php反序列化java_10、php反序列化

最新推荐文章于 2021-03-26 13:10:00 发布
最新推荐文章于 2021-03-26 13:10:00 发布
阅读量64 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php反序列化java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39637975/article/details/114620063
本文介绍了PHP中序列化和反序列化的概念及其应用场景,包括serialize和unserialize函数的作用,以及魔法方法如__sleep和__wakeup的功能,旨在解决跨脚本变量传递的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

10 反序列化

概念

序列化就是把对象转换成字节流,便于保存在内存、文件、数据库;反序列化即逆过程,由字节流还原成对象。php允许保存一个对象方便以后重用,这个过程被称为序列化。

为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。试想,如果为一个脚本中想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容释放掉了,我们要如何操作呢?难道要前一个脚本不断的循环,等待后面脚本调用?这肯定是不现实的。serialize和unserialize就是用来解决这一问题的。

serialize可以将对象转换为字符串并且在转换中可以保存当前对象的值;

840d53e6f99dab08177e5d29494bee7c.png

22c5f7ab71d6aa95871f3d1f022dcb95.png

unserialize则可以将serialize生成的字符串变换回对象。PHP中序列化用于存储或传递PHP值的过程中,同时不丢失其类型和结构。

cf9016d08b021c215eb6ed2995385797.png

1b8929b07c639f07facd38a2b76a1e06.png

magic函数__construct和__destruct会在对象创建或者销毁时自动调用;

__sleep:serialize() 函数会检查类中是否存在一个魔术方法    __sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容,则    NULL 被序列化,并产生一个 E_NOTICE 级别的错误。

__wakeup: unserialize() 会检查是否存在一个 __wakeup()方法。如果存在,则会先调用 __wakeup 方法,预先准备对象需要的资源。__wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。

__construct():当一个对象创建时被调用

__destruct():当一个对象销毁时被调用

__toString():当一个对象被当作一个字符串使用

实例1:文件删除

058728cd971deacf86d1eb9b5b117817.png

b311f0a803d4eb2b85ee917e9a39ae8a.png

攻击代码:

