PHP中序列化和反序列化

最新推荐文章于 2025-06-12 09:32:42 发布
最新推荐文章于 2025-06-12 09:32:42 发布
阅读量448 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: PHP PHP学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/caliburrrr/article/details/79505951
本文详细介绍了PHP中序列化和反序列化的概念及应用,包括如何将对象转化为字符串以便于存储,以及如何从存储的字符串中恢复原始数据。同时,还探讨了序列化过程中__sleep()和反序列化过程中__wakeup()这两个魔术方法的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

所谓序列化,就是将一个变量的数据转换为字符串(但是与类型转换不同)。其目的是将该字符串存储起来(存为文本文件),当在其他环境上运行时,可以通过反序列化,将其回复。(一般用在数据需要存储的地方)

序列化:

    $str=serialize($变量)//将数据转换为字符串,并存入变量$str。

    file_put_conetents("文本文件路径",$str);//将文件存在文本文件中。

反序列化:

    $str=file_get_contents("文本文件路径");//取得文件中存储的序列化的信息。

    $value=unserialize($str);//将取出的字符串内容转换为正常的数据存入$value 中。

序列化和反序列化时的魔术方法:

    __sleep():在对某个类的对象进行序列化的时候,会自动调用该类中的__sleep()方法;

                        使用该方法可以对需要进行序列化的数据进行选着,挑选出需要的属性,存入数组,该数组会在结束后返回,数组里的值就是要序列化的东西。

    __wakeup():与__sleep()正好相反,在反序列化的时候调用,可以进行一些有用的操作,以使得状态回到序列化之前的状态(如数据库连接)。因为序列化只是将需要的属性变为字符串存储起来,反序列化也只是将字符串变回数据,但是一些状态并没有返回到之前的状态,此时就可以通过__wakeup()来进行操作,回到与之前完全相同的状态。

