1、什么是序列化

序列化说通俗点就是把一个对象变成可以传输的字符串。

1、举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过array序列化而来的。而反序列化就是把那串可以传输的字符串再变回对象。

<?php
//json序列化,json_encode(),json_decode()
$book=array("book1"=>"web安全","book2"=>"主机安全","book3"=>"操作系统");
$json=json_encode($book);
echo $json;
?>

输出结果:

{"book1":"web安全","book2":"主机安全","book3":"操作系统"}

我们将数组序列化成json格式的字串的目的就是为了方便传输。我们可以看见,这里json格式来保存数据主要是使用键值对的形式。

2、对象的序列化主要有两种用途:

1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;

2) 在网络上传送对象的字节序列。

在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的Session对象,当有 10万用户并发访问,就有可能出现10万个Session对象,内存可能吃不消,于是Web容器就会把一些seesion先序列化到硬盘中,等要用了,再把保存在硬盘中的对象还原到内存中。

当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在网络上传送。发送方需要把这个Java对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为Java对象。

2、php中将一个对象序列化

例:

<?php
/**
* Created by PhpStorm.
* User: zw
* Date: 2019/8/11
* Time: 15:20
*/
class ZW{
public $data;
private $pass;
public function __construct($data,$pass){
$this->data=$data;
$this->pass=$pass;
}
} $number=34;
$str='zwish';
$bool=true;
$null=NULL;
$arr=array('a'=>1,'b'=>2);
$zw=new ZW('qq',true); var_dump(serialize($number));
var_dump(serialize($str));
var_dump(serialize($bool));
var_dump(serialize($null));
var_dump(serialize($arr));
var_dump(serialize($zw)); ------------------------------- 输出结果: string(5) "i:34;"
string(12) "s:5:"zwish";"
string(4) "b:1;"
string(2) "N;"
string(30) "a:2:{s:1:"a";i:1;s:1:"b";i:2;}"
string(52) "O:2:"ZW":2:{s:4:"data";s:2:"qq";s:8:" ZW pass";b:1;}"

主要是函数serialize(),在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。 函数原型如下:

string serialize ( mixed $value )

序列化对于不同类型得到的字符串格式为:

  • String: s:size:value;
  • Integer: i:value;
  • Boolean: b:value;(保存1或0)
  • Null: N;
  • Array: a:size:{key definition;value definition;(repeated per element)}
  • Object: O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)}

(1)从上面的例子中我们可以看出序列化对象的时候,只会保存属性值。

  • 那么对象中的常量、方法会不会保存呢?
  • 如果是继承,父类的变量会不会保存呢?
<?php
/**
* Created by PhpStorm.
* User: zw
* Date: 2019/8/11
* Time: 15:20
*/
class ZZ{
public $a='awe';
}
class ZW extends ZZ {
public $data;
private $pass;
const age=19;
public function __construct($data,$pass){
$this->data=$data;
$this->pass=$pass;
}
}
$zw=new ZW('qq',true);
var_dump(serialize($zw)); 输出结果: string(70) "O:2:"ZW":3:{s:4:"data";s:2:"qq";s:8:" ZW pass";b:1;s:1:"a";s:3:"awe";}"

如上,常量age并没有被序列化,父类中的变量a被保存

序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。所以对象A和对象B序列化后并没有什么区别。

(2)对象序列化自定义

在序列化对象时,对于对象中的一些敏感属性,我们不需要保存,则需要进行序列化的筛选

当调用serialize()函数序列化对象时,该函数会检查类中是否存在一个魔术方法__sleep()。如果存在,该方法会

被先调用,然后才执行序列化操作。通过重载这个方法,从而自定义序列化行为

该方法原型如下:

public array __sleep ( void )
  • 该方法返回一个包含对象中所有应被序列化的变量名称的数组
  • 该方法未返回任何内容,则 NULL 被序列化,并产生一个E_NOTICE级别的错误
  • __sleep()不能返回父类的私有成员的名字。这样做会产生一个E_NOTICE级别的错误。这时只能用Serializable接口来替代。
  • 常用于保存那些大对象时的清理工作,避免保存过多冗余数据

例:

class User{
const SITE = 'uusama'; public $username;
public $nickname;
private $password; public function __construct($username, $nickname, $password)
{
$this->username = $username;
$this->nickname = $nickname;
$this->password = $password;
} // 重载序列化调用的方法
public function __sleep()
{
// 返回需要序列化的变量名,过滤掉password变量
return array('username', 'nickname');
}
}
$user = new User('uusama', 'uu', '123456');
var_dump(serialize($user)); 结果如下:
string(67) "O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}"