2a81fb8e90909c71dc9ac3dca2bd76c4.png

3c4341ce4df3dd0d284ed741dc8a3f00.png

实例2:文件读取

9d1d66dd3140923027396ffb3bbc3141.png

0947a1211a8711a449f3c9cf42dc0b82.png

链接一位大佬的文章:https://chybeta.github.io/2017/06/17/浅谈php反序列化漏洞/

java安全 反序列化(一)
sechelper的博客
12-07 394
java反序列化基础知识,漏洞成因,案例
带你了解Java序列化(Serializable)与反序列化
m0_75232472的博客
04-21 1025
其实我投简历的时候,都不太敢投递阿里。因为在阿里一面前已经过了字节的三次面试,投阿里的简历一直没被捞,所以以为简历就挂了。对比我的面经和其他大佬的面经,自己真的是运气好。别人8成实力,我可能8成运气。所以对我而言,我要继续加倍努力,弥补自己技术上的不足,以及与科班大佬们基础上的差距。希望自己能继续保持学习的热情,继续努力走下去。
10php反序列化
denie6587的博客
07-15 213
10 反序列化 概念 序列化就是把对象转换成字节流,便于保存内存文件数据库;反序列化过程,由字节流还原成对象php允许保存一个对象方便以后重用,这个过程被称为序列化。 为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。试想,如果为一个脚本中想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内...
JAVA 序列化
liyongshun82的博客
05-24 445
Java unserialize serialized Object(AnnotationInvocationHandler、ysoserial) In readObject() LeadTo TransformedMap Change LeadTo InvokerTransformer(Evil MethodName/Args) catalog 1. Java 序列化 2. Commons...
php反序列化漏洞复现
aobipi2343的博客
08-30 314
超适合小白的php反序列化漏洞复现 写在前头的话 在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下。我觉得学习的时候,所有的问题都应该问3个问题:what、why、how。what:什么是反序列化,why:为什么会出现反序列化漏洞,how:反序列化漏洞如何利用。 在这里我对反序列化的原理不做详细介绍,大家可以自行到网上搜索。在这...
序列化反序列化漏洞的简单理解
jameson_的专栏
06-28 2万+
1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
标题中的“WEB漏洞-反序列化PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHPJAVA平台上的反序列化漏洞。反序列化漏洞是由于程序在处理序列化数据时没有充分验证输入,从而允许攻击者构造...
Java安全漫谈 - 07.反序列化篇(1)1
08-03
这使得Java反序列化更加灵活,但也带来了安全风险,因为恶意用户可以通过构造特殊的序列化数据来触发意想不到的行为,比如执行任意代码。 PHP序列化反序列化则相对封闭,开发者无法直接修改序列化数据流,...
java反序列化利用工具
07-06
Java反序列化是一种将已序列化对象状态转换回对象过程,通常用于持久化数据或在网络间传输对象。在Java中,这一过程涉及到`java.io.ObjectInputStream`类,它能够读取由`java.io.ObjectOutputStream`写入的字节...
第37天:WEB漏洞-反序列化PHP&JAVA全解(上)1
08-03
WEB漏洞-反序列化PHP&JAVA全解(上) 在 WEB 应用程序中,反序列化是一种常见的漏洞,攻击者可以通过反序列化来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHPJAVA 中,反序列化漏洞尤其常见,本文将...
反序列化漏洞
tomyyyyy
03-26 512
反序列化 原理介绍 序列化就是把对象转换成字节流,便于保存内存文件数据库中;反序列化过程,由字节流还原成对象Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。比如你可以将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复。 漏洞成因 序列化...
PHP将二进制字节流转成中文字符串
嬴政
09-30 5491
最近在开发YII2中文验证码功能,需要一种成语的验证码,然后我用C++生成了一些成语,最终产生二进制文件,按GBK编码保存,一个汉字两字节。 最终是需要PHP读取二进制文件的,在读取二进制文件时碰到问题,需要将这种二进制转成字符串,然后在网上找了一些资料最终确定了以下方法是可行的。 $c = dirname(__FILE__)."/idiom.dat";//含有汉字的二进制文件
php 控制字节流_PHP 文件处理操作
weixin_42509293的博客
03-08 558
PHP 文件处理操作作者: 初生不惑 Java技术QQ群:227270512 / Linux QQ群:479429477PHP文件系统允许我们创建文件,逐行读取文件,逐个字符读取文件,写入文件,附加文件,删除文件和关闭文件PHP打开文件 - fopen()函数PHP fopen()函数用于打开文件。语法resource fopen ( string $filename , string $mod...
java序列化漏洞_Java反序列化漏洞研究
weixin_39917576的博客
02-16 119
漏洞原理java序列化就是把对象转换成字节流,便于保存内存文件数据库中;反序列化过程,由字节流还原成对象。当反序列化的输入来源于程序外部,可以被用户控制,恶意用户便可以构造恶意的字节流,经反序列化之后得到精心构造的恶意对象。也就是说一些java应用的数据在网络中传输,我们把里面的序列化数据抠出来,替换成我们的payload,应用程序接收之后把payload进行反序列化,构造的恶意功能(如...
php 控制字节流_php输出字节流(本节以音频播放为例)
weixin_33987275的博客
03-08 825
本教程是在ThinkPHP5.0中进行的,如用在其它程序中,作少量修改即可。/***以文件流输出音频文件*@authorSindsun*@date2018年10月27日22:32:17*@param$filePath文件地址*@param$param其它参数*@param$fun执行一个闭包函数第一个参数为外部参数*@outputfilestream*@ret...
[转]信息安全相关理论题(三)
热门推荐
Herry_Lee的专栏
02-18 20万+
21、静态分析是运行程序后进行调试? A、 对 B、 错 您的答案: 标准答案: B 22、安卓反编译后会出现$符号字节码表示是匿名内部类? A、 对 B、 错 您的答案: 标准答案: A 23、反编译安卓应用后,一般应该先查看哪一个smali文件的代码? A、 编译程序打开控制台 B、 打开匿名类smali文件 C、 打开加密解密smali文件 D、 ...
php 控制字节流_php 如何接受并转换http字节流
weixin_42543046的博客
03-08 732
我做一个php服务端, java客户端以http post方式,把文件流转换为字节流,再setEntity给我, java代码片段如下:HttpPost post = new HttpPost(postUrl);ByteArrayEntity entity = new ByteArrayEntity(outputStream.toByteArray());post.setEntity(entity...
一个专为IntelliJIDEA和AndroidStudio开发者设计的全能格式转换与数据辅助工具_支持JSON_XML_HTML格式化_MD5生成_QRCODE二维码生成_B.zip
08-17
一个专为IntelliJIDEA和AndroidStudio开发者设计的全能格式转换与数据辅助工具_支持JSON_XML_HTML格式化_MD5生成_QRCODE二维码生成_B.zip
基于 Python 机器学习的简易天气预报系统实现
最新发布
08-17
资源下载链接为: https://pan.quark.cn/s/46acb4885600 基于 Python 机器学习的简易天气预报系统实现(最新、最全版本!打开链接下载即可用!)
深入探讨Java反序列化及其Weblogic漏洞利用工具
Java反序列化漏洞是指在Java序列化反序列化过程中,由于Java对象序列化机制可能存在缺陷,导致攻击者能够构造恶意的序列化数据,使得应用程序在反序列化这些数据时执行任意代码,从而达到攻击目的。这一过程可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值