PHP序列化反序列化serialize和unserialize函数

最新推荐文章于 2025-07-18 10:03:55 发布
最新推荐文章于 2025-07-18 10:03:55 发布
阅读量2.1w 收藏 10
点赞数 10
CC 4.0 BY-SA版权
分类专栏: PHP 文章标签: php serialize 序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/forLightWay/article/details/50707431
本文详细介绍了PHP中序列化函数serialize()和反序列化函数unserialize()的基本原理及应用实例,通过代码示例展示了如何将对象序列化并存储,以及如何在不同的PHP程序间传递序列化后的对象。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

昨天网上看到一道面试题,如下:

类的属性可以序列化后保存到session中,从而以后可以恢复整个类,这要用到的函数是?”

我记得原来老师说过序列化函数是"serialize",查了下,果不其然,今天记录下,免得忘记。

<?php
    class aa{
        public $a = 1;
        private $b = 2;
        protected $c = 3;

        function afun(){
            return $this->a;
        }
        function bfun(){
            return $this->b;
        }
        function __destruct(){
            echo "变量销毁了";
        }
    }

    $v = new aa;
    echo $v->afun();
    $se = serialize($v);
    unset($v); //这里先销毁$v,这个时候会自动调用析构函数
    echo "<hr />";
    $v = unserialize($se); //再反序列化
    echo $v->bfun();

看看运行结果



如果觉得还不明显, 好,我们在改一下代码

aa.class.php

<?php
    class aa{
        public $a = 1;
        private $b = 2;
        protected $c = 3;

        function afun(){
            return '$a的值是:'.$this->a;
        }
        function bfun(){
            return '$b的值是:'.$this->b;
        }
    }

a1.php 

<?php
    require './demo8.php';
    Session_start();
    $v = new aa();
    $_SESSION['v'] = serialize($v);

a2.php 

<?php
    require './demo8.php';
    Session_start();
    $v = unserialize($_SESSION['v']);
    echo $v->bfun();

再看看结果是不是一目了然了呢,好了,试验做完了,结论调用下公论。

例子中的对象我们还可以换为数组等其他类型,效果都是一样的!
其实serialize()就是将PHP中的变量如对象(object),数组(array)等等的值序列化为字符串后存储起来.序列化的字符串我们可以存储在其他地方如数据库、Session、Cookie等,序列化的操作并不会丢失这些值的类型和结构。这样这些变量的数据就可以在PHP页面、甚至是不同PHP程序间传递了。
而unserialize()就是把序列化的字符串转换回PHP的值。

这里再引用一段PHP手册上的说明,看了上面的例子,应该很容易明白下面这些话的意思了
想要将已序列化的字符串变回 PHP 的值,可使用 unserialize()。serialize() 可处理除了 resource 之外的任何类型。甚至可以 serialize() 那些包含了指向其自身引用的数组。你正 serialize() 的数组/对象中的引用也将被存储。

当序列化对象时,PHP 将试图在序列动作之前调用该对象的成员函数 __sleep()。这样就允许对象在被序列化之前做任何清除操作。类似的,当使用 unserialize() 恢复对象时, 将调用 __wakeup() 成员函数
unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化,则返回 FALSE。