所以序列化的时候忽略了password字段

(3)序列化对象存储

通过上面的介绍,我们可以把一个复制的对象或者数据序列化成一个序列字符串,保存值的同事还保存了他们的结构。

我们可以把序列化之后的值保存起来,存在文件或者缓存里面。不推荐存在数据库里面,可读性查,而且不便于迁移维护,不便于查询。

$user = new User('uusama', 'uu', '123456');
$ser = serialize($user);
// 保存在本地
file_put_contents('user.ser', $ser);

3、反序列化

(1)

通过上面的讲解,我们可以将对象序列化为字符串并保存起来,那么如何把这些序列化后的字符串恢复成原样呢?PHP提供了反序列函数:

mixed unserialize ( string $str )

unserialize()反序列化函数用于将单一的已序列化的变量转换回 PHP 的值。

  • 如果传递的字符串不可解序列化,则返回 FALSE,并产生一个E_NOTICE
  • 返回的是转换之后的值,可为integer``floatstringarrayobject
  • 若被反序列化的变量是一个对象,在成功重新构造对象之后,PHP会自动地试图去调用__wakeup()成员函数(如果存在的话)

在反序列化unserialize时,会检查是否存在__wakeup方法,如果存在,则会调用__wakeup方法,预先准备对象数据。 __wakeup 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。

例:

class user {
public $name;
public $id; function __construct() { // 给id成员赋一个uniq id
$this->id = 123;
} function __sleep() { //此处不串行化id成员
return(array('name'));
} function __wakeup() {
$this->id = 456;
}
} $u = new user();
$u->name = "Leo";
$s = serialize($u); //serialize串行化对象u,此处不串行化id属性,id值被抛弃
$u2 = unserialize($s); //unserialize反串行化,id值被重新赋值 print_r($u);//var_dump($u)
print_r($u2);//var_dump($u2)

(2)未定义类的处理

在上面的例子中,我们在调用反序列化函数unserialize()之前,提前定义了User类,如果我们没有定义会怎么样呢?

$user_ser = 'O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}';
var_dump(unserialize($user_ser));

这个例子中,我们没有定义任何的User类,反序列化正常执行,并没有报错,得到的结果如下:

object(__PHP_Incomplete_Class)#1 (3) {
["__PHP_Incomplete_Class_Name"]=>
string(4) "User"
["username"]=>
string(6) "uusama"
["nickname"]=>
string(2) "uu"
}

注意对比之前定义了User类的结果,这儿反序列化得到的对象是__PHP_Incomplete_Class,并指定了未定义类的类名。

如果这个时候我们去使用这个反序列化后的不明对象,则会抛出E_NOTICE。这么看着不能用也不是办法,那么如何处理呢?有两种方案。

  • 定义__autoload()等函数,指定发现未定义类时加载类的定义文件
  • 可通过 php.ini、ini_set() 或 .htaccess 定义unserialize_callback_func。每次实例化一个未定义类时它都会被调用

以上两种方案的实现如下:

// unserialize_callback_func 从 PHP 4.2.0 起可用
ini_set('unserialize_callback_func', 'mycallback'); // 设置您的回调函数
function mycallback($classname)
{
// 只需包含含有类定义的文件
// $classname 指出需要的是哪一个类
} // 建议使用下面的函数,代替__autoload()
spl_autoload_register(function ($class_name) {
// 动态加载未定义类的定义文件
require_once $class_name . '.php';
});

注:

这里有个小知识点:如果类里有私有属性,则序列化时会在其属性名两侧加空字节,但显示的时候并不会显示出来;并且在反序列时,如果有私有属性,我们在构造数据时就要给它将上空字节,否则反序列化就会失败。

例:

//序列化
<?php
class test{
private $flag="flag{zwish}";
public $name="zw";
static $a="19";
}
//序列化serialize
$test=new test();
$data=serialize($test);
echo $data;
//O:4:"test":2:{s:10:"testflag";s:11:"flag{zwish}";s:4:"name";s:2:"zw";}
//这里的testflag就是私有属性,所以它的长度明明是8,但显示的是10
?> //反序列化
<?php
//反序列化unserialize()
$str='O:4:"test":2:{s:10:" testflag ";s:11:"flag{zwish}";s:4:"name";s:2:"zw";}';
//注意这里因为有一个flag(private属性),序列化时会在其两端加上两个空字符,所以反序列化时需要给它也补上两个,否则会反序列出错(我就是在这被坑了)
var_dump(unserialize($str));
?>

