① 到底什麼是php序列化
在PHP中,序列化用於存儲或傳遞 PHP 的值的過程中,同時不丟失其類型和結構。本文講述PHP序列化的四種方案,感興趣的可以了解一下
序列化是將變數轉換為可保存或傳輸的字元串的過程;反序列化就是在適當的時候把這個字元串再轉化成原來的變數使用。這兩個過程結合起來,可以輕松地存儲和傳輸數據,使程序更具維護性。
1、什麼是PHP序列化——serialize和unserialize函數
這兩個是序列化和反序列化PHP中數據的常用函數。
$a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut');
//序列化數組$s = serialize($a);echo $s;//輸出結果:a:3:{s:1:"a";s:5:"Apple";s:1:"b";s:6:"banana";s:1:"c";s:7:"Coconut";}
echo ''
;
//反序列化$o = unserialize($s);
print_r($o);
當數組值包含如雙引號、單引號或冒號等字元時,它們被反序列化後,可能會出現問題。為了克服這個問題,一個巧妙的技巧是使用base64_encode和base64_decode。
$obj = array();//序列化$s = base64_encode(serialize($obj)); //反序列化$original = unserialize(base64_decode($s));
但是base64編碼將增加字元串的長度。為了克服這個問題,可以和gzcompress一起使用。
//定義一個用來序列化對象的函數
function my_serialize( $obj ) { return base64_encode(gzcompress(serialize($obj))); }
//反序列化function my_unserialize($txt) { return unserialize(gzuncompress(base64_decode($txt))); }
2、什麼是PHP序列化——json_encode 和 json_decode
使用JSON格式序列化和反序列化是一個不錯的選擇:
使用json_encode和json_decode格式輸出要serialize和unserialize格式快得多。
JSON格式是可讀的。
JSON格式比serialize返回數據結果小。
JSON格式是開放的、可移植的。其他語言也可以使用它。
$a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut');
//序列化數組$s = json_encode($a);echo $s;//輸出結果:{"a":"Apple","b":"banana","c":"Coconut"}
echo '
;
//反序列化$o = json_decode($s);
在上面的例子中,json_encode輸出長度比上個例子中serialize輸出長度顯然要短。[page]
3、什麼是PHP序列化——var_export 和 eval
var_export 函數把變數作為一個字元串輸出;eval把字元串當成PHP代碼來執行,反序列化得到最初變數的內容。
$a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut');
//序列化數組$s = var_export($a , true);echo $s;//輸出結果: array ( 'a' => 'Apple', 'b' => 'banana', 'c' => 'Coconut', )
echo '
';
//反序列化eval('$my_var=' . $s . ';');
print_r($my_var);
4、什麼是PHP序列化——wddx_serialize_value 和 wddx deserialize
wddx_serialize_value函數可以序列化數組變數,並以XML字元串形式輸出。
$a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut');
//序列化數組$s = wddx_serialize_value($a);echo $s;
//輸出結果(查看輸出字元串的源碼): ApplebananaCoconut
echo '
';
//反序列化$o = wddx_deserialize($s);
print_r($o);//輸出結果:Array ( [a] => Apple [b] => banana 1 => Coconut )
可以看出,XML標簽字元較多,導致這種格式的序列化還是佔了很多空間。
結論
上述所有的函數在序列化數組變數時都能正常執行,但運用到對象就不同了。例如json_encode序列化對象就會失敗。反序列化對象時,unserialize和eval將有不同的效果。
本篇《什麼是PHP序列化?這個知識點才是你應該了解到的用》到這里就已經結束了,小編一直認為,某一個編程軟體受歡迎是有一定原因的,首先吸引人的一定是其功能,環球網校的小編祝您PHP學習之路順利,如果你還想知道更多php知識,也可以點擊本站的其他文章進行學習。
② php資料庫數組反序列化取指定內容
$str='a:2:{i:0;b:0;s:8:"bankinfo";a:1:{i:1;a:2{s:6:"bankid";i:1;s:7:"cardnum";s:4:"adda";}}}';
$res=unserialize($str);
echo$res['bankinfo'][1]['cardnum'];這個數組整個結構是
Array(
[0]=>false
[bankinfo]=>Array(
[1]=>Array(
[bankid]=>1
[cardnum]=>adda
)
)
)
③ 這個網站干什麼的 什麼是PHP反序列化靶機實戰
在我們講PHP反序列化的時候,基本都是圍繞著serialize(),unserialize()這兩個函數。那麼什麼是序列化呢,序列化說通俗點就是把一個對象變成可以傳輸的字元串。舉個例子,不知道大家知不知道json格式,這就是一種序列化,有可能就是通過array序列化而來的。而反序列化就是把那串可以傳輸的字元串再變回對象。而反序列化則比較容易出現漏洞。
這么序列化一下然後反序列化,為什麼就能產生漏洞了呢?
