序列化(serialize)和反序列化(unserialize)以及__sleep()函数和__wakeup()函数

最新推荐文章于 2022-12-06 12:03:12 发布
转载 最新推荐文章于 2022-12-06 12:03:12 发布 · 1.8k 阅读 · 0

本文详细介绍了PHP中对象序列化的过程,包括如何使用__sleep()方法指定要序列化的对象属性,以及如何通过__wakeup()方法在反序列化时填充未存储的属性。

序列化数据就是将数据转化成一个基于文本的格式,以便存储。

__sleep()在序列化前决定哪些属性进行序列化,__wakeup()在反序列化时填充任何没有存储的。

__sleep在一个对象序列化前调用,它不接收任何参数,但会返回数组,这里可以放置需要序列化的属性,

比如下面的例子: 

class Customer {
    private $name;
    private $credit_card_number;

    public function setName($name) {
        $this->name = $name;
    }

    public function getName() {
        return $this->name;
    }

    public function setCC($cc) {
        $this->credit_card_number = $cc;
    }

    public function getCC() {
        return $this->credit_card_number;
    }

    public function __sleep() {
        return array(“name”); //只有name会序列化
    }

}

$c = new Customer();
$c->setName(“Stuard”);
$c->setCC(“456789″);

$data = serialize($c).”\n”;
echo $data.”\n”;

Output:
O:8:”Customer”:1:{s:14:” Customer name”;s:5:”Stuard”;} 

上面在序列化前,__sleep中指定了只有name属性会序列化,而creaditcard不会。

而__wakeup则相反,它是在反序列化前触发的,比如下面例子:

class Customer {  
    private $name;  
    private $credit_card_number;
       
    public function setName($name) {  
        $this->name = $name;
    }  
       
    public function getName() {  
        return $this->name;
    }  
       
    public function setCC($cc) {  
        $this->credit_card_number = $cc;
    }  
       
    public function getCC() {  
        return $this->credit_card_number;
    }  
       
    public function __sleep() {  
        return array(“name”);
    }  
       
    public function __wakeup() {  
        if($this->name == “Stuart”) {  
            //重新在数据库中获得   
            $this->credit_card_number = “1234567890123456″;
        }  
    }  
}  
   
$c = new Customer();  
$c->setName(“Stuart”);  
$c->setCC(“1234567890123456″);  

$data = serialize($c).”\n”;  
var_dump(unserialize($data));  
   
Output:  
object(Customer)#2 (2) {  
["name:private"]=>  
string(5) “Stuart”  
["credit_card_number:private"]=>  
string(16) ’1234567890123456’
}

