【反序列化漏洞-01】序列化与反序列化简介

最新推荐文章于 2024-10-20 21:54:32 发布
原创 最新推荐文章于 2024-10-20 21:54:32 发布 · 494 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#序列化 #反序列化

本文详细介绍了PHP中序列化与反序列化的应用场景,包括stu类对象的实例化、序列化存储、网络传输及SessionID在PHP中的操作。重点展示了如何在前后端交互中利用serialize和unserialize实现对象的保存与恢复。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1 背景

(1)在PHP中,每个类的定义都以关键字 class 开头,后面跟着类名,后面跟着一对花括号,里面包含有类的属性与方法的定义
(2)一个类可以包含有属于自己的属性(常量,变量)和方法(函数)
(3)由于类的实例化对象比较抽象,不方便用于传输和存储。
在这里插入图片描述

tips(类与对象):

  • 类为class,对象是object;举个例子,车为一个大类,大类再分小类如自行车、卡车;而具体的某台车为一个对象。

2 序列化与反序列化的定义

序列化与反序列化过程在php、python等多种语言中普遍存在。

  • 序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即将对象状态转换为可存储或可传输的过程)
  • 反序列化:程序把存储或传输的字节序列恢复为对象的过程。
  • 核心思想:对象状态的保存和重建。

PHP中的序列化与反序列化,基本都是围绕serialize()unserialize()两个函数展开的。

3 作用及优点

序列化的意义:在传递和保存对象时,为保证对象的完整性和可传递性,程序将对象转换为有序字节流以保存在本地文件中,并且可以以特定的格式在进程之间跨平台、安全的进行通信。比如从java平台传递到php平台。

反序列化的意义:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。

序列化的优点

  • 将对象转为字节流存储到硬盘上(实际上是存放在数据库,一般是redis数据库-键值对数据库),当JVM停机的话,字节流还会在硬盘上默默等待,等待下一次JVM的启动,把序列化的对象,通过反序列化为原来的对象
  • 序列化后的二进制序列能够减少存储空间(永久性保存对象)。
  • 序列化成字节流形式的对象可以进行网络传输。
  • 通过序列化可以在进程间传递对象。

tips:
实际上用redis数据库作为缓存,一般用于存储序列化后的字符串,待字符串需要使用时,再反序列化为对象,方便调用。

4 例子:测试php代码中序列化与反序列化执行过程

4.1 测试环境

服务器:在虚拟机中安装win2008及phpstudy,参考《【语言环境】WAMP环境部署及优化—以win2008R2SP1为操作系统》。

客户端:真实机浏览器。

4.2 测试序列化过程

(1)在服务器网站根目录下新建一个文件夹serialize_unserialize,再在该文件夹下新建一个txt文件,输入以下内容,并重命名为serialize.php。

<meta charset = "utf-8">
<?php
//定义一个stu类,类中有4个属性,暂未定义方法。
class stu{
   
   
	public $name;
	public $sex;
	public $age;
	public $score;
}

//创建对象1
$stu1=new stu();
$stu1->name="gzz";
$stu1->sex=true;
$stu1->age=
最低0.47元/天 解锁文章

