php魔术方法(三)类的序列化和反序列化

最新推荐文章于 2025-04-14 19:45:13 发布
最新推荐文章于 2025-04-14 19:45:13 发布
阅读量729 收藏
点赞数
分类专栏: php 文章标签: php class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingwazange/article/details/75041274
版权 
上回说了,在PHP中,对于不存在方法和属性的操作。下面介绍另外一个特性。在魔术方法中,有个__sleep() 和 __weekup()。
__sleep()  当我们对类进行序列化操作的时候,serialize()函数会检查类中有没有__sleep()这个魔术方法,如果存在,则会优先调用这个方法。这时候,我们可以当前对象中想被序列化的变量名称组成的数组,利用这个方法返回。
__wakeup() 与__sleep相反,在unserialize()的时候,就会先查看这个方法是否存在。
需要注意的是,sleep的时候,不能返回父类中私有成员的名称。
让我们看一个例子:

class Connection 
{
    protected $link;
    private $server, $username, $password, $db;

    public function __construct($server, $username, $password, $db)
    {
        $this->server = $server;
        $this->username = $username;
        $this->password = $password;
        $this->db = $db;
        $this->connect();
    }

    private function connect()
    {
        $this->link = mysql_connect($this->server, $this->username, $this->password);
        mysql_select_db($this->db, $this->link);
    }

    public function __sleep()
    {
        return array('server', 'username', 'password', 'db');
    }

