序列化和反序列化

最新推荐文章于 2024-04-28 15:53:06 发布
最新推荐文章于 2024-04-28 15:53:06 发布
阅读量1.1k 收藏 1
点赞数 2
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61143354/article/details/125704052
版权

序列化和反序列化的定义:

  • 序列化是将一个对象转换为一个字符串的字节序列储存的过程在这里插入图片描述
"O:6:"People":3:{s:4:"name";s:5:"error";s:3:"age";s:2:"20";s:3:"sex";s:1:"M";}"

可以看出,当序列化后输出的结果是一串字符。

O 表示object,一个对象
6 "People" 表示对象名长度为6,名为"People"
3 表示有3个属性
s 为"string"类型
4 为属性name的长度
7 为属性值error的长度

后面的内容以此类推,一个类的属性是以;N;结尾,;}结束一串序列化字符。

  • 序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。
  • 反序列化是将字符串(实例)转为对象的过程
    在这里插入图片描述
  • 反序列化的最重要的作用:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。

PHP反序列化的原理
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化进程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
PHP序列化与反序列化的关键函数:
serialize():将一个对象转换为字符
unserialize():将字符还原成一个对象
区分反序列化用到的技术有类与无类可以通过看是否有class,有即为有类,有类的地方就会有魔术方法

PHP中把两个下划线__开头的方法称为魔术方法(Magic methods),这些方法在PHP中充当了举足轻重的作用。

PHP 魔术方法的具体案例可以参考PHP手册—PHP Magic method

具体方法及案例
十六种魔术方法详解:

https://segmentfault.com/a/1190000007250604

  1. _ _construct():类的构造函数

在类中声明构造函数需要注意的事项
在同一个类中只能声明一个构造函数,原因是,PHP不支持构造函数重载

  1. _ _destruct():类的析构函数

一般来说,析构方法在PHP中并不很常用,它属类中可选择的一部分,通常用来完成一些在对象销毁前的清理任务。

  1. _ _call():在对象中调用一个不可访问方法时调用
  2. _ _callStatic():用静态方式中调用一个不可访问方法时调用
  3. _ _get():获得一个类的成员变量时调用

在PHP面向对象编程中,类的成员属性被定义为private后,如果我们试图在外面调用它则会出现“不可访问某个私有属性”的错误。那么为了解决这个问题,我们可以使用_ _get()。