200万优质内容无限畅学
(渗透学习)理解java反序列化漏洞原理---层序渐进
yang1234567898的博客
12-31 4461
1、为什么要序列化? 因为只有字节数据才能进行存储和传输,所以为了使对象(如class类)能够存储、传输,就需要将对象转成字节的形式 存储:不需要的时候就序列化对象后的数据存入磁盘,需要的时候就反序列还原对象进行调用 传输:当A想要用B的对象时,那么A需要将对象进行序列化传输给B,B接收之后进行反序列化还原调用 2、如何序列化反序列化? 要求:只有实现了Serializable接口的对象才能被序列化,否则抛出异常,如: class MyObject implements Serializ
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 3126
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
序列化反序列化(Serializable特性)
weixin_30527323的博客
01-19 106
//需要被实例化的类 using System.Collections; using UnityEngine; [Serializable] public class SerializableClass : MonoBehaviour { public string name; public SerializableClass(string name) ...
序列化反序列化
weixin_33738982的博客
01-27 190
数据库: CREATE TABLE T_EXTERIOR ( "ID" INTEGER NOT NULL , "EXTERIOR" BLOB(1048576) LOGGED NOT COMPACT NOT NULL ) 序列化并保存到数据库(A项目): Exterior exterior = new Exterior(); ...
反序列化的详解
weixin_45932157的博客
07-20 275
怎样序列化这个字符串呢? string jsonText2 = "{\"Specificlocation\":[{\"name\":\"zj11\",\"age\":\"22\"},{\"name\":\"z71\",\"age\":\"32\"},{\"name\":\"z1\",\"age\":\"42\"},{\"name\":\"zj81\",\"age\":\"12\"},{\"name\":\"zjy1\",\"age\":\"72\"},{\"name\":\"zj31\",\"age\":
序列化反序列化
屑狐狸
03-09 486
内容来源:https://tech.meituan.com/2015/02/26/serialization-vs-deserialization.html 以下内容为适用于博主自己的笔记,想要更详细的阅读请跳转以上链接。 一、定义以及相关概念 序列化反序列化是通信协议的一部分。比较容易理解的例子就是加密和持久化。 在OSI七层模型中表现层的作用是加密或解密,即把应用层的对象转换成一段连续的二进...
java反序列化漏洞-验证.rar
06-25
1. **Java反序列化漏洞**:当不信任的数据源提供的序列化对象被反序列化时,如果对象的类包含危险的方法(如`ObjectInputStream.readObject()`),攻击者可以构造特殊的序列化数据来触发这些方法,执行任意代码。...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
ctfshow(254->256)--反序列化漏洞--认识序列化反序列化
最新发布
m0_56019217的博客
10-20 676
阅读源代码也有了一定难度。从事网络安全,编程能力永远是我们的内功。
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
【MySQL JDBC 反序列化漏洞分析】 MySQL JDBC 反序列化漏洞主要涉及到Java数据库连接(JDBC)驱动程序中的安全问题。JDBC是Java中用于数据库交互的标准接口,允许开发者使用Java语言执行SQL语句。在特定版本的...
反序列化漏洞学习笔记(一)
cc777777777的博客
04-15 215
1
序列化反序列化的概念_序列化的概念
最佳 Java 编程
06-18 263
序列化反序列化的概念 讨论了为什么Optional不可序列化以及如何处理(即将推出)之后,让我们仔细看看序列化。 总览 这篇文章介绍了序列化的一些关键概念。 它尝试精简地执行此操作,而不会涉及太多细节,包括将建议降至最低。 它没有叙述,更类似于Wiki文章。 主要信息来源是约书亚·布洛赫(Joshua Bloch)的出色著作《 有效的Java》 ,其中涉及到序列化的多个内容(第一版:54...
Java序列化反序列化
白帽子佳奇的博客
05-27 1068
也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象。这个恶意数据exp_1在接下来的处理流程(可能是在自主重写的readobject中、也可能是在外面的逻辑中),会执行一个exp_1这个恶意数据类的一个方法,在方法中会根据exp_1的内容进行函处理,从而一层层地剥去(或者说变形、解析)我们exp_1变成exp_2、exp_3......整个过程都是 Java 虚拟机(JVM)独立的,也就是说,在一个平台上序列化的对象可以在另一个完全不同的平台上反序列化该对象。
Java高级特性:序列化反序列化
Stardust_fantasy的博客
04-25 575
序列化是一个用于将对象状态转换为字节流的过程
魔术方法总结
梦里不知身是客
12-26 9923
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
0x04 反序列化
weixin_43263566的博客
05-10 553
0x04 反序列化
彻底理解序列化反序列化
Likes的博客
01-16 2966
https://tech.meituan.com/2015/02/26/serialization-vs-deserialization.html 目录 摘要 简介 一、定义以及相关概念 数据结构、对象二进制串 二、序列化协议特性 通用性 强健性/鲁棒性 可调试性/可读性 性能 可扩展性/兼容性 安全性/访问限制 三、序列化反序列化的组件 序列化组件数据库访问组件...
(反)序列化方式
yeleits的博客
05-07 424
jdk、msgpack、protobuf的(反)序列化 1. Protobuf的准备工作 参考:https://hi-dhl.com/2020/10/28/android/05-probuff-mac/ ① mac安装protobuf:brew install protobuf ② idea的resource目录下编写Person.proto文件: syntax = "proto3"; option java_package = "com.phei.encode"; option java_o
利用POC检测WebLogic反序列化漏洞CVE-2019-2725
在2019年,Oracle WebLogic服务器遭遇了一个严重的反序列化漏洞,即CVE-2019-2725。这个漏洞允许攻击者通过精心构造的恶意请求,利用WebLogic应用程序中的序列化功能来执行任意代码,从而获取系统控制权限。由于其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值