    public function __wakeup()
    {
        $this->connect();
    }
}
现在当我们序列化这个类的时候,我们连接数据库的信息就会被保存起来,而当我们反序列化的时候,数据库通过wakeup连接成功。
PHP反序列化总结4--原生总结
m0_66458291的博客
01-14 969
PHP 原生指的是 PHP 内置的,它们可以直接在 PHP 代码中使用且无需安装或导入任何库,相当于代码中的内置方法例如echo ,print等等可以直接调用,但是原生就是可以就直接php中直接创建的,我们可以直接调用创建对象,但是这些中有的会有魔术方法,为此,我们可以创建原生去利用其中的魔术方法来达到我们反序列化的利用。
深入解析PHP中SESSION反序列化机制
10-20
例如,如果使用了`__wakeup()`魔术方法,在反序列化对象时,该方法会被自动调用。如果`__wakeup()`方法被用于执行恶意代码,这将构成一个安全风险。因此,开发者需要确保此方法不会被恶意利用。 ```php class ...
PHP序列化反序列化魔术方法(__sleep__wakeup)
m0_49762339的博客
01-28 841
魔术方法:__sleep、__wakeup 在学习序列化反序列化时,会遇到__sleep__wakeup两个函数。 这两个函数的执行时机与其命名有相当有趣的联系: sleep是睡觉,开发人员把序列化(serialize)看作是一个进入了梦乡,因此在这之前就要执行__sleep函数; wakeup是起床,对应的把反序列化(unserialize)看作是一个被唤醒了,因此在这之前就要执行__wakeup函数。 总结一下:__sleep在serialize前执行;__wakeup在unserialize前
反序列化魔法方法
爱党人士
08-14 682
反序列化魔法方法 php反序列化漏洞又称对象注入,可能会导致远程代码执行(RCE) 概念 数据持久化 将一个变量的数据转化为字符串,注意!这并不是型转化,而是将字符串储存在本地,相反的行为称为反序列化。 目的 序列化反序列化的目的是使得程序间传输对象更加方便。 对象<>class 简单点说,序列化就是将内存变为文件(可保存下来的东西)。 反序列化就是文件变成内存。 常见函...
PHP反序列化
最新发布
ALe0721的博客
04-14 882
PHP 里,序列化是把一个对象或数组转换成字符串的过程(比如保存到文件或传输到网络),而反序列化就是把这个字符串还原成原来的变量(对象/数组)。// 序列化// 反序列化Phar(PHP Archive)是一种压缩包格式,允许 PHP 把一堆文件打包成一个.phar文件,像.zip一样可以解压,也可以当成普通文件一样 include、访问。Phar 归档中可以携带元数据(metadata),这个 metadata 是以 PHP 序列化格式保存。
PHP魔术方法序列化反序列化技术
username_lx的博客
07-02 573
目前理解觉得序列化就是用来保存数据的,将对象或变量以字符串形式保存。反序列化无非就是序列化转化成原来的变量或对象。 1.序列化:   定义:就是将一个变量所代表的“内存”数据,转换为“字符串”形式并持久保存在硬盘中。    1.1普通变量的序列化 如:$v1 = 123;//这个变量代表内存空间的一段数据   $s1 = serialize($v1);//用serialize()方法将任
PHP反序列化+魔法函数__string+绕过扩展名
小龙在线
10-14 742
php源码 <?php highlight_file(__FILE__); class OhYouFindIt{ public $content = "Hello Hacker.<br>"; function __destruct(){ echo $this->content; } } class writeshell{ public $filename; public $content; function __toSt
PHP反序列化魔术方法
东方
09-18 1760
文章目录概念相关函数 概念 概念开发一样 相关函数 这两个函数是特征之一; 序列化的含义: o 是对象(数组反序列化的话 是 a) 4 是对象长度, 之后名字, 2 是变量个数, s代表字符串, 3 代表个数,后面 也是 一样的。 反序列化过程中 ,可控点只有变量,函数 不可控。 局限性在于 其中的 function 函数。函数没有危害性的话 漏洞也没有,或者xss之...
详解PHP序列化反序列化原理
10-18
PHP中的魔术方法__sleep__wakeup是与序列化反序列化相关的特殊方法。__sleep方法在对象被序列化前调用,可以返回一个数组,数组中包含需要被序列化的属性名,其他属性则会被忽略。__wakeup方法在对象被反序列化...
序列化一个_php序列化脚本_
09-30
这个过程将对象的状态(包括它的属性方法)转化为字符串,以便于之后的反序列化,即恢复原始对象。在本文中,我们将探讨PHP中的序列化,以及如何自定义序列化过程。 ### PHP序列化基础 PHP内置的`serialize()`...
详解php反序列化
10-15
PHP反序列化PHP编程中的一个重要概念,它涉及到将PHP变量从一种状态转换成另一种状态,即从内存中的表示形式转换成能够在文件或数据库中持久保存的...了解利用这些魔术方法对于深入理解PHP反序列化机制至关重要。
PHP反序列化魔术方法
qq_60463414的博客
08-23 2744
php反序列化漏洞魔术方法
PHP对象序列化反序列化
荣耀之路
09-30 1963
PHP对象序列化反序列化
__serialize__unserialize魔术方法详解
yink12138的博客
01-05 1538
____serialize__unserialize魔术方法详解
反序列化漏洞-----(1) 什么是序列化反序列化魔法函数
Z_Grant的博客
11-11 1226
文章目录一、基础概念 一、基础概念 序列化反序列化是开发过程中不可或缺的一步,简单来说,序列化是将对象转换成字节流的过程,而反序列化的是将字节流恢复成对象的过程。两者的关系如下: 序列化: 将数据结构或对象转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程 目的 ①以某种存储形式使自定义对象持久化; ②将对象从一个地...
php 传递名,php 对象数组序列化 serialize()返回字符串方便存储传递 unserialize()反序列化 不丢失结构...
weixin_29023445的博客
03-10 173
现在开发中经常使用序列号反序列化技术手段,php开发中也大量使用到。如下几个知名系统都使用了大量的序列化技术ecshop2. phpcms内容管理系统3.laravel框架一、序列号的目的?方便数组对象的传输或存储,同时不丢失其结构如下是ecshop中对支付配置信息序列化serialize($pay_config)之后更新到数据库存储$pay_config=serialize($pa...
PHP 讓 json_encode() 指定回傳格式
自强不息
03-31 118
PHP 回傳 JSON 很方便, 只要將資料經過 json_encode() 就解決了. 不過因為 PHP 自動轉換型別, 造成很多資料都習慣存成字串, 希望在輸出 JSON 的時候, 數字部份可以輸出成數字, 該怎麼做呢? 另一個問題, PHP 轉換成 JSON, 部份陣列會被轉成对象(因為 JavaScript 陣列的 Key 必須是數字, 所以會轉成对象), 要全部強制轉成对...
PHP json_encode 的使用方法
hedeqiang
11-13 316
今天在进行接口加签的时候,发现一个问题,数据一直加签失败; 再查找一番原因后发现原来 json_encode 对反斜杠进行了转义,导致数据一直加签失败 解决办法如下: json_encode($value,JSON_UNESCAPED_SLASHES ); 这样就解决了反斜杠转义的问题。 仔细说明下...
PHP对象的魔术方法,PHP 对象 魔术方法
weixin_35781524的博客
03-09 161
header('content-type:text/html;charset=utf-8');/**__construct()构造方法*在对象初始化时自动调用*__destruct()析构方法*在对象释放资源时自动调用*__get()取值*在取私有属性值时自动调用*__set()设置值*在设置私有属性值自动调用*__isset()判断值*在使用isset()判断私有属性是否存在...
php序列化反序列化魔术方法怎么触发
02-13
### PHP 序列化反序列化魔术方法 #### __sleep 方法触发机制 `__sleep()` 是 PHP 中的一个魔术方法,在对象被序列化之前自动调用。此方法可以返回一个数组,指定哪些属性应该被序列化。通过这种方式,开发人员可以选择只保存重要的数据成员,从而减少存储空间并提高安全性。 ```php <?php class Peak { public $name = "1stPeak"; public $sex = "man"; public $age = "18"; public function __sleep() { return ['age']; // 只序列化 age 属性 } } $a = new Peak; echo serialize($a); ?> ``` 上述代码只会序列化 `age` 属性[^2]。 #### __wakeup 方法触发机制 `__wakeup()` 魔术方法会在对象从字符串恢复成对象之后立即调用。该方法通常用于重新建立数据库连接、初始化资源或其他任何需要在反序列化完成后执行的任务。 ```php <?php class Test { public $sex; public $name; public $age; public function __wakeup(){ echo '当外部实体使用unserialize时会调用这里的wakeup()方法<br>'; $this->age = 556; // 设置默认年龄值 } } $person = new Test(); $person->name = 'spaceman'; $person->age = 21; $person->sex = '男'; $a = serialize($person); var_dump(unserialize($a)); ?> ``` 这段代码展示了如何利用 `__wakeup()` 来设置某些初始参数或打印调试信息[^5]。 #### 安全性最佳实践 为了增强应用程序的安全性,建议: - 在 `__sleep()` 方法中仅包含必要的属性,避免暴露敏感信息。 - 利用 `__wakeup()` 进行验证清理工作,确保对象处于有效状态。 这样做有助于防止潜在的安全漏洞,特别是在处理来自不可信源的数据时[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值