4、PHP预定义序列化接口Serializable

还记得上面在将序列化过程中遇到的:无法在__sleep()方法中返回父类对象的问题吗,方法就是实现序列化接口Serializable

该接口的原型如下:

Serializable {
abstract public string serialize ( void )
abstract public mixed unserialize ( string $serialized )
}

需要注意的是,如果定义的类实现了Serializable接口,那么序列化和反序列化的时候,PHP就不会再去调用__sleep()方法和__wakeup()方法。

class CB implements Serializable{
public $CB_data = '';
private $CB_password = 'ttt'; public function setCBPassword($password)
{
$this->CB_password = $password;
} public function serialize()
{
echo __METHOD__ . "\n";
return serialize($this->CB_password);
} public function unserialize($serialized)
{
echo __METHOD__ . "\n";
}
} class CC extends CB {
const SECOND = 60; public $data;
private $pass; public function __construct($data, $pass)
{
$this->data = $data;
$this->pass = $pass;
} public function __sleep()
{
// 输出调用了该方法名
echo __METHOD__ . "\n";
} public function __wakeup()
{
// 输出调用了该方法名
echo __METHOD__ . "\n";
}
}
$cc = new CC('uu', true);
$ser = serialize($cc);
var_dump($ser);
$un_cc = unserialize($ser);
var_dump($un_cc);

运行结果为:

CB::serialize
string(24) "C:2:"CC":10:{s:3:"ttt";}"
CB::unserialize
object(CC)#2 (4) {
["data"]=>
NULL
["pass":"CC":private]=>
NULL
["CB_data"]=>
string(0) ""
["CB_password":"CB":private]=>
string(3) "ttt"
}

可以完全定义serialize()方法,该方法返回的值就是序列化后大括号内的值,只要保证自定义序列化和反序列化的规则一致即可。

5、常见魔术方法

__construct()//创建对象时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__invoke() //当脚本尝试将对象调用为函数时触发

__sleep()

serialize() 函数会检查类中是否存在一个魔术方法 __sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容,则 NULL 被序列化,并产生一个 E_NOTICE 级别的错误。

对象被序列化之前触发,返回需要被序列化存储的成员属性,删除不必要的属性。

__wakeup()

unserialize() 会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup 方法,预先准备对象需要的资源。

预先准备对象资源,返回void,常用于反序列化操作中重新建立数据库连接或执行其他初始化操作。

实例:

__toString()

__toString() 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。此方法必须返回一个字符串,否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误。

<?php
class test{
public function __construct($ID, $sex, $age){
$this->ID = $ID;
$this->sex = $sex;
$this->age = $age;
$this->info = sprintf("ID: %s, age: %d, sex: %s", $this->ID, $this->sex, $this->age);
} public function __toString(){
return $this->info;
}
} $me = new test('zwish', 20, 'male');
echo '__toString:' . $me . '<br>';
?>

执行结果截图:

在ctf里最常遇到的是绕过__wakeup()方法,这里使用CVE-2016-7124漏洞,当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

6、总结

在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。

序列化和反序列化在PHP中用得不算多,在Java语言中用得比较多。其实你有没有发现,这种把一个对象或者数组的变量转化成字符串的方式,json也可以做到。

使用json来实现对象和字符串之间的转换,在PHP中显得更加直观和轻便。而且经过测试,使用json_encode()serialize()方法更加快速,大概快2~3倍。

在我看来,序列化和反序列化是一种传输抽象数据的思想。通过定义序列化和反序列化的规则,我们可以实现将PHP中的对象序列化成字节流,然后传输给别的语言或者系统使用,这在远程调用里面非常的方便。

php序列化和反序列化学习的更多相关文章

  1. PHP序列化与反序列化学习

    序列化与反序列化学习 把对象转换为字节序列的过程称为对象的序列化:把字节序列恢复为对象的过程称为对象的反序列化. <?php class UserInfo { public $name = &q ...

  2. java中的序列化和反序列化学习笔记

    须要序列化的Person类: package cn.itcast_07; import java.io.Serializable; /* * NotSerializableException:未序列化 ...

  3. Java序列化与反序列化学习(一)

    一.序列化与反序列化概述     当两个进程在进行远程通信时,彼此可以发送各种类型的数据.无论是何种类型的数据,都会以二进制序列的形式在网络上传送.发送方需要把这个Java对象转换为字节序列,才能在网 ...