這個時候,我們就要了解一下PHP裡面的魔術方法了,魔法函數一般是以__開頭,通常會因為某些條件而觸發不用我們手動調用:
在研究反序列化漏洞的時候,如果伺服器能夠接收我們反序列化過的字元串、並且未經過濾的把其中的變數直接放進這些魔術方法裡面的話,就容易造成很嚴重的漏洞了。
所以這個網站其實希望告訴大家這個反序列化的問題,並提供一些實戰練習。
④ JSON PHP中,Json字元串反序列化成對象/數組的方法
如下所示:
<?php
//php反編碼解析json信息
//json_decode(json字元串);
$city
=
array('shandong'=>'jinan','henan'=>'zhengzhou','hebei'=>'shijiazhuang');
$jn_city
=
json_encode($city);
//反編碼json
$fan_city
=
json_decode($jn_city,false);//第二個參數false則返回object類型,false可以默認不寫
var_mp($fan_city);//object(stdClass)#1
(3)
{
["shandong"]=>
string(5)
"jinan"
["henan"]=>
string(9)
"zhengzhou"
["hebei"]=>
string(12)
"shijiazhuang"
}
echo
"<br
/>";
$fan_city
=
json_decode($jn_city,true);//第二個參數true則返回array類型
var_mp($fan_city);//array(3)
{
["shandong"]=>
string(5)
"jinan"
["henan"]=>
string(9)
"zhengzhou"
["hebei"]=>
string(12)
"shijiazhuang"
}
手動寫的JSON字元串一定要用單引號才能成功反序列化成對象/數組:
<?php
//json信息反編碼
//不同php版本,對「純json字元串」解析存在問題
//使用雙引號定義的json字元串反編碼操作變為null
//$jn
=
"{'name':'tom','age':'20','addr':'beijing'}";
//$fan_jn
=
json_decode($jn,true);
//var_mp($fan_jn);//NULL
//使用單引號定義的json字元串反編碼操作會成功
$jn
=
'{"name":"tom","age":"20","addr":"beijing"}';
$fan_jn
=
json_decode($jn,true);
var_mp($fan_jn);
以上這篇JSON
PHP中,Json字元串反序列化成對象/數組的方法就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支持腳本之家。
您可能感興趣的文章:C#實現JSON字元串序列化與反序列化的方法jquery序列化form表單使用ajax提交後處理返回的json數據js解析與序列化json數據(二)序列化探討Json序列化和反序列化方法解析Jquery
組合form元素為json格式,asp.net反序列化jQuery實現form表單元素序列化為json對象的方法淺析JSON序列化與反序列化JS實現json的序列化和反序列化功能示例js解析與序列化json數據(三)json的解析探討JavaScript實現的反序列化json字元串操作示例
⑤ 請寫出php變數序列化和反序列化的函數,並舉出1個應用例子
PHP中的序列化和反序列化分別通過函數serialize()和unserialize()即可實現。serialize()的參數可以是resource類型外的所有變數類型,最常見的是用來序列化對象,unseialize()將serialize的返回結果作為參數,進行反序列化,得到原對象。$str = serialize ($obj);...$obj222 = unserialize($str);現在可以用$object222對象來執行該對象可以執行的各種操作。在用serialize序列化對象時,會自動調用__sleep方法,__sleep方法必須返回一個數組,包含需要串列化的屬性。 PHP會拋棄其它屬性的值, 如果沒有__sleep方法,PHP將保存所有屬性,包括private屬性。用unserialize反序列化對象時,PHP 會調用__wakeup方法。__sleep和__wakeup方法可以根據實際需要,都添加上,也可以只要其中的一個,當然也可以都不要。下面給出一個序列化的代碼:共serialize.php和unserialize.php兩個文件。// serialize.php<?php
class User
{
private $name;
private $id;
public $sex="F";
