序列化和反序列化

最新推荐文章于 2024-04-09 07:00:00 发布
最新推荐文章于 2024-04-09 07:00:00 发布
阅读量1.1k 收藏 1
点赞数 2
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61143354/article/details/125704052
版权

序列化和反序列化的定义:

  • 序列化是将一个对象转换为一个字符串的字节序列储存的过程在这里插入图片描述
"O:6:"People":3:{s:4:"name";s:5:"error";s:3:"age";s:2:"20";s:3:"sex";s:1:"M";}"

可以看出,当序列化后输出的结果是一串字符。

O 表示object,一个对象
6 "People" 表示对象名长度为6,名为"People"
3 表示有3个属性
s 为"string"类型
4 为属性name的长度
7 为属性值error的长度

后面的内容以此类推,一个类的属性是以;N;结尾,;}结束一串序列化字符。

  • 序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。
  • 反序列化是将字符串(实例)转为对象的过程
    在这里插入图片描述
  • 反序列化的最重要的作用:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。

PHP反序列化的原理
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化进程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
PHP序列化与反序列化的关键函数:
serialize():将一个对象转换为字符
unserialize():将字符还原成一个对象
区分反序列化用到的技术有类与无类可以通过看是否有class,有即为有类,有类的地方就会有魔术方法

PHP中把两个下划线__开头的方法称为魔术方法(Magic methods),这些方法在PHP中充当了举足轻重的作用。

PHP 魔术方法的具体案例可以参考PHP手册—PHP Magic method

具体方法及案例
十六种魔术方法详解:

https://segmentfault.com/a/1190000007250604

  1. _ _construct():类的构造函数

在类中声明构造函数需要注意的事项
在同一个类中只能声明一个构造函数,原因是,PHP不支持构造函数重载

  1. _ _destruct():类的析构函数

一般来说,析构方法在PHP中并不很常用,它属类中可选择的一部分,通常用来完成一些在对象销毁前的清理任务。

  1. _ _call():在对象中调用一个不可访问方法时调用
  2. _ _callStatic():用静态方式中调用一个不可访问方法时调用
  3. _ _get():获得一个类的成员变量时调用

在PHP面向对象编程中,类的成员属性被定义为private后,如果我们试图在外面调用它则会出现“不可访问某个私有属性”的错误。那么为了解决这个问题,我们可以使用_ _get()。

