PHP序列化反序列化serialize和unserialize函数

最新推荐文章于 2025-06-23 18:07:36 发布
最新推荐文章于 2025-06-23 18:07:36 发布
阅读量2.1w 收藏 10
点赞数 10
CC 4.0 BY-SA版权
分类专栏: PHP 文章标签: php serialize 序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/forLightWay/article/details/50707431
本文详细介绍了PHP中序列化函数serialize()和反序列化函数unserialize()的基本原理及应用实例,通过代码示例展示了如何将对象序列化并存储,以及如何在不同的PHP程序间传递序列化后的对象。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

昨天网上看到一道面试题,如下:

类的属性可以序列化后保存到session中,从而以后可以恢复整个类,这要用到的函数是?”

我记得原来老师说过序列化函数是"serialize",查了下,果不其然,今天记录下,免得忘记。

<?php
    class aa{
        public $a = 1;
        private $b = 2;
        protected $c = 3;

        function afun(){
            return $this->a;
        }
        function bfun(){
            return $this->b;
        }
        function __destruct(){
            echo "变量销毁了";
        }
    }

    $v = new aa;
    echo $v->afun();
    $se = serialize($v);
    unset($v); //这里先销毁$v,这个时候会自动调用析构函数
    echo "<hr />";
    $v = unserialize($se); //再反序列化
    echo $v->bfun();

看看运行结果



如果觉得还不明显, 好,我们在改一下代码

aa.class.php

<?php
    class aa{
        public $a = 1;
        private $b = 2;
        protected $c = 3;

        function afun(){
            return '$a的值是:'.$this->a;
        }
        function bfun(){
            return '$b的值是:'.$this->b;
        }
    }

a1.php 

<?php
    require './demo8.php';
    Session_start();
    $v = new aa();
    $_SESSION['v'] = serialize($v);

a2.php 

<?php
    require './demo8.php';
    Session_start();
    $v = unserialize($_SESSION['v']);
    echo $v->bfun();

再看看结果是不是一目了然了呢,好了,试验做完了,结论调用下公论。

例子中的对象我们还可以换为数组等其他类型,效果都是一样的!
其实serialize()就是将PHP中的变量如对象(object),数组(array)等等的值序列化为字符串后存储起来.序列化的字符串我们可以存储在其他地方如数据库、Session、Cookie等,序列化的操作并不会丢失这些值的类型和结构。这样这些变量的数据就可以在PHP页面、甚至是不同PHP程序间传递了。
而unserialize()就是把序列化的字符串转换回PHP的值。

这里再引用一段PHP手册上的说明,看了上面的例子,应该很容易明白下面这些话的意思了
想要将已序列化的字符串变回 PHP 的值,可使用 unserialize()。serialize() 可处理除了 resource 之外的任何类型。甚至可以 serialize() 那些包含了指向其自身引用的数组。你正 serialize() 的数组/对象中的引用也将被存储。

当序列化对象时,PHP 将试图在序列动作之前调用该对象的成员函数 __sleep()。这样就允许对象在被序列化之前做任何清除操作。类似的,当使用 unserialize() 恢复对象时, 将调用 __wakeup() 成员函数
unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化,则返回 FALSE。