  4. JAVA对象序列化和反序列化学习

    JAVA序列化就是将JAVA对象转化为字节序列的过程,而JAVA反序列化就是将字节序列转化为JAVA对象的过程. 这一过程是通过JAVA虚拟机独立完成,所以一个对象序列化后可以在任意时间和任意机器上反 ...

  5. C#序列化与反序列化学习笔记

    本笔记摘抄自:https://www.cnblogs.com/maitian-lf/p/3670570.html,记录一下学习过程以备后续查用. 序列化是把一个内存中的对象的信息转化成一个可以持久化保 ...

  6. Java序列化与反序列化学习(三):序列化机制与原理

    Java序列化算法透析 Serialization(序列化)是一种将对象以一连串的字节描述的过程:反序列化deserialization是一种将这些字节重建成一个对象的 过程.Java序列化API提供 ...

  7. Java序列化与反序列化学习(二):序列化接口说明

    一.序列化类实现Serializable接口 Serializable接口没有方法,更像是个标记.有了这个标记的Class就能被序列化机制处理. ObjectOutputStream只能对Serial ...

  8. WebAPI调用笔记 ASP.NET CORE 学习之自定义异常处理 MySQL数据库查询优化建议 .NET操作XML文件之泛型集合的序列化与反序列化 Asp.Net Core 轻松学-多线程之Task快速上手 Asp.Net Core 轻松学-多线程之Task(补充)

    WebAPI调用笔记   前言 即时通信项目中初次调用OA接口遇到了一些问题,因为本人从业后几乎一直做CS端项目,一个简单的WebAPI调用居然浪费了不少时间,特此记录. 接口描述 首先说明一下,基于 ...

  9. Java基础学习总结——Java对象的序列化和反序列化

    一.序列化和反序列化的概念 把对象转换为字节序列的过程称为对象的序列化. 把字节序列恢复为对象的过程称为对象的反序列化. 对象的序列化主要有两种用途: 1) 把对象的字节序列永久地保存到硬盘上,通常存 ...

随机推荐

  1. qt creator源码全方面分析(4-3)

    内外命名空间 QtCreator源码中,每一个子项目都有内外两层命名空间,一个是外部的,一个是内部的. 示例如下 namespace ExtensionSystem { namespace Inter ...

  2. 基本Linux命令(上)

           Linux的难点在于我们需要记忆大量的命令及参数.如有问题请批评指正,在下感激不尽.        Linux的命令都是在shell下使用的,也就是我们常说的终端(Terminal).包 ...

  3. 安装MySQL8(附详细图文)

    安装MySQL8(附详细图文) 删除mysql服务:mysqld -remove mysql 1.下载 mysql 8 下载地址:https://dev.mysql.com/downloads/mys ...

  4. Zabbix 添加vmware esxi监控

    1) Import the provided template. - TEMPLATE.VMWARE_ESXi_6.0_CIM.xml 2) Install Dependencies: # yum - ...

  5. 谈谈Spring中的BeanPostProcessor接口

    一.前言   这几天正在复习Spring的相关内容,在了解bean的生命周期的时候,发现其中涉及到一个特殊的接口--BeanPostProcessor接口.由于网上没有找到比较好的博客,所有最后花了好 ...

  6. 【csu oj 1542】线段树

    题目大意:给定一个合法的括号序列(只包含'(',')'),有q次操作,对每次操作改变一个位置的括号,求最左端的位置,使得改变这个位置上的括号以后,新序列合法(完全配对). 思路:对于合法的括号序列,如 ...

  7. Redis学习笔记(七) 数据库

    Redis 服务器将所有的数据库都保存在服务器状态redisServer结构的db数组中,db数组的每个项都是一个redisDB: struct redisServer{ //一个数组保存着服务器中的 ...

  8. .net core 3.1 在iis上的发布(踩坑)

    写这篇文章的目的是希望像我一样喜欢.net 的人在发布 core到 iis上时少走点弯路 网上找了些资料,其实实际操作比较简单,就是有几个坑很恶心 首先是你的服务器需要有core 的运行环境,安装前先 ...

  9. 2.5 Hello golang

    编写第一个hello golang 创建空文件hello.go,尝试执行 touch hello.go go run hello.go 产生如下报错 can't load package: packa ...

  10. ShoneSharp语言(S#)的设计和使用介绍系列(11)—“类”披炫服靓妆化成“表”

    ShoneSharp语言(S#)的设计和使用介绍 系列(11)—“类”披炫服靓妆化成“表” 作者:Shone 声明:原创文章欢迎转载,但请注明出处,https://www.cnblogs.com/Sh ...