網安筆記 14 php反序列化及利用原理

2021-10-09 21:21:20 字數 416 閱讀 1733

php序列化就是將複雜的資料型別(比如說陣列,字典,或者乙個物件)轉換為字串,方便傳輸或者存庫等操作,並且之後還能後恢復成原來的資料型別的過程。這樣可以在不用這個資料的時候讓它占用盡可能少的空間。

要注意的是,序列化只是對他的變數進行序列化,類中的函式是不會參與進來的。

php序列化與反序列化的函式

serialize()

用於序列化物件或陣列,並返回乙個字串。序列化物件後,可以很方便的將它傳遞給其他需要它的地方,且其型別和結構不會改變。

unserialize()

可以將serialize序列化複雜資料型別後得到的字串型別的資料重新轉換成原來複雜的資料型別。

舉個栗子

<?php

class

PHP反序列化漏洞(什麼是反序列化漏洞及操作)

一.在理解這個漏洞前,你需要先搞清楚php中serialize unserialize 這兩個函式。序列化serialize 序列化說通俗點就是把乙個物件變成可以傳輸的字串,比如下面是乙個物件 class s s n ews 建立乙個 物件se rial ize s new s 建立乙個物件 ser...

php 序列化和反序列化的作用及使用

序列化就是把本來不能直接儲存的資料轉換成可儲存的資料,並且不會丟掉資料格式 serialize 其實就是字面的意思,把序列化的資料,轉換成我們需要的格式 unserialize 例如 sites array google ser runoob 1111 facebook 333 序列化 serial...

php 序列化和反序列化的作用及使用

1.序列化是什麼意思呢?序列化就是把本來不能直接儲存的資料轉換成可儲存的資料,並且不會丟掉資料格式 serialize 2.反序列化是什麼意思呢?其實就是字面的意思,把序列化的資料,轉換成我們需要的格式 unserialize 如下 sites array google ser runoob 111...