PHP魔术方法之序列化与反序列化技术

最新推荐文章于 2024-10-29 11:33:10 发布
原创 最新推荐文章于 2024-10-29 11:33:10 发布 · 581 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

目前理解觉得序列化就是用来保存数据的,将对象或变量以字符串形式保存。反序列化无非就是序列化转化成原来的变量或对象。

1.序列化:

  定义:就是将一个变量所代表的“内存”数据,转换为“字符串”形式并持久保存在硬盘中。

   1.1普通变量的序列化

如:$v1 = 123;//这个变量代表内存空间的一段数据

  $s1 = serialize($v1);//用serialize()方法将任何类型的变量转化为字符串并序列化

file_put_contents("./file1.txt",$s1)//将字符串保存在对应位置的硬盘文件中,最后会和此文件保存在 同一个目录中

   1.2对象的序列化,由于对象有属性和方法,序列化时会保存属性数据,而方法会被忽略。

如:$a = new A();

        $b = serialize($a);

而且对象序列化时系统会自动调用__sleep()方法,这个方法必须要自己写在类里,如:

  public function __sleep()

 {

return array('p1','p2');//必须返回一个数组,var_dump()打印出数组键是属性名,值是类型和 对应属性值。

 }

反序列化是用unserialize()方法,对应的__wakeup()方法。


PHP反序列化漏洞(入门)-魔术方法+原生类
xiaoheizi的博客
07-02 2144
_sleep(): //serialize()函数会检查类中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用。当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。因为__toString()魔术方法是在把对象当做字符串使用的时候会被调用,所以这里会触发__toString()魔术方法。__isset(): //在不可访问的属性上调用isset()或empty()触发。
ctf之php序列化,CTF——Web——PHP序列化反序列化
weixin_35126200的博客
04-01 1097
PHP 序列化反序列化:1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程;反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode在进行类的序列化时 私有属性 会加 空白...
php反序列化魔术方法
2301_80913334的博客
03-26 1958
_sleep()__wakeup()__invoke()__clone触发时机实例化对象对象引用完成或对象被销毁;反序列化之后序列化之前反序列化之前把对象当成字符串调用(使用echo或print)把对象当成函数调用当使用clone关键字拷贝完成一个对象功能提前清理不必要内容对象被序列化之前触发,返回需要被序列化储存的成员属性,删除不必要的属性参数返回值需要被序列化的成员属性__call()__get()__set()__isset()__unset()
oop魔术方法
小码农的博客
04-21 831
魔术方法PHP面向对象中特有的特性。它们在特定的情况下被触发,都是以双下划线开头,你可以把它们理解为钩子,利用模式方法可以轻松实现PHP面向对象中重载(Overloading即动态创建类属性和方法)。魔术方法很多还是成对出现的,以下列出目前PHP中所有的模式方法。 1.__construct,__destruct __constuct构建对象的时被调用; __destruct明
PHP魔术方法反序列化(CVE-2016-7124)
m0_57379855的博客
03-12 1321
PHP魔术方法反序列化PHP魔术方法反序列化_wakeup源码分析php-poc PHP魔术方法反序列化 PHP5小于5.6.25或PHP7小于7.0.10 _wakeup 在对象被反序列化后被调用 源码分析 <?php // 目标:反序列化的时候绕过__wakeup以达到写文件的操作 // CVE-2016-7124 // PHP5小于5.6.25或PHP7小于7.0.10 class Test { // 私有成员变量 private $poc = ''; public fu
详解PHP序列化反序列化原理
10-18
PHP中的魔术方法__sleep和__wakeup是序列化反序列化相关的特殊方法。__sleep方法在对象被序列化前调用,可以返回一个数组,数组中包含需要被序列化的属性名,其他属性则会被忽略。__wakeup方法在对象被反序列化...
028-精通PHP序列化反序列化之_道_.pdf
09-20
了解这些魔术方法对理解PHP对象的行为非常重要,尤其是在对象序列化反序列化的上下文中。魔术方法使得开发者能够定义对象在特定情况下的行为,这在处理复杂对象时尤其有用。 文章重点提到了PHP反序列化漏洞。在...
深入解析PHP中SESSION反序列化机制
10-20
例如,如果使用了`__wakeup()`魔术方法,在反序列化对象时,该方法会被自动调用。如果`__wakeup()`方法被用于执行恶意代码,这将构成一个安全风险。因此,开发者需要确保此类方法不会被恶意利用。 ```php class ...
详解php反序列化
10-15
PHP反序列化PHP编程中的一个重要概念,它涉及到将PHP变量从一种状态转换成另一种状态,即从内存中的表示形式转换成能够在文件或数据库中持久保存的...了解和利用这些魔术方法对于深入理解PHP反序列化机制至关重要。