php反序列化进阶 && CVE (__wakeup的绕过)&&属性类型特征 && 字符串的逃逸
2301_81155391的博客
01-05 1112
属性特征 : 是指php的类定义除了 public(公共属性)还有 protect(受保护的属性) private (私有属性)特征:public(公共的):在本类内部、外部类、子类都可以访问protect(受保护的):只有本类或子类或父类中可以访问private(私人的):只有本类内部可以使用显示 :(显示不同的目的就是为了让 反序列化 进行识别他是什么类型的属性)public正常显示protect 显示的特征就是 %00 %00 就是有空格掺杂。
攻防世界_Web_php_unserialize(绕过php反序列/绕过wakeup函数/代码审计)
2401_87524087的博客
02-01 1526
preg_match() 函数用来匹配一个正则表达,匹配上了就返回true,上面代码正则匹配的是不区分大小写的o:数字或者是c:数字,用来干扰反序列化unserialize() 函数用来反序列化字符串,将字符串反序列化成PHP代码。
PHP序列化反序列化serializeunserialize函数
热门推荐
lightWay的博客
02-21 2万+
昨天网上看到一道面试题,如下: “类的属性可以序列化后保存到session中,从而以后可以恢复整个类,这要用到的函数是?” 我记得原来老师说过序列化函数是"serialize",查了下,果不其然,今天记录下,免得忘记。 <?php class aa{ public $a = 1; private $b = 2; protected $c
php魔术方法__sleep()、__wakeup()serialize()unserialize()
leedaning的专栏
12-10 557
<?php /** * @Author: Leen * @Date: 2020-12-10 11:12:59 * @Email: lining@yoozoo.com * @Last Modified By : Leen */ class Wakeup { private $name, $age, $info; function __construct($name, $age) { $this->name = $name;
魔术方法__sleep__wakeup、序列与反序列
LSGOZJ的博客
03-15 1310
串行化serialize可以把变量包括对象,转化成连续bytes数据. 你可以将串行化后的变量存在一个文件里或在网络上传输. 然后再反串行化还原为原来的数据. 你在反串行化类的对象之前定义的类,PHP可以成功地存储其对象的属性方法. 有时你可能需要一个对象在反串行化后立即执行. 为了这样的目的,PHP会自动寻找__sleep__wakeup方法.当一个对象被串行化,PHP会调用__sleep方法
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6660
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
序列化反序列化
RJ0024的博客
12-02 521
考虑到可读性,数据往往不是以最有效的方式编写,但为了存储或传递数据时更加高效,同时不丢失其类型结构,可以利用序列化反序列化函数对数据进行处理。 序列化 将特定格式数据转换为可以恢复的字节串序列 什么时候进行序列化? 1)数据在网络上传输时 2)数据保存到文件中时 (由于序列化返回的是字符串,方便存储于任何地方!) 反序列化 顾名思义,将序列化得出的字符串恢复为原有格式数据的过程 什么时候进行反序列化? 1)程序读取数据的时候 序列化反序列化的目的是在不影响数据有效性情况下,更高效地存储传输数据,使程
php序列化函数serialize() unserialize() 与原生函数对比
12-19
但需要注意的是,当序列化对象时,如果对象的类没有定义`__sleep()``__wakeup()`魔术方法,那么对象的状态(如私有保护属性)可能无法完全恢复。 另一方面,`json_encode()` `json_decode()` 是PHP处理JSON...
序列化反序列化 serialize
代码审计
02-10 573
static 静态修饰符 写在成员属性之前, 该成员称为静态成员属性 静态成员属性, 是静态的, 保存在类的定义内存中. 不管对象创建与销毁, 它都存在. a) 静态成员属性 i. 静态修饰符(static)可以跟public protected private一起修饰成员属性,也可以单独来修饰成员属性 ii. 静态成员属性 是作为该类对象的一个共有属性存在 iii. 静态成员属性的访问方式 1) 在类的内部 self::静态成员属性 2) 在类的外部 类名::静态成员属性 b
详解PHP序列化反序列化原理
10-18
PHP通过serialize()unserialize()两个函数来实现序列化反序列化操作,其中,序列化后得到的字符串格式是PHP特有的,它与JSON的字符串格式类似,但并非通用的格式。 接下来,序列化过程中的自描述问题要解决的是...
反序列化__wakeup
yyj1781572的博客
12-06 398
反序列化__wakeup
php 序列化与魔术方法__wakeup(),__sleep()
The code way of kinnisoy
01-19 820
一、介绍 这两个方法是在对象的序列化与反序列话里使用的,当序列化serialize对象时,可以把对象里的属性方法转换成连续的bytes数据,保存在一个文件里或者在网络上传输,当需要使用这个对象时,就可以反序列话unserialize这个字符串,得到这个对象,然后继续使用。   当对一个对象序列化时,php就会调用__sleep方法(如果存在的话),在反序列化时,php就会调用__wakeup...
mysql 反序列化函数_phar反序列化
weixin_42529544的博客
01-21 1145
phar反序列化前段时间纵横杯遇到一题反序列化,当时队友做出来了,赛后尝试复现一下,并总结反序列化内容phar的本质是一种压缩文件,会以序列化的形式存储用户自定义的meta-dataPhar文件结构stub:phar文件标识,以 __HALT_COMPILER();?>结尾manifest:压缩文件的属性等信息,以序列化的形式存储自定义的meta-datacontents:压缩文件的内容si...
c语言wakeup函数,Linux内核API __wake_up