PHP序列化反序列化serialize()unserialize()函数
MdlForward的博客
09-25 200
该接口定义了serialize()unserialize()方法,用于自定义对象的序列化反序列化PHP中的serialize()unserialize()函数是用于将数据序列化反序列化的重要工具。在PHP中,我们可以使用serialize()函数进行序列化,使用unserialize()函数进行反序列化。对象必须实现Serializable接口,该接口定义了serialize()unserialize()方法,以便对对象进行自定义序列化反序列化。在serialize()方法中,我们将对象的。
go语言实现serialize序列化unserialize反序列化(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-21 254
go语言实现serialize序列化unserialize反序列化(附完整源码)
PHP反序列化
qq_46430168的博客
07-02 1634
一.序列化反序列化    1. 序列化serialize):是将变量或对象转换成字符串的过程。从而达到传输存储的目的。 class S { public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize(s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“tes
PHP反序列化入门教程(一)
weixin_46003602的博客
08-19 1084
知识点:1、PHP-反序列化-应用&识别&函数2、PHP-反序列化-魔术方法&触发规则3、PHP-反序列化-联合漏洞&POP链构造在实战情况下,是不需要知道这些具体分析的,都是利用工具去扫一些框架爆出的反序列话漏洞直接利用即可。学这些具体分析就是为了以后往漏洞挖掘方向发展或者打CTF比赛及面试会被问。
揭秘PHP反序列化:原理、利用链与防御,入门到精通教程!
最新发布
xx16755498986的博客
07-18 932
PHP反序列化漏洞是指程序未对用户输入的序列化字符串进行检测,使攻击者能够控制反序列化过程,通过注入恶意代码实现代码执行、SQL注入等攻击。序列化是将对象转换为特定格式字符串的过程,而反序列化是其逆过程。当反序列化过程中触发了特定魔术方法(如__construct、__destruct、__wakeup等)时,可能造成安全风险。攻击者可利用这些自动执行的魔术方法中的敏感操作,结合可控的类属性实施攻击。防范措施包括对输入进行严格校验、避免反序列化用户可控数据等。
WooYun-2016-199433 phpmyadmin 反序列化漏洞
weixin_51387754的博客
12-08 451
漏洞简介 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 漏洞复现 执行如下命令启动phpmyadmin: docker-compose up -d 环境启动后,访问http://your-ip:8080,即可看到phpmyadmin的首页。因为没有连接数据库,所以此时会报错,但我们这个漏洞的利用与数据库无关,所以忽略。 发送如下数据包,即可读取/etc/passwd: POST /scripts/setup.php HTTP/1.1 Hos
(CVE-2016-5734)phpmyadmin反序列化漏洞复现
weixin_45540609的博客
09-08 578
一、漏洞简介 在PHP5.4.7以前,preg_replace的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞。 二、漏洞原理 https://www.jianshu.com/p/8e44cb1b5b5b 三、漏洞利用 https://blog.youkuaiyun.com/weixin_52777165/article/details/112251253 vulhub搭建环境 访问 poc如下: https:/..
php序列化函数serialize() unserialize() 与原生函数对比
10-24
- `serialize()` `unserialize()` 是PHP内建的函数,专门用于PHP内部数据结构的序列化反序列化,能处理包括数组、对象在内的复杂数据类型,并保留类型信息。 - 序列化的字符串可以用于持久化存储,或者在网络...
PHPSERIALIZEJSON的序列化反序列化操作区别分析
10-21
根据给定文件的内容,我们得知,使用serialize()函数序列化一个对象或数组,并用unserialize()函数反序列化时,其结果与原始对象或数组是相同的。同样地,使用json_encode()进行JSON序列化,再用json_decode()进行...
golang实现php里的serialize()unserialize()序列反序列方法详解
10-17
为了在Go语言中实现类似PHP序列化反序列化功能,可以使用***/techleeone/gophp/serialize这个第三方包。这个包能够提供在Go中处理PHP序列化字符串的能力。 在介绍具体实现前,首先要了解序列化反序列化的基本...
PHPserialize序列化数据以及JSON格式化数据分析
10-23
的内容是PHPserialize序列化数据以及JSON格式化数据分析,需要的朋友可以参考下
CVE-2016-7124漏洞复现
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-22 2381
CVE-2016-7124漏洞复现 实验环境 操作机:Windows 10 服务器:apache 2.4.39 PHP版本:5.2.17nts 漏洞影响版本 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞产生原因 如果类中存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,当序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行 漏洞复现 编写测试脚本 <?php header("Content-Type
PHP序列化serialize)格式详解
PeGroovy的博客
09-29 728
同时,通过反序列化过程,我们可以将序列化后的字符串重新转换为对象,并访问其属性值。在开发过程中,了解掌握PHP序列化的使用方法对于处理对象数据是非常有帮助的。PHP序列化serialize)是一种将PHP对象转换为可存储或传输的字符串表示形式的过程。序列化是指将对象转换为字符串的过程,以便在需要时可以重新创建该对象。序列化字符串中的对象属性用键值对的形式表示,其中键是属性名,值是属性值的序列化表示。序列化后的字符串是一个特定的格式,它包含了对象的类型信息属性值。中是对象的属性信息。
php函数serialize()与unserialize()
larance的挨踢生活
08-31 933
本文转自:http://zxianf.blog.163.com/blog/static/30120701201072443623381/ php函数serialize()与unserialize()说明及案例。想要将已序列化的字符串变回 PHP 的值,可使用unserial
php 数组序列化反序列化serialize unserialize
lvfk
10-15 1167
<?php $a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut'); //序列化数组 $s = serialize($a); echo $s; //输出结果:a:3:{s:1:"a";s:5:"Apple";s:1:"b";s:6:"banana";s:1:"c";s:7:"Coconut";} echo
MYSQL,数组
漫步千姿
07-28 584
一个描述 PHP 数据的函数。返回值是一个字符串。有的时候为了把一些数据转为字符串存起来,但是希望保持数据原来有结构内容。就要用到这个函数。 $a=array('data'=&gt;"hi", 123); $b=serialize($a); echo $b; //这个就是描述过的数组但在这里是一个字符串而已 $c=unserialize($b); //把描述过的数据恢复 ...
Phpmyadmin Scripts / setup.php反序列化漏洞 WooYun-2016-199433 漏洞复现
ADummy的博客
02-27 548
Phpmyadmin Scripts / setup.php反序列化漏洞(WooYun-2016-199433) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>有回显读取文件 0x01漏洞介绍 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码 影响版本 phpmyadmin 2.x 0x02漏洞复现 payload POST /scripts/setup.php HTTP/1.1 Host: your-ip:808
PHP序列化serialize)深度解析与应用
这个过程称为序列化,对应的反操作是unserialize,可以将字符串还原为原来的变量。本文档主要探讨PHP序列化的格式细节,帮助开发者理解在其他语言中实现类似功能。 1. NULL标量类型的序列化PHP中,NULL被...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值