php框架中的反序列化 PHP中unserialize() 反序列化之后得到的数组怎样获取里边的值
2023-10-07 04:00:46 | 我爱编程网
这个网站干什么的 什么是PHP反序列化靶机实战
在我们讲PHP反序列化的时候,基本都是围绕着serialize(),unserialize()这两个函数。那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过array序列化而来的。而反序列化就是把那串可以传输的字符串再变回对象。而反序列化则比较容易出现漏洞。这么序列化一下然后反序列化,为什么就能产生漏洞了呢?
这个时候,我们就要了解一下PHP里面的魔术方法了,魔法函数一般是以__开头,通常会因为某些条件而触发不用我们手动调用:
在研究反序列化漏洞的时候,如果服务器能够接收我们反序列化过的字符串、并且未经过滤的把其中的变量直接放进这些魔术方法里面的话,就容易造成很严重的漏洞了。
所以这个网站其实希望告诉大家这个反序列化的问题,并提供一些实战练习。
php为什么要序列化
序列化就是是将对象转换为容易传输的格式的过程,一般情况下转化为流文件,放入内存或者IO文件中。
例如,可以序列化一个对象,然后使用 HTTP 通过 Internet 在客户端和服务器之间传输该对象,或者和其它应用程序共享使用。反之,反序列化根据流重新构造对象。
PHP序列化:(推荐学习:PHP编程从入门到精通)
string serialize ( mixed $value )序列化是将变量或对象转换成字符串的过程。
在序列化时,系统会先调用__sleep()魔术方法,然后在里边对数据进行筛选,就像要出门挑选要带的衣服一样,默认是一个对象的全部属性,然后再调用serialize()函数就像这样:
<?php
class Animal{
public $name;
public $age;
public $height;
function __construct($name,$age,$heigh){
$this->name=$name;
$this->age=$age;
$this->height=$heigh;
}
function __sleep(){
$this->name="小白猫";
return ['name','age',];
}
function __wakeup(){
}
}
$cat=new Animal("小花猫",5,20);
var_dump(serialize($cat));
?>在上边的例子中最后输出序列化内容是这样:
序列化的过程与回调函数的关系:回调函数概念是一个函数的参数是另一个函数的返回值,而在序列化时,serialize()函数的参数就是__sleep()函数的返回值,所以序列化的过程就是一次回调函数的执行过程。
PHP中unserialize() 反序列化之后得到的数组怎样获取里边的值
<?php
header("Content-type: text/html; charset=utf-8");
$s='a:5:{i:206;a:2:{s:4:"name";s:6:"款式";i:3056;s:9:"蝙蝠衫";}i:207;a:2:{s:4:"name";s:6:"材质";i:3059;s:3:"棉";}i:208;a:2:{s:4:"name";s:6:"价格";i:3068;s:4:"0-99";}i:209;a:2:{s:4:"name";s:6:"袖长";i:3076;s:6:"长袖";}i:210;a:2:{s:4:"name";s:6:"风格";i:3088;s:6:"百搭";}}';
//序列化后的数组
$unserarr=unserialize($s);
$result=array();
foreach($unserarr as $k=>$v){
while (list($key, $val) = each($v)){ 我爱编程网
$result[$k]=array(
'name'=>$v['name'],
'value'=>$val
);
}
}
var_dump($result);
?>
//运行结果如下
以上就是关于php框架中的反序列化 PHP中unserialize() 反序列化之后得到的数组怎样获取里边的值的全部内容了,如果需要了解更多相关资讯敬请关注我爱编程网。
如何在pythonIDLEShell窗口中编写程序计算圆的周长?可以按照以下步骤在PythonIDLEShell窗口中编写计算圆周长的程序:打开PythonIDLEShell窗口。在窗口中输入以下代码:pythonCopycoderadius=float(input("请输入圆的半径:"))circumference=2*3.14159*radiuspr
python时间序列(2)时期(period)表示的是时间区间,比如数日、数月、数季、数年等。Period类所表示的就是这种数据类型,其构造函数需要用到一个字符串或整数,以及表11-4中的频率:这里,这个Period对象表示的是从2007年1月1日到2007年12月31日之间的整段时间。只需对Period对象加上或减去一个整数即可达到根据其频率进行位移的效果:如果两个Per
pythonxlwtexcel单元格边框,如何才能有如下的加黑边框borders = xlwt.Borders()borders.left = 1borders.right = 1borders.top = 1borders.bottom = 1borders.bottom_colour=0x3A style = xlwt.XFStyle()style.borders = border
python3怎么创建列表?Python3是一种流行的编程语言,您在一行开头看到的表示此行是您可以在Python3解释器中输入的命令。>>>您提供的代码在以开头的行上没有完整的语句,因此无法确定此代码的结果是什么。但是,如果代码是完整的,它可能会创建一个新的列表对象,并为其分配一些值。>>>list2=list2下面是如何使用Python3解
python3.5.3怎么运行程序方法如下:1、命令行运行:打开命令行终端。进入到包含用户的Python程序的目录。使用以下命令运行程序:python3.5program.py,program.py是用户的Python程序文件名。2、使用集成开发环境(IDE):安装一个Python集成开发环境,比如PyCharm、VisualStudioCode等。打开IDE并创建一个新的项目或
Python中如何添加注释任何语言都有注释一说,Python也有注释,如何添加呢?Python添加注释很简单,在文件开头加入一个#即可。如下图所示,因为前面有个#,代码并没有被执行再入下图所示,第二行代码加入了#,所以第一行代码被执行,第三行被执行,第二行没有被执行那么,我们为什么要在代码中添加注释呢?代码中的注释又没有被运行,看起来没有任何意义啊?首先,作为使用者,是
怎样用python编出乘法算式?print('\n'.join([''.join(['%sx%s=%-2s'%(y,x,x*y)foryinrange(1,x+1)])forxinrange(1,10)]))Python写出输入二个数,求这二个数的加、减、乘、除、取余、取整、幂的值并输?当你想要让用户输入两个数字,并计算它们的加法、减法、乘法、除法、取余、取整、幂运算的结果,可以
我的世界如何写代码以下是按要求改动的代码:编写代码以制作我的世界(Minecraft)模组是一项既有趣又有挑战性的任务。首先,你需要选择一个编程语言来编写Minecraft模组。目前,最常用的语言是Lua,因为Minecraft的开发者也使用它来编写游戏逻辑。如果你熟悉Python,也可以尝试使用Python编写模组,但Lua更为常见。一、获取Minecraft
-
php+hook+框架 android常见hook框架有哪些2023-09-13 13:02:53
-
vr项目开发框架php PHP有哪些流行的框架2023-09-21 21:18:47
-
C语言自定义函数如何返回数组(下) C语言自定义函数如何返回数组(上)2023-06-26 19:36:09
-
关于c语言的一些概述性问题 客评价谭浩强C语言书到底好不好2023-07-16 10:35:19
-
关于c语言的一些概述性问题 驳“C语言无用”论2023-07-16 10:26:24
-
c++的输入输出 c++的一些知识点2023-06-26 23:28:31