weixin_34653651的博客
05-20 2500
__wake_up函数功能描述:此函数用于唤醒等待队列中处于特定状态的进程,此特定状态是此函数的第二个参数mode定义的。当进程的状态满足此特定状态时就有可能被唤醒,获得CPU资源,从而被调度执行。__wake_up文件包含__wake_up函数定义在内核源码中的位置:linux-3.19.3/kernel/sched/wait.c函数定义格式:__wake_up输入参数说明此函数的第一个输入参数...
PHP反序列化
BrosyveryOK的博客
11-08 4630
前人栽树,后人乘凉。
__wakeup()函数失效引发漏洞(CVE-2016-7124)
Bendawang's Blog
10-22 7094
CVE-2016-7124
Java反序列化
buffedon的博客
09-05 5477
Java反序列化Java反序列化概念漏洞原理漏洞危害漏洞出现点漏洞挖掘漏洞防御序列化反序列化代码参考文章 Java反序列化概念 在说反序列化之前,先说说序列化 序列化就是将对象转化为字节流,利于存储被引用 反序列化序列化恰恰相反,是将字节流转化为对象 序列化的格式:json序列化,xml序列化,二进制序列化,SOAP序列化 序列化调用的函数 序列化:java.io.ObjectOutputStream 类中的 writeObject() 实现 Serializable Externaliz
php up,PHP中 __wakeup()方法详解
weixin_36033929的博客
03-12 1235
__wakeup(),执行unserialize()时,先会调用这个函数如果说 __sleep() 是白的,那么 __wakeup() 就是黑的了。那么为什么呢?因为:与之相反,`unserialize()` 会检查是否存在一个 `__wakeup()` 方法。如果存在,则会先调用 `__wakeup` 方法,预先准备对象需要的资源。作用:__wakeup() 经常用在反序列化操作中,例如重新建立...
php反序列化__wakeup()
最新发布
06-14
### PHP反序列化与__wakeup方法的使用及潜在安全问题 PHP中的`__wakeup()`方法是一个魔术方法,它在对象被反序列化时自动调用。该方法的主要目的是在反序列化后重新初始化对象可能需要的资源或执行必要的操作。然而,如果`__wakeup()`方法未正确实现或存在逻辑漏洞,则可能导致严重的安全问题。 #### __wakeup方法的基本功能 当一个对象被序列化为字符串后,可以通过`unserialize()`函数将其还原为原始对象。在此过程中,PHP会自动调用对象定义中的`__wakeup()`方法(如果存在)。此方法通常用于恢复对象的状态,例如重新连接数据库、重新加载文件句柄等[^1]。 ```php class Example { public $data = 'default'; public function __wakeup() { // 在反序列化时执行的操作 $this->data = 'restored'; } } $example = new Example(); $serialized = serialize($example); $unserialized = unserialize($serialized); var_dump($unserialized->data); // 输出 "restored" ``` #### 潜在的安全问题 在某些情况下,攻击者可能通过精心构造的输入数据触发反序列化漏洞。如果`__wakeup()`方法中包含敏感操作(如文件写入、命令执行等),并且这些操作依赖于可控制的属性值,则可能导致以下安全问题: 1. **代码执行** 如果`__wakeup()`方法中包含了可以执行系统命令的逻辑,并且这些命令依赖于用户可控的属性值,则可能允许远程代码执行。例如: ```php class Vulnerable { public $cmd; public function __wakeup() { if ($this->cmd) { shell_exec($this->cmd); // 危险操作 } } } $payload = 'O:9:"Vulnerable":1:{s:3:"cmd";s:10:"touch evil";}'; unserialize($payload); // 可能创建一个名为 "evil" 的文件 ``` 2. **逻辑绕过** 攻击者可以通过修改序列化数据中的属性值来绕过某些限制条件。例如,在引用[2]中提到的场景中,攻击者通过调整序列化数据中的成员变量数量,成功绕过了`__wakeup()`方法中的退出逻辑[^2]。 3. **CVE-2016-7124漏洞** CVE-2016-7124是PHP反序列化漏洞的一个典型案例。该漏洞利用了PHP在处理序列化数据时的一个缺陷:即使序列化的成员数大于实际成员数,PHP仍会尝试反序列化对象。这使得攻击者能够绕过`__wakeup()`方法中的保护逻辑,进而触发恶意行为[^3]。 #### 安全防护措施 为了防止因`__wakeup()`方法引发的安全问题,可以采取以下措施: 1. **避免在`__wakeup()`方法中执行敏感操作** 不应在`__wakeup()`方法中执行可能受用户输入影响的高风险操作,例如文件操作或系统命令执行。 2. **验证过滤用户输入** 对所有用户提供的输入进行严格的验证过滤,确保其符合预期格式范围。 3. **使用白名单机制** 仅允许特定类别的对象被反序列化,避免处理未知或不受信任的数据。 4. **升级PHP版本** 确保使用的PHP版本已修复已知的安全漏洞,例如CVE-2016-7124。 5. **禁用反序列化功能** 如果应用程序不需要使用反序列化功能,可以考虑完全禁用相关功能以减少攻击面。 ```php // 示例:禁用反序列化功能 function safe_unserialize($data, $allowed_classes = []) { return @unserialize($data, ['allowed_classes' => $allowed_classes]); } ``` #### 总结 `__wakeup()`方法在PHP反序列化过程中扮演着重要角色,但如果未正确实现,可能导致严重的安全问题。了解其工作原理并采取适当的防护措施,对于保障应用程序的安全性至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值