反序列化php/java

原创 已于 2022-02-24 11:47:02 修改 · 300 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言 #后端

于 2022-02-22 20:07:01 首次发布
本文深入探讨了PHP中的序列化和反序列化过程,关键函数包括serialize()和unserialize()。反序列化是将字符串转换回对象的过程,可能会触发魔术方法如__construct()。同时,介绍了PHP中的等于号的不同含义以及类的类型检查。此外,还提及了Java的反序列化概念,为读者提供了跨语言的理解。

目录

反序列化-PHP

是什么?

什么是序列化?

什么是反序列化?

关键函数:

格式

 思维导图

PHP里的等于号

常见魔术方法

反序列化-java

反序列化-PHP

是什么?

什么是序列化?

对象→字符串

什么是反序列化?

字符串→对象

关键函数:

serialize() 将一个对象转换成字符串

unserialize() 将字符串还原成一个对象

格式

 下图有错误,int型的时候不需要字符串长度以及双引号

 

 

 思维导图

PHP里的等于号

=赋值

==值相等

===值相等,类型相等

 分为两类:

1.无类

2.有类(就是有class)

有类就涉及到魔术方法(满足条件时会自动触发)

魔术方法参考网址:CTF PHP反序列化 - MustaphaMond - 博客园

常见魔术方法

1.__construct()//创建对象时触发

2.__destruct() //对象被销毁时触发

3.__call() //在对象上下文中调用不可访问的方法时触发

4.__callStatic() //在静态上下文中调用不可访问的方法时触发

5.__get() //用于从不可访问的属性读取数据

6.__set() //用于将数据写入不可访问的属性

7.__isset() //在不可访问的属性上调用 isset()或 empty()触发

8.__unset() //在不可访问的属性上使用 unset()时触发

9.__invoke() //当脚本尝试将对象调用为函数时触发

反序列化-java

Curry197
关注
WEB漏洞-反序列化PHP&JAVA
Rnan_prince的博客
07-27 938
序列化反序列化 序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。 反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化。 一、PHP反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 seriali
带你了解Java序列化(Serializable)与反序列化
最新发布
m0_75232472的博客
04-21 1086
其实我投简历的时候,都不太敢投递阿里。因为在阿里一面前已经过了字节的三次面试,投阿里的简历一直没被捞,所以以为简历就挂了。对比我的面经和其他大佬的面经,自己真的是运气好。别人8成实力,我可能8成运气。所以对我而言,我要继续加倍努力,弥补自己技术上的不足,以及与科班大佬们基础上的差距。希望自己能继续保持学习的热情,继续努力走下去。
phprpc.jar 包java 反序列化PHP工程demo
03-30
java 反序列化PHP ,java解析php序列化的字符串,工具包和工程实例
java序列化对象传给php
01-17
android(包括java)序列化一个对象传给php去做处理,或是接到php序列化的对象在java中做处理的工具jar包以及使用方法. 使用方法: byte[] b = null; b = PHPSerializer.serialize(一个对象);//将一个对象序列化后返回byte[] String phpserialstr=new String(b); 将变量phpserialstr传给php即可. PHPSerializer中还有unserialize方法,是反序列化
java 序列化PHP格式。
08-18
java数据 序列化PHP的格式 a:4:{s:6:"title2";s:13:"这是标题2";s:6:"title3";s:13:"这是标题3";s:5:"title";s:13:"这是标题1";s:6:"title4";s:13:"这是标题4";} 或者a:1:{i:0;a:1:{s:4:"name";s:10:"这是1321";}}等其他类型
java php序列化_java 反序列化PHP
weixin_36068796的博客
02-12 233
由于本人所在开发的项目,前期是由php完成的,这里需要对数据库中php序列化的字符串进行反序列化。1、引入maven依赖org.sctionphprpc3.0.22、反序列化对象方法public static Test getUnserialize(String content) throws Exception {PHPSerializer p = new PHPSerializer();if ...
Java反序列化PHP反序列化的区别
来日可期的博客
09-18 2261
反序列化存在的意义是为了数据传输,类是无法直接进行传输的。通过序列化后转换为字符串格式或者JSON格式进行传输。
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
标题中的“WEB漏洞-反序列化PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHPJAVA平台上的反序列化漏洞。反序列化漏洞是由于程序在处理序列化数据时没有充分验证输入,从而允许攻击者构造...
Java安全漫谈 - 07.反序列化篇(1)1
08-03
