PHP的序列化和反序列化详情

序列化

序列化是指将php中的数据类型，转换成“可存储”或“可传输”的数据格式的过程，这个过程称为序列化。序列化后的结果为字符串类型，可以将其存储到文件或数据库中，也可以通过网络传输。PHP中提供了内置的序列化方法serialize。

serialize()函数

serialize函数将传入的变量序列化后返回一个字符串。对于传入的对象或对象数组，serialize函数将方法也一块进行序列化。在使用unserialize函数对数据进行反序列化时，PHP会自动调用对象的__wakeup方法，进行反序列化的初始化。

下面是一个简单的示例代码：

class User{  
    public $name;  
    public $email;  
}  

$user = new User;  
$user->name = "Molly";  
$user->email = "molly@example.com";  

$serialized_user = serialize($user);  
echo $serialized_user;       // 输出序列化后的字符串

序列化数组

当序列化的变量类型为数组时，可以序列化二维数组，但不可以序列化关联数组。数组的序列化格式为：

a:size:{key definition;value definition;(repeated per element)}

其中，size表示数组元素的数目，key definition表示为键值对中的key，value definition则为键值对中的value。下面是一个示例代码：

$arr = array('PHP', 'JavaScript', 'Python', 'Go');

$serialized_arr = serialize($arr);
echo $serialized_arr;     // 输出序列化后的字符串

反序列化

反序列化是指将序列化后的数据还原为原有的数据类型，这个过程称为反序列化。PHP提供了内置的反序列化方法unserialize。

unserialize()函数

unserialize函数反序列化字符串变量，将其还原为原有的数据类型。unserialize的返回值为反序列化后的变量值。

下面是一个示例代码：

class User{  
    public $name;  
    public $email;  
}  

$serialized_user = 'O:4:"User":2:{s:4:"name";s:5:"Molly";s:5:"email";s:16:"molly@example.com";}';  

$unserialized_user = unserialize($serialized_user);  
echo $unserialized_user->name;   // 输出：Molly

反序列化的安全问题

由于序列化后的信息是可读且可修改的，反序列化的过程可能存在一些安全问题。攻击者可以利用序列化字符串的弱点，构造恶意字符来对系统进行攻击，例如类似的反序列化攻击。

下面是一个示例代码，演示如何构造恶意代码字符串：

class User {  
    public $name;  
    public $email;  

    public function __destruct() {  
        echo "user destruct";  
    }  
}

$serialized_user = 'O:4:"User":2:{s