PHP反序列化
qq_46430168的博客
07-02 1629
一.序列化反序列化    1. 序列化(serialize):是将变量或对象转换成字符串的过程。从而达到传输存储的目的。 class S { public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize(s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“tes
详解PHP序列化反序列化原理
10-18
首先,要理解PHP序列化反序列化的概念。序列化PHP中将对象或变量的状态信息转换成可以存储或传输的形式的过程,反序列化则是将这些存储或传输后的信息还原成PHP中可以识别的对象或变量的过程。PHP通过serialize...
反序列化工具
json_li的博客
10-11 1954
模仿1024tools.com/unserialize写的反序列化小工具 用了两个文件完成的 话不多说,上源码 js、css文件下载地址 1.serialize.php <?php /** * 序列化 反序列化处理 */ header('content-type:text/html;charset=utf8 '); require_once 'function.php'
php反序列化漏洞学习
zl0_00_0的博客
06-12 1149
魔术方法在一些特定的情况下能被自动调用,所以我们一般用这个来绕过一些验证过滤或者用来执行代码;魔术方法是以__开头的特殊函数,我们需要掌握上面条件下能调用什么魔术方法,什么魔术方法有什么作用,使用多个魔术方法的时候魔术方法调用的先后顺序是什么。
php序列化反序列化
dianboliao0344的博客
12-13 135
转自:http://qing.weibo.com/tag/unserialize 把复杂的数据类型压缩到一个字符串中 serialize() 把变量它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly');$new = serialize($stooges);print...
PHP 序列化反序列化函数
weixin_30642305的博客
05-01 128
序列化反序列化 把复杂的数据类型压缩到一个字符串中 serialize() 把变量它们的值编码成文本形式 unserialize() 恢复原先变量 1.创建一个$arr数组用于储存用户基本信息,并在浏览器中输出查看结果; $arr=array();$arr['name']='张三';$arr['age']='22';$arr['sex']='男';$arr['ph...
php序列化(serialize)反序列化(unserialize)函数
Sea_Sand息禅
12-16 4669
用法:serialize()、unserialize() 适用情境:serialize()返回字符串,此字符串包含了表示value的字节流,可以存储于任何地方。这有利于存储或传递 PHP 的值,同时不丢失其类型结构。比较有用的地方就是将数据存入数据库或记录在文件中的时候. 可以对一般变量进行序列化,也可以对字典进行序列化。 &lt;?php $array = array(); $a...
PHP 序列化反序列化函数实例详解
12-20
PHP中,序列化反序列化是两个非常重要的概念,它们主要用于处理复杂的数据结构,如数组、对象等。序列化允许我们将这些数据结构转换为简单的字符串格式,方便存储或传输,而反序列化则能将这些字符串还原为原始...
php序列化反序列化详解
01-20
把复杂的数据类型压缩到一个字符串中 serialize() 把变量它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);echo ...
PHP中SERIALIZEJSON的序列化反序列化操作区别分析
10-21
PHP提供了两种序列化反序列化的机制,即使用serialize()unserialize()函数进行PHP特有的序列化反序列化,以及使用json_encode()json_decode()函数进行JSON格式的序列化反序列化。 首先,让我们来分析一下...
php json与xml序列化/反序列化
10-26
在Web开发中,数据交换存储常常涉及到对象的序列化反序列化PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSON(JavaScript Object Notation)XML(eXtensible Markup Language)。这两种格式都...
php序列化反序列化
qq_63501912的博客
02-07 1761
php序列化反序列化
php反序列化
weixin_52397172的博客
08-23 733
php序列化简介
PHP 反序列化
最新发布
07-11
### PHP反序列化的基本使用方法 PHP中的序列化(`serialize()`)反序列化(`d`eserialize())是用于将对象、数组等复杂数据结构转换为字符串以便存储或传输的机制。例如,一个对象可以通过 `serialize()` 转换为字符串形式,便于保存到数据库或会话文件中;当需要恢复该对象时,可以使用 `unserialize()` 将其还原为原始对象状态。 ```php class Example { public $data = "test"; } // 序列化对象 $obj = new Example(); $serialized = serialize($obj); // 输出: O:7:"Example":1:{s:4:"data";s:4:"test";} echo $serialized . "\n"; // 反序列化对象 $unserialized = unserialize($serialized); echo $unserialized->data; // 输出: test ``` ### PHP反序列化的原理 PHP在执行反序列化操作时,会根据字符串格式重建原始变量结构。序列化字符串中包含了类名、属性名及其值等信息。如果反序列化的数据被攻击者篡改,则可能触发某些危险的“魔术方法”(如 `__construct()`、`__destruct()`、`__wakeup()` 等),从而导致代码执行或其他恶意行为[^2]。 反序列化漏洞的核心在于:开发者没有对用户输入的数据进行严格的过滤验证,而直接将其作为参数传递给 `unserialize()` 函数。攻击者通过构造恶意输入,可以在反序列化过程中触发特定类的方法调用,进而实现任意代码执行或敏感信息泄露的目的[^3]。 ### PHP反序列化漏洞的常见利用方式 - **魔术方法触发**:攻击者通过构造特定的序列化字符串,使得在反序列化过程中自动调用某些魔术方法(如 `__wakeup()` 或 `__destruct()`)。这些方法内部若存在可被利用的功能(如文件操作、命令执行等),则可能导致严重后果[^1]。 - **POP链(Property Oriented Programming)**:这是一种高级利用技术,攻击者通过查找多个类之间的属性引用关系,构建出一条从入口点到目标函数的调用链路。即使没有直接暴露危险方法,也能通过间接方式达成攻击目的。 ### PHP反序列化漏洞的危害 PHP反序列化漏洞可能导致多种安全问题: - **远程代码执行(RCE)**:攻击者可通过构造恶意输入,在服务器上执行任意命令,获取系统控制权。 - **会话劫持**:由于PHP的session机制依赖于序列化/反序列化操作,因此攻击者可能伪造会话内容,冒充合法用户访问系统。 - **数据篡改与泄露**:攻击者可以修改反序列化后的对象属性,篡改业务逻辑,甚至读取数据库中的敏感信息。 ### 如何防止PHP反序列化漏洞 1. **避免反序列化不可信数据**:最根本的防护措施是不要对来自用户的输入执行 `unserialize()` 操作,除非绝对必要且已充分验证其安全性。 2. **使用 `json_encode()` `json_decode()` 替代**:相较于 `serialize()` / `unserialize()`,JSON编码/解码更安全,因为它不涉及类实例化过程。 3. **白名单校验**:如果确实需要处理用户提供的序列化数据,应限制允许反序列化的类名,并确保只接受预期类型的对象。 4. **启用 `__wakeup()` 验证机制**:在关键类中定义 `__wakeup()` 方法,检查反序列化后的对象状态是否合法。 5. **更新框架与依赖库**:及时修补第三方组件中存在的已知反序列化漏洞,防止被攻击者利用。 ### 示例:简单的PHP反序列化漏洞演示 ```php class VulnerableClass { public $cmd = "echo 'Hello, World!';"; function __wakeup() { eval($this->cmd); // 危险操作:执行任意代码 } } // 攻击者构造恶意序列化字符串 $input = 'O:14:"VulnerableClass":1:{s:3:"cmd";s:13:"system("id");";}'; unserialize($input); // 触发 __wakeup(),执行 system("id") ``` 上述代码展示了攻击者如何通过精心构造的序列化字符串,使原本仅用于输出“Hello, World!”的对象执行了 `system("id")` 命令,从而实现了远程命令执行攻击[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值