列化操作的安全性。正确使用过滤函数,避免在过滤后改变原始序列化字符串的长度,是防止此类漏洞的关键。同时,对于接收反序列化数据的代码,应进行充分的...
利用PHAR协议进行PHP反序列化攻击1
08-03
之后,可以通过编写测试代码,触发反序列化过程,验证对象是否成功被反序列化并执行相关操作。 **CTF挑战应用**: 在某些网络安全竞赛(如[CISCN2019华北赛区 Day1 Web1]Dropbox)中,攻击者可能利用PHAR反序列化...
php数据序列化测试实例详解
12-19
如果你需要快速的序列化和反序列化,同时对数据大小敏感,那么`msgpack_pack`可能是最佳选择。如果需要的是人可读性或兼容JSON标准,`json_encode`则是更好的选项。而`serialize`虽然在效率上不占优势,但它能处理...
JSON PHP中,Json字符串反序列化成对象/数组的方法
12-19
总之,JSON在PHP中的反序列化是一个常见的任务,`json_decode()`函数提供了一种简单的方式将JSON数据转换为PHP可操作的格式。理解其工作原理和参数设定对于开发人员来说非常重要,可以帮助我们更高效地处理Web服务...
Json反序列化
10-24
开发者通常会编写测试代码,模拟从服务器获取JSON数据,然后使用反序列化库将其转换为对应的对象,并验证转换结果是否符合预期。 总结,JSON反序列化是Web开发中的重要环节,它使得我们能够方便地处理由JSON格式...
总结对比php中的多种序列化
12-19
PHP中,序列化是一种将复杂的数据结构转换为字符串的过程,以便可以存储或通过网络传输。这个过程的目的是保持数据的完整性,以便稍后...同时,理解各种序列化方法的优缺点可以帮助我们编写更高效、更安全的代码
PHP序列化/对象注入漏洞分析
12-18
一旦确认了存在序列化漏洞,攻击者可以编写PHP脚本来生成具有特定行为的序列化payload,比如创建一个反弹shell。在提供的示例中,攻击者创建了一个简单PHP脚本来生成序列化数据,并利用目标服务器上的`unserialize...
PHP反序列化
D-R0s1的博客
10-08 1463
什么是反序列化?   在我们讲PHP反序列化的时候,基本都是围绕着serialize(),unserialize()这两个函数。那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过array序列化而来的。而反序列化就是把那串可以传输的字符串再变回对象。 反序列化中的解释: 拿一个神盾局的秘密来实验一下ph...
PHP的序列化和反序列化入门
qq_35897989的博客
03-30 169
有关php序列化的一下知识
php反序列化如何学习
09-25
5. 实践练习:通过编写PHP代码来进行反序列化的实践练习是学习的重要环节。可以尝试使用serialize()函数将PHP对象或数组序列化,并使用unserialize()函数将序列化后的字符串反序列化,验证反序列化是否成功。 总之...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值