详解PHP序列化和反序列化原理的讲解
内容导读
收集整理的这篇技术教程文章主要介绍了详解PHP序列化和反序列化原理的讲解,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含5232字,纯文字阅读大概需要8分钟。
内容图文
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。0.前言
对象的序列化和反序列化作用就不再赘述,php中序列化的结果是一个php自定义的字符串格式,有点类似json.
我们在任何语言中设计对象的序列化和反序列化都需要解决几个问题
把某个对象序列化之后,序列化的结果有自描述的功能(从序列化的结果中知道这个对象的具体类型,
知道类型还不够,当然还需要知道这个类型所对应具体的值).
序列化时的权限控制,可以自定义序列化字段等,例如golang中的做的就非常方便.
时间性能问题:在某些性能敏感的场景下,对象序列化就不能拖后腿,例如:高性能服务(我经常使用protobuf来序列化).
空间性能问题:序列化之后的结果不能太长,比如内存中一个int对象,序列化之后数据长度变成了10倍int的长度,那这个序列化算法是有问题的.
本文仅仅从php代码角度来解释php中序列化和反序列化的过程.,记住一点序列化和反序列化操作的仅仅是对象的数据,这一点有面向对象开发经验的都应该容易理解.
1.序列化serialize和反序列化方法unserialize
php原生提供了对象序列化功能,不像c++ ……^_^. 用起来也非常简单,就两个接口.
class fobnn{ public $hack_id; private $hack_name; public function __construct($name,$id) { $this->hack_name = $name; $this->hack_id = $id; } public function print() { echo $this->hack_name.PHP_EOL; }}$obj = new fobnn('fobnn',1);$obj->print();$serializedstr = serialize($obj); //通过serialize接口序列化echo $serializedstr.PHP_EOL;;$toobj = unserialize($serializedstr);//通过unserialize反序列化$toobj->print();
fobnnO:5:"fobnn":2:{s:7:"hack_id";i:1;s:16:"fobnnhack_name";s:5:"fobnn";}fobnn
看到第二行的输出,这个字符串就是序列化的结果,这个结构其实很容读懂,可以发现是通过对象名称/成员名称来映射的,当然不同访问权限的成员序列化之后的标签名称略有不同.
根据我上面讲到的3个问题,那么我们可以来看看
1.自描述功能
O:5:"fobnn":2 其中o就表示了object类型,且类型名称为fobnn, 采用这种格式,后面的2表示了有2个成员对象.
关于成员对象,其实也是同一套子描述,这是一个递归的定义.
自描述的功能主要是通过字符串记录对象和成员的名称来实现.
2.性能问题
php序列化的时间性能本文就不分析了,详见后面,但序列化结果其实类似json/bson定义的协议,有协议头,协议头说明了类型,协议体则说明了类型所对应的值,并不会对序列化结果进行压缩.
2.反序列化中的魔术方法
对应上述说的第二个问题,其实php中也有解决方法,一种是通过魔术方法,第二种则是自定义序列化函数.先来介绍下魔术方法 __sleep和__wakeup
class fobnn{ public $hack_id; private $hack_name; public function __construct($name,$id) { $this->hack_name = $name; $this->hack_id = $id; } public function print() { echo $this->hack_name.PHP_EOL; } public function __sleep() { return array("hack_name"); } public function __wakeup() { $this->hack_name = 'haha'; }}$obj = new fobnn('fobnn',1);$obj->print();$serializedstr = serialize($obj);echo $serializedstr.PHP_EOL;;$toobj = unserialize($serializedstr);$toobj->print();
fobnnO:5:"fobnn":1:{s:16:"fobnnhack_name";s:5:"fobnn";}haha
在序列化之前会先调用__sleep返回的是一个需要序列化的成员名称数组,通过这样我们就可以控制需要序列化的数据,案例中我只返回了hack_name,可以看到结果中只序列化了hack_name成员.
在序列化完成之后,会跳用__wakeup 在这里我们可以做一些后续工作,例如重连数据库之类的.
3.自定义Serializable接口
interface Serializable {abstract public string serialize ( void )abstract public void unserialize ( string $serialized )}
通过这个接口我们可以自定义序列化和反序列化的行为,这个功能主要可以用来自定义我们的序列化格式.
class fobnn implements Serializable{ public $hack_id; private $hack_name; public function __construct($name,$id) { $this->hack_name = $name; $this->hack_id = $id; } public function print() { echo $this->hack_name.PHP_EOL; } public function __sleep() { return array('hack_name'); } public function __wakeup() { $this->hack_name = 'haha'; } public function serialize() { return json_encode(array('id' => $this->hack_id ,'name'=>$this->hack_name )); } public function unserialize($var) { $array = json_decode($var,true); $this->hack_name = $array['name']; $this->hack_id = $array['id']; }}$obj = new fobnn('fobnn',1);$obj->print();$serializedstr = serialize($obj);echo $serializedstr.PHP_EOL;;$toobj = unserialize($serializedstr);$toobj->print();
fobnnC:5:"fobnn":23:{{"id":1,"name":"fobnn"}}fobnn
当使用了自定义序列化接口之后,我们的魔术方法就没用了.
4.PHP动态类型和PHP反序列化
既然上文中提到的自描述功能,那么序列化结果中保存了对象的类型,且php是动态类型语言,那么我们就可以来做个简单的实验.
class fobnn{ public $hack_id; public $hack_name; public function __construct($name,$id) { $this->hack_name = $name; $this->hack_id = $id; } public function print() { var_dump($this->hack_name); }}$obj = new fobnn('fobnn',1);$obj->print();$serializedstr = serialize($obj);echo $serializedstr.PHP_EOL;;$toobj = unserialize($serializedstr);$toobj->print();$toobj2 = unserialize("O:5:"fobnn":2:{s:7:"hack_id";i:1;s:9:"hack_name";i:12345;}");$toobj2->print();
我们修改hack_name反序列化的结果为int类型, i:12345
string(5) "fobnn"O:5:"fobnn":2:{s:7:"hack_id";i:1;s:9:"hack_name";s:5:"fobnn";}string(5) "fobnn"int(12345)
可以发现,对象成功序列化回来了!并且可以正常工作!. 当然php的这种机制提供了灵活多变的语法,但也引入了安全风险. 后续继续分析php序列化和反序列化特性带来的安全问题.
以上就是我们整理的关于PHP序列化和反序列化原理的全部知识内容,感谢你对Gxl网的支持。
您可能感兴趣的文章:
基于 Swoole 的微信扫码登录功能实现代码的过程讲解
PHP7扩展开发之hello word实现方法的详解
PHP扩展开发之基于函数方式使用lib库的方法详解
以上就是详解PHP序列化和反序列化原理的讲解的详细内容,更多请关注Gxl网其它相关文章!
内容总结
以上是为您收集整理的详解PHP序列化和反序列化原理的讲解全部内容,希望文章能够帮你解决详解PHP序列化和反序列化原理的讲解所遇到的程序开发问题。 如果觉得技术教程内容还不错,欢迎将网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。