_ _get的作用,在程序运行过程中,通过它可以在对象的外部获取私有成员的值

  1. _ _set():设置一个类的成员变量时调用
  2. _ _isset():当不可访问属性调用isset()或empty()时调用
  3. _ _unset():当对不可访问属性调用unset()时被调用
  4. _ _sleep():执行serialize()时,先会调用这个函数
  5. _ _wakeup(): 执行unserialize时,先会调用这个函数
  6. _ _toString():类被当成字符串时的回应方法
  7. _ _invoke():调用函数的方式调用一个对象时的回应方法
  8. _ _set_state():调用var_export()导出类时,此静态方法会被调用
  9. _ _clone():当对象复制完成时调用
  10. _ _dutoload():尝试加载未定义的类
  11. _ _debugInfo:打印所需调试信息
    靶场训练
四月gypsophila
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java string 反序列化_Java序列化反序列化
weixin_34287049的博客
02-13 1346
在Java中,我们可以通过多种方式来创建对象,并且只要对象没有被回收我们都可以复用该对象。但是,我们创建出来的这些Java对象都是存在于JVM的堆内存中的。只有JVM处于运行状态的时候,这些对象才可能存在。一旦JVM停止运行,这些对象的状态也就随之而丢失了。但是在真实的应用场景中,我们需要将这些对象持久化下来,并且能够在需要的时候把对象重新读取出来。Java的对象序列化可以帮助我们实现该功能。对象...
java字符串序列化_java对象序列化字符串
weixin_30700095的博客
02-20 2457
1 场景java对象某些时候,需要序列化字符串存储在数据库中,需要的时候,再将字符串反序列化为java对象。如使用shiro缓存分布式session,需要将session对象序列化字符串存储在redis中,来达到分布式应用共享session的功能。为什么不序列化成json?​ java对象同样可以转换为json,需要的时候,再转换为java对象。这种情况一般只适用转换自己创建的ja...
Java对象序列化字符串反序列化
热门推荐
学习分享,一起进步
05-24 1万+
1、序列化序列化后保存在一个字符串变量中 package com.lxh.ser.test; import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.ObjectOutputStream; import java.util.ArrayList; import java.util.List
java如何将字符串反序列化到目标文件中
蜗牛Clear的博客
04-09 333
字符串反序列化到目标文件中,通常意味着你有一个包含序列化对象数据的字符串,你想要将这个字符串转换回对象,并将对象写入到文件中。这个过程实际上分为两个步骤:首先,你需要将字符串反序列化为对象;然后,你需要将这个对象序列化并写入到文件中。应该是一个实际包含序列化对象数据的字符串。同时,确保目标文件路径是可写的,并且你有足够的权限进行文件操作。在这个示例中,我们首先假设你有一个包含序列化对象数据的字符串。,以确保程序的健壮性。如果反序列化的对象不是预期的类型,此外,确保你处理所有可能抛出的异常,如。
关于php序列化serialize字符串结构的说明
yan_dk的专栏
10-16 1250
许多php项目中运用序列化serialize字符串存取、解析变量,或者保存到数据库字段中,不是Json格式、XML格式,是一种特有的结构,如果不注意删除的部分字符,就会解析不正确,报错导致程序运行不正常了。最近有个项目中,因为程序导致存取在数据库中字段的序列号字符串丢失,需要恢复数据,就需要对结构熟悉,才能解决问题。下面我们对这个序列化字符串进行说明。 格式类似json,但是有很...
序列化反序列化简单示例
SimpleSimpleSimples的博客
02-06 956
一般情况下在网络传输对象或者把不活动的对象保存保存到本地时才做序列化操作,以减少服务器中内存的占用。做序列化的对象必须实现序列化接口。 1.在要序列化的类中必须实现序化接口 import java.io.Serializable; public class User implements Serializable {     //给定一个序列化版本,拥有相同的版本才能反序列化
c#序列化反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
java序列化反序列化,面试必备
12-21
最近阅读Serializable接口和Externalizable接口的源码,并结合了一些资料,对面试过程中与序列化相关的内容做了一些总结。 一、序列化反序列化、使用场景、意义。 序列化:将对象写入IO流中; 反序列化:从IO流中...
C# xml序列化反序列化
01-05
在C#编程中,XML序列化反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
C#实现的json序列化反序列化代码实例
09-03
在C#编程中,JSON序列化反序列化是常见的数据转换操作,它允许我们将对象转换为JSON字符串以便在网络间传输或存储,反之亦然,将JSON字符串转换回对象。JSON(JavaScript Object Notation)是一种轻量级的数据交换...
Java对象的序列化反序列化实践
12-22
 把字节序列恢复为Java对象的过程称为对象的反序列化。  对象的序列化主要有两种用途:  1)把对象的字节序列地保存到硬盘上,通常存放在一个文件中;  2)在网络上传送对象的字节序列。  一、JDK类库...
【代码片段】序列化反序列化字符串字典
大伟的代码空间
05-13 405
/// <summary> /// 字符串字典集合 /// </summary> [Serializable] public class LibStringDictionary : Dictionary<string, string> { public LibStringDictionary() ...
json 字符串 反序列化
weixin_30443731的博客
07-21 115
private void button17_Click(object sender, EventArgs e) { string s = "{\"returnCode\":0,\"returnMessage\":\"\u6210\u529f\",\"returnData\":{\"expect\":\"20190716058\",\"opencode\":\"...
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6286
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
反序列化JSON字符串
weixin_34163553的博客
12-23 254
2019独角兽企业重金招聘Python工程师标准>>> ...
字符串序列化
wsliulian的专栏
01-25 1万+
字符串序列化用来处理字符串的交流信息,例如,当我们去把Xml文件中的字符串读取出来,或则把字符串写到Xml文件里面去;又或则,当我们需要写程序与服务器交流,这时候我们要处理json格式的字符串 。这些都需要用到字符串序列化。这个是很必要的。接下来总结一下常用的字符串序列化知识。  序列化 知识点 -> 序列化就是格式化,是指将一个对象以某种格式进行呈现 -> 二进制序列化 -> 在需要
字符串序列化 - LintCode
kane的博客
04-17 576
设计一个将字符串列表编码为字符串的算法。 已经编码的字符串之后会通过网络发送同时也会被解码回到原始的字符串列表。 请实现 encode 和 decode 样例 Given strs = [“lint”,”code”,”love”,”you”] string encoded_string = encode(strs) return [“lint”,”code”,”love”,”you”] ...
c++ map序列化反序列化
最新发布
05-13
常用的序列化反序列化方法有两种,一种是使用JSON格式进行序列化反序列化,另一种是使用二进制格式进行序列化反序列化。 使用JSON格式进行序列化反序列化可以使用开源的JSON库如nlohmann/json,可以将map...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值