这使得Java反序列化更加灵活,但也带来了安全风险,因为恶意用户可以通过构造特殊的序列化数据来触发意想不到的行为,比如执行任意代码。 PHP序列化反序列化则相对封闭,开发者无法直接修改序列化数据流,...
java安全(五)java反序列化
weixin_45694388的博客
04-09 6547
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java语言内置的序列化方法,将一个对象转化成一串二进制
java 反序列化 php数据
xhga
05-17 731
pom依赖: <dependency> <groupId>org.sction</groupId> <artifactId>phprpc</artifactId> <version>3.0.2</version> </dependency> 代码: /** ...
java 反序列化 PHP格式
gw的博客
08-18 2370
方式1 <!--Java 反序列化 php 序列化后的对象--> <dependency> <groupId>com.xk72</groupId> <artifactId>pherialize</artifactId> <versi...
java 反序列化php对象_PHP 序列化反序列化函数实例详解
weixin_28847199的博客
03-07 235
序列化反序列化把复杂的数据类型压缩到一个字符串中serialize() 把变量和它们的值编码成文本形式unserialize() 恢复原先变量1.创建一个$arr数组用于储存用户基本信息,并在浏览器中输出查看结果;$arr=array();$arr['name']='张三';$arr['age']='22';$arr['sex']='男';$arr['phone']='123456789';$a...
java 反序列化PHP序列化字符串
yixian918的专栏
04-11 2401
import java.util.HashMap; /**  * Since i have to declare the return type of a function, and i have no idea  * ahead of time what value is being unserialized, this helper class is a hack  * so
php反序列化部分学习
qq_63267612的博客
07-24 473
_isset()//在不可访问的属性上调用isset()或empty()触发。//a为要反序列化的对象(序列化结果开头是a,不影响作为数组元素的$a的析构)__wakeup()//执行unserialize()时,先会调用这个函数。__callStatic()//在静态上下文中调用不可访问的方法时触发。__unset()//在不可访问的属性上使用unset()时触发。__call()//在对象上下文中调用不可访问的方法时触发。__set()//用于将数据写入不可访问的属性。...
java反序列化PHPSerializer 序列化的对象)
Henry_Lin_Wind的博客
04-07 3112
java反序列化php序列化的对象 1、原始数据为一个字符串 2、原始数据为一个对象 3、原始数据为一个集合(List 或Map) 1、反序列化java字符串 s:21:"这是一个字符串"; String str = "s:21:\"这是一个字符串\""; PHPSerializer phpSerializer = new PHPSerializer(); Object o...
了解php,java反序列化
不知名佳佳的博客
03-09 658
七、 __isset(),当对不可访问属性调用isset()或empty()时调用 //在不可访问的属性上调用isset ()或empty ()触发。四、 __callStatic(),用静态方式中调用一个不可访问方法时调用 //在静态上下文中调用不可访问的方法时触发.三、 __call(),在对象中调用一个不可访问方法时调用 //在对象 上下文中调用不可访问的方法时触发.十二、 __invoke(),调用函数的方式调用一个对象时的回应方法 //当脚本尝试将对象调用为函数时触发。
php反序列化java_详解php反序列化
weixin_42466331的博客
02-25 366
1 前言最近也是在复习之前学过的内容,感觉对PHP反序列化的理解更加深了,所以在此总结一下2 serialize()函数“所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。”一开始看这个概念可能有些懵,但之后也是慢慢理解了在程序执行结束时,内存数据便会立即销毁,变量所储存的数...
Java之模拟PHP序列化serialize()/反序列化unserialize()方法
netuser1937的博客
11-08 2067
PHP的serialize()/unserialize(),方便把一个数组序列化反序列化Java的serialize,序列化之后,会把java.util…包名都放进去了,而且格式也不同于php, 对于汉字 php 占用2个字符,java占用一个字符,隐藏php序列化后,再由java 反序列化,可能导致乱码。 PHPSerializer 工具类: 当前版本实现了对各种基本类型、数组、ArrayList、HashMap、和其它可序列化对象的序列化。实现了 PHP 5 中的 Serializable 接口的
深入探讨Java反序列化及其Weblogic漏洞利用工具
Java反序列化漏洞是指在Java序列化反序列化过程中,由于Java对象的序列化机制可能存在缺陷,导致攻击者能够构造恶意的序列化数据,使得应用程序在反序列化这些数据时执行任意代码,从而达到攻击目的。这一过程可以...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值