PHP反序列化漏洞之魔术方法
Naive的博客
07-22 2817
PHP魔术方法(Magic Methods)是一组特殊的方法,它们在特定的情况下会被自动调用,用于实现对象的特殊行为或提供额外功能。本文详细介绍每一个魔术方法的触发时机、功能、参数以及返回值。这一点是在学习 PHP 反序列化漏洞中最重要的。
php反序列化常见魔术方法整理
2302_79590880的博客
10-29 853
整理php反序列化代码审计中常见的可用魔术方法
魔术方法总结
梦里不知身是客
12-26 9926
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
php反序列化原理&常见的魔术方法
永远都没有了
02-21 1895
php反序列化原理及常用魔术方法总结
php反序列化 魔术方法,浅析PHP反序列化漏洞之PHP常见魔术方法(一)
weixin_31688167的博客
03-20 362
作为一个学习web安全的菜鸟,前段时间被人问到PHP反序列化相关的问题,以前的博客中是有这样一篇反序列化漏洞的利用文章的。但是好久过去了,好多的东西已经记得不是很清楚。所以这里尽可能写一篇详细点的文章来做一下记录。我们来参考这里:https://secure.php.net/manual/zh/language.oop5.magic.php我们根据官方文档中的解释,一个一个来进行测试。__cons...
PHP反序列化&魔术方法
weixin_54882883的博客
06-17 1034
php反序列化
php魔术方法(三)类的序列化反序列化
qingwazange的博客
07-12 735
上回说了,在PHP中,对于不存在方法和属性的操作。下面介绍另外一个特性。在魔术方法中,有个__sleep() 和 __weekup()。 __sleep() 当我们对类进行序列化操作的时候,serialize()函数会检查类中有没有__sleep()这个魔术方法,如果存在,则会优先调用这个方法。这时候,我们可以当前对象中想被序列化的变量名称组成的数组,利用这个方法返回。 __wakeup() _
反序列化魔术方法的浅学习
quan9i的博客
05-13 3340
前言 学习反序列化,那么就需要首先掌握魔术方法的使用,本篇文章将尽可能详细的讲解反序列化魔术方法,博主只是小白,如有问题还请各位师傅多多指点! 魔术方法 常见魔术方法有以下几种 __construct: 在创建对象时候初始化对象,一般用于对变量赋初值。 __destruct: 和构造函数相反,当对象所在函数调用完毕后执行。 __call:当调用对象中不存在的方法会自动调用该方法。 __get():获取对象不存在的属性时执行此函数。 __set():设置对象不存在的属性时执行此函数。 __toString
kh dksl.php,PHP序列化反序列化常用的魔术方法
weixin_36399446的博客
03-09 188
__wakeup() //使用unserialize时触发__sleep() //使用serialize时触发__destruct() //对象被销毁时触发__call() //在对象上下文中调用不可访问的方法时触发__callStatic() //在静态上下文中调用不可访问的方法时触发__get() //用于从不可访问的属性读取数据__set() //用于将数据写入不可访问的属性__isset(...
php序列化反序列化魔术方法怎么触发
最新发布
02-13
### PHP 序列化反序列化魔术方法 #### __sleep 方法触发机制 `__sleep()` 是 PHP 中的一个魔术方法,在对象被序列化之前自动调用。此方法可以返回一个数组,指定哪些属性应该被序列化。通过这种方式,开发人员可以选择只保存重要的数据成员,从而减少存储空间并提高安全性。 ```php <?php class Peak { public $name = "1stPeak"; public $sex = "man"; public $age = "18"; public function __sleep() { return ['age']; // 只序列化 age 属性 } } $a = new Peak; echo serialize($a); ?> ``` 上述代码只会序列化 `age` 属性[^2]。 #### __wakeup 方法触发机制 `__wakeup()` 魔术方法会在对象从字符串恢复成对象之后立即调用。该方法通常用于重新建立数据库连接、初始化资源或其他任何需要在反序列化完成后执行的任务。 ```php <?php class Test { public $sex; public $name; public $age; public function __wakeup(){ echo '当外部实体使用unserialize时会调用这里的wakeup()方法<br>'; $this->age = 556; // 设置默认年龄值 } } $person = new Test(); $person->name = 'spaceman'; $person->age = 21; $person->sex = '男'; $a = serialize($person); var_dump(unserialize($a)); ?> ``` 这段代码展示了如何利用 `__wakeup()` 来设置某些初始参数或打印调试信息[^5]。 #### 安全性和最佳实践 为了增强应用程序的安全性,建议: - 在 `__sleep()` 方法中仅包含必要的属性,避免暴露敏感信息。 - 利用 `__wakeup()` 进行验证和清理工作,确保对象处于有效状态。 这样做有助于防止潜在的安全漏洞,特别是在处理来自不可信源的数据时[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值