PHP反序列化
qq_46430168的博客
07-02 1632
一.序列化反序列化    1. 序列化serialize):是将变量或对象转换成字符串的过程。从而达到传输存储的目的。 class S { public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize(s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“tes
PHP中的序列化反序列化
sinat_35161044的博客
08-20 2113
今天在学习面向对象时,里边的一个两个魔术方法__sleep()__wake()让我一开始有点困惑,这两个方法分别是让类序列化反序列化时使用的,因为看的是视频,老师说的很笼统,就自己在网上查了一下,下边是我总结的内容: 1.序列化是将对象通过一系列的操作转化为字符串的过程。 2.什么时候需要序列化? 1)对象在网络上传输时 2)对象保存到文件中时 3.序列化与__sleep()魔法方法...
php函数serialize()与unserialize()
larance的挨踢生活
08-31 931
本文转自:http://zxianf.blog.163.com/blog/static/30120701201072443623381/ php函数serialize()与unserialize()说明及案例。想要将已序列化的字符串变回 PHP 的值,可使用unserial
还在啃“反序列化”这块硬骨头?从零基础到精通,收藏这篇就够了!
A1_3_9_7的博客
06-23 1319
简单来说,序列化就是把咱们的对象,“biu”的一下变成字符串,方便存储传输。那反序列化呢?就是把这个“biu”过的字符串,再“biu”回去,变回原来的对象,让程序接着用。在PHP里,这两个“biu”的操作分别由函数负责。
php 数组序列化反序列化serialize unserialize
lvfk
10-15 1165
<?php $a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut'); //序列化数组 $s = serialize($a); echo $s; //输出结果:a:3:{s:1:"a";s:5:"Apple";s:1:"b";s:6:"banana";s:1:"c";s:7:"Coconut";} echo
MYSQL,数组
漫步千姿
07-28 584
一个描述 PHP 数据的函数。返回值是一个字符串。有的时候为了把一些数据转为字符串存起来,但是希望保持数据原来有结构内容。就要用到这个函数。 $a=array('data'=&gt;"hi", 123); $b=serialize($a); echo $b; //这个就是描述过的数组但在这里是一个字符串而已 $c=unserialize($b); //把描述过的数据恢复 ...
Phpmyadmin Scripts / setup.php反序列化漏洞 WooYun-2016-199433 漏洞复现
ADummy的博客
02-27 544
Phpmyadmin Scripts / setup.php反序列化漏洞(WooYun-2016-199433) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>有回显读取文件 0x01漏洞介绍 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码 影响版本 phpmyadmin 2.x 0x02漏洞复现 payload POST /scripts/setup.php HTTP/1.1 Host: your-ip:808
PHP序列化反序列化
m0_46587008的博客
06-14 3374
PHP反序列化 0x00
(37)【PHP反序列化PHP反序列化原理、函数、利用过程
04-17 4083
【专题】PHP反序列化利用
php序列化反序列化
qq_63501912的博客
02-07 1764
php序列化反序列化
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6545
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
PHP serialize() 序列化函数
01-25 201
PHP serialize() 序列化函数 定义用法 — 语法 string serialize ( mixed $value ) serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 这有利于存储或传递 PHP 的值,同时不丢失其类型结构。 想要将已序列化的字符串变回 PHP 的...
魔术方法总结
梦里不知身是客
12-26 9923
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
序列化反序列化
RJ0024的博客
12-02 497
考虑到可读性,数据往往不是以最有效的方式编写,但为了存储或传递数据时更加高效,同时不丢失其类型结构,可以利用序列化反序列化函数对数据进行处理。 序列化 将特定格式数据转换为可以恢复的字节串序列 什么时候进行序列化? 1)数据在网络上传输时 2)数据保存到文件中时 (由于序列化返回的是字符串,方便存储于任何地方!) 反序列化 顾名思义,将序列化得出的字符串恢复为原有格式数据的过程 什么时候进行反序列化? 1)程序读取数据的时候 序列化反序列化的目的是在不影响数据有效性情况下,更高效地存储传输数据,使程
PHP 反序列化
最新发布
07-11
### PHP反序列化的基本使用方法 PHP中的序列化(`serialize()`)反序列化(`d`eserialize())是用于将对象、数组等复杂数据结构转换为字符串以便存储或传输的机制。例如,一个对象可以通过 `serialize()` 转换为字符串形式,便于保存到数据库或会话文件中;当需要恢复该对象时,可以使用 `unserialize()` 将其还原为原始对象状态。 ```php class Example { public $data = "test"; } // 序列化对象 $obj = new Example(); $serialized = serialize($obj); // 输出: O:7:"Example":1:{s:4:"data";s:4:"test";} echo $serialized . "\n"; // 反序列化对象 $unserialized = unserialize($serialized); echo $unserialized->data; // 输出: test ``` ### PHP反序列化的原理 PHP在执行反序列化操作时,会根据字符串格式重建原始变量结构。序列化字符串中包含了类名、属性名及其值等信息。如果反序列化的数据被攻击者篡改,则可能触发某些危险的“魔术方法”(如 `__construct()`、`__destruct()`、`__wakeup()` 等),从而导致代码执行或其他恶意行为[^2]。 反序列化漏洞的核心在于:开发者没有对用户输入的数据进行严格的过滤验证,而直接将其作为参数传递给 `unserialize()` 函数。攻击者通过构造恶意输入,可以在反序列化过程中触发特定类的方法调用,进而实现任意代码执行或敏感信息泄露的目的[^3]。 ### PHP反序列化漏洞的常见利用方式 - **魔术方法触发**:攻击者通过构造特定的序列化字符串,使得在反序列化过程中自动调用某些魔术方法(如 `__wakeup()` 或 `__destruct()`)。这些方法内部若存在可被利用的功能(如文件操作、命令执行等),则可能导致严重后果[^1]。 - **POP链(Property Oriented Programming)**:这是一种高级利用技术,攻击者通过查找多个类之间的属性引用关系,构建出一条从入口点到目标函数的调用链路。即使没有直接暴露危险方法,也能通过间接方式达成攻击目的。 ### PHP反序列化漏洞的危害 PHP反序列化漏洞可能导致多种安全问题: - **远程代码执行(RCE)**:攻击者可通过构造恶意输入,在服务器上执行任意命令,获取系统控制权。 - **会话劫持**:由于PHP的session机制依赖于序列化/反序列化操作,因此攻击者可能伪造会话内容,冒充合法用户访问系统。 - **数据篡改与泄露**:攻击者可以修改反序列化后的对象属性,篡改业务逻辑,甚至读取数据库中的敏感信息。 ### 如何防止PHP反序列化漏洞 1. **避免反序列化不可信数据**:最根本的防护措施是不要对来自用户的输入执行 `unserialize()` 操作,除非绝对必要且已充分验证其安全性。 2. **使用 `json_encode()` `json_decode()` 替代**:相较于 `serialize()` / `unserialize()`,JSON编码/解码更安全,因为它不涉及类实例化过程。 3. **白名单校验**:如果确实需要处理用户提供的序列化数据,应限制允许反序列化的类名,并确保只接受预期类型的对象。 4. **启用 `__wakeup()` 验证机制**:在关键类中定义 `__wakeup()` 方法,检查反序列化后的对象状态是否合法。 5. **更新框架与依赖库**:及时修补第三方组件中存在的已知反序列化漏洞,防止被攻击者利用。 ### 示例:简单的PHP反序列化漏洞演示 ```php class VulnerableClass { public $cmd = "echo 'Hello, World!';"; function __wakeup() { eval($this->cmd); // 危险操作:执行任意代码 } } // 攻击者构造恶意序列化字符串 $input = 'O:14:"VulnerableClass":1:{s:3:"cmd";s:13:"system("id");";}'; unserialize($input); // 触发 __wakeup(),执行 system("id") ``` 上述代码展示了攻击者如何通过精心构造的序列化字符串,使原本仅用于输出“Hello, World!”的对象执行了 `system("id")` 命令,从而实现了远程命令执行攻击[^1]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值