function __construct()
{
//give user a unique ID 賦予一個不同的ID
$this->id = uniqid();
}
function __sleep()
{
//do not serialize this->id 不串列化id
return(array("name","sex"));
}
function __wakeup()
{
//give user a unique ID
$this->id = uniqid();
}
function p(){
echo "in function p() \t";
return $this->name;
}
function setname($name){
$this->name = $name;
}
} //create object 建立一個對象
$u = new User;
$u->setname("pphu");
//serialize it 串列化
$s = serialize($u);
echo "in serialize.php <br/>";
print_r($s);
echo "<br/>";
print_r($u);
echo "<br/><br/>";
?> //// unserialize.php<?php
include('serialize.php');
//global $s;
$u2 = unserialize($s);
echo "in unserialize.php<br/>";
echo $u2->p()."<br/>";
echo $u2->sex."<br/>";
print_r($u2);
?>
⑥ php的序列化和反序列化有什麼好處
序列化是將變數轉換為可保存或傳輸的字元串的過程;反序列化就是在適當的時候把這個字元串再轉化成原來的變數使用。這兩個過程結合起來,可以輕松地存儲和傳輸數據,使程序更具維護性。
PHP中的序列化和反序列化分別通過函數serialize()和unserialize()即可實現。serialize()的參數可以是resource類型外的所有變數類型,最常見的是用來序列化對象,unseialize()將serialize的返回結果作為參數,進行反序列化,得到原對象。
在PHP中,序列化和反序列化很多地方都可以用到!~
例如:資料庫連接,序列化數組等等。
⑦ php 經過uft-8處理方式之後,反序列化仍然失敗
??UTF-8處理!不過是進行了一個正則替換而已,應該是規則寫的不完整,可以用在線正則工具測試一下
⑧ php數組反序列化失敗,求解!!!
unserialize()解序列化函數裡面要用實際長度!根據strlen返回的「實際長度」進行修改。
最後幾行,改為:
echo "<br/>";
echo "實際長度=".strlen("fwejfo 策劃送 fewf fewf ewfewf *%&5"); //輸出35
echo "<p>";
var_mp(unserialize('a:4:{s:1:"a";s:2:"aa";s:1:"b";i:20;s:1:"c";s:47:"測試ljfiewojfowjfo分為豐富32&*%*&%*%%875khuiehf";i:10;s:35:"fwejfo 策劃送 fewf fewf ewfewf *%&5";}'));
測試正確!
如果傳遞的字元串參數,解序列化失敗,則返回 FALSE。
⑨ php如何循環反序列化
1.構造HITCON類反序列化字元串,其中$method='login',$args數組』username』部分可用於構造SQL語句,進行SQL注入,'password』部分任意設置。
2.調用login()函數後,利用username構造聯合查詢,使查詢結果為SoFun類反序列化字元串,設置username構造聯合查詢,使查詢結果為SoFun類反序列化字元串,設置username構造聯合查詢,使查詢結果為SoFun類反序列化字元串,設置file=『flag.php』,需繞過__wakeup()函數。
3.繞過oadData()函數對反序列化字元串的驗證。
4.SoFun類 __destruct()函數調用後,包含flag.php文件,獲取flag,需繞過__wakeup()函數。
⑩ php的序列化和反序列化有什麼好處
序列化是將變數轉換為可保存或傳輸的字元串的過程;反序列化就是在適當的時候把這個字元串再轉化成原來的變數使用。這兩個過程結合起來,可以輕松地存儲和傳輸數據,使程序更具維護性。
PHP中的序列化和反序列化分別通過函數serialize()和unserialize()即可實現。serialize()的參數可以是resource類型外的所有變數類型,最常見的是用來序列化對象,unseialize()將serialize的返回結果作為參數,進行反序列化,得到原對象。
在PHP中,序列化和反序列化很多地方都可以用到!~
例如:資料庫連接,序列化數組等等。