_ _get的作用,在程序运行过程中,通过它可以在对象的外部获取私有成员的值

  1. _ _set():设置一个类的成员变量时调用
  2. _ _isset():当不可访问属性调用isset()或empty()时调用
  3. _ _unset():当对不可访问属性调用unset()时被调用
  4. _ _sleep():执行serialize()时,先会调用这个函数
  5. _ _wakeup(): 执行unserialize时,先会调用这个函数
  6. _ _toString():类被当成字符串时的回应方法
  7. _ _invoke():调用函数的方式调用一个对象时的回应方法
  8. _ _set_state():调用var_export()导出类时,此静态方法会被调用
  9. _ _clone():当对象复制完成时调用
  10. _ _dutoload():尝试加载未定义的类
  11. _ _debugInfo:打印所需调试信息
    靶场训练
四月gypsophila
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java序列化反序列化,面试必备
12-21
Java序列化反序列化是Java开发中常见且重要的概念,尤其在面试中常常被问及。序列化是指将一个Java对象转化为字节序列的过程,这样可以将对象的状态持久化到磁盘上或者在网络中进行传输。反序列化则是相反的过程,...
c#序列化反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
java如何将字符串反序列化到目标文件中
蜗牛Clear的博客
04-09 339
字符串反序列化到目标文件中,通常意味着你有一个包含序列化对象数据的字符串,你想要将这个字符串转换回对象,并将对象写入到文件中。这个过程实际上分为两个步骤:首先,你需要将字符串反序列化为对象;然后,你需要将这个对象序列化并写入到文件中。应该是一个实际包含序列化对象数据的字符串。同时,确保目标文件路径是可写的,并且你有足够的权限进行文件操作。在这个示例中,我们首先假设你有一个包含序列化对象数据的字符串。,以确保程序的健壮性。如果反序列化的对象不是预期的类型,此外,确保你处理所有可能抛出的异常,如。
php反序列化学习之字符串逃逸
m0_54903333的博客
04-28 601
php在反序列化时,会严格按照字符串长度来读取后面的字符串,如果长度不对,就会反序列化失败,返回一个布尔变量false,我看其他大佬的文章这里都会报错,可能是php版本不同,如:我们把原来的4改为3,php在读取时就会往后面读取3个字符:nam,然后结束这个字符串的读取**,正常来说接下来该读取结束符 “;来构成闭合,但是没有,而是读取到了e,于是反序列化失败**,返回false,如果改为5,就会读取 name” 然后结束,也是无法闭合而失败。
一文彻底搞懂序列化反序列化
Circ
07-23 3161
Redis(Remote Dictionary Server)是一种开源的高性能键值存储数据库,它也被称为数据结构服务器,因为它支持多种灵活的数据结构。Redis以内存中的数据结构为基础,提供了快速、高效的数据存储和访问能力。它可以用作数据库、缓存、消息代理和排行榜等多种用途。Redis将数据存储为键值对,其中键是唯一的标识符,而值可以是字符串、哈希、列表、集合、有序集合等各种数据结构。(因为我们是面向对象开发,所有就要使用内存数据库啦,因为要把对象存取来哦)
JSON 序列化反序列化 讲解
天马3798
12-05 7545
一、什么是JSON 数据 JSON(JavaScript Object Notation, JS 对象简谱) 是一种轻量级的数据交换格式。它基于ECMAScript(欧洲计算机协会制定的js规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。 是JavaScript用来处理数据的一种格式,大部分是用来处理JavaScript和web服务器端之间的数...
C++ 序列化反序列化
JMW1407的博客
07-07 1万+
序列化序列化1、背景2、定义3、序列化评价指标4、序列化实例参考 序列化 1、背景 1、在TCP的连接上,它传输数据的基本形式就是二进制流,也就是一段一段的1和0。 2、在一般编程语言或者网络框架提供的API中,传输数据的基本形式是字节,也就是Byte。一个字节就是8个二进制位,8个Bit。 二进制流和字节流本质上是一样的。对于我们编写的程序来说,它需要通过网络传输的数据是结构化的数据,比如,一条命令、一段文本或者一条消息。对应代码中,这些结构化的数据都可以用一个类或者一个结构体来表示。 序
JavaScript JSON序列化反序列化
xiangxiongfly
01-18 6301
JSON序列化指将JSON对象转换为JSON字符串。J实现方式有两种:一种是调用JSON对象内置的`stringify()`函数,一种是为对象自定义`toJSON()`函数。 JSON反序列化指将JSON字符串转换为JSON对象。实现方式有两种:一种是使用JSON对象内置的`parse()`函数,一种是使用`eval()`函数。
protobuf 序列化反序列化
小洁洁
03-14 3946
Protocol Buffers(protobuf)是一种轻量级的数据交换格式,可以用于结构化数据的序列化反序列化。它使用二进制格式来编码数据,以提高传输效率和数据压缩比。在protobuf中,我们可以使用.proto文件来定义消息类型,并使用编译器生成针对各种编程语言的序列化反序列化代码。序列化是将结构化数据转换为一系列字节的过程,反序列化则是将字节流解析为结构化数据的过程。序列化的过程通常涉及以下步骤:定义消息类型:使用.proto文件定义消息类型和字段。
Java 之 Serializable 序列化反序列化的概念,作用的通俗易懂的解释
热门推荐
请叫我大师兄
11-28 12万+
遇到这个 Java Serializable 序列化这个接口,我们可能会有如下的问题a,什么叫序列化反序列化 b,作用。为啥要实现这个 Serializable 接口,也就是为啥要序列化 c,serialVersionUID 这个的值到底是在怎么设置的,有什么用。有的是1L,有的是一长串数字,迷惑ing。 我刚刚见到这个关键字 Serializable 的时候,就有如上的这么些问题。 在处理这个...
SpringBoot的序列化反序列化
qq_42617455的博客
11-11 2万+
序列化反序列化 1、认识序列化反序列化 Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程。 2、为什么要实现对象的序列化反序列化? (1)我们创建的Java对象被存储在Java堆中,当程序运行结束后,这些对象会被JVM回收。但在现实的应用中,可能会要求在程序运行结束之后还能读取这些对象,并在以后检索数据,这时就需要用到序列化。 (2)当Java对象通过网络进行传输的时候。因为数据只能够以二进制的形式在网络中进行传输,因此当把对象通过网络发送
java的序列化反序列化详解及示例
alanchanchn的专栏
06-14 4万+
对于序列化接口Serializable接口是一个标识接口,它的主要作用就是标识这个对象是可序列化的,jre对象在传输对象的时候会进行相关的封装。类 ObjectInputStream 和 ObjectOutputStream 是高层次的数据流,它们包含序列化反序列化对象的方法。上面的方法序列化一个对象,并将它发送到输出流。该方法从流中取出下一个对象,并将对象反序列化。它的返回值为Object,因此,你需要将它转换成合适的数据类型。
C# xml序列化反序列化
01-05
在C#编程中,XML序列化反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
C#实现的json序列化反序列化代码实例
09-03
在C#编程中,JSON序列化反序列化是常见的数据转换操作,它允许我们将对象转换为JSON字符串以便在网络间传输或存储,反之亦然,将JSON字符串转换回对象。JSON(JavaScript Object Notation)是一种轻量级的数据交换...
Java对象的序列化反序列化实践
12-22
 把字节序列恢复为Java对象的过程称为对象的反序列化。  对象的序列化主要有两种用途:  1)把对象的字节序列地保存到硬盘上,通常存放在一个文件中;  2)在网络上传送对象的字节序列。  一、JDK类库...
SpringBoot Redis配置Fastjson进行序列化反序列化实现
10-16
在处理Java对象与Redis之间的转换时,序列化反序列化是必不可少的步骤。本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的...
C#之JSON序列化反序列化
05-09
在C#编程中,JSON(JavaScript Object Notation)序列化反序列化是常见的数据转换技术,用于在应用程序之间交换数据。JSON是一种轻量级、易于读写的数据格式,广泛应用于Web服务和客户端之间的通信。本篇文章将...
PHP 序列化反序列化函数实例详解
12-20
值得注意的是,虽然序列化反序列化提供了很大的便利,但也有潜在的安全风险。例如,反序列化过程中可能会触发未预期的代码执行,特别是在处理用户输入的数据时。因此,开发者应当谨慎对待反序列化操作,确保数据...
c++ map序列化反序列化
最新发布
05-13
常用的序列化反序列化方法有两种,一种是使用JSON格式进行序列化反序列化,另一种是使用二进制格式进行序列化反序列化。 使用JSON格式进行序列化反序列化可以使用开源的JSON库如nlohmann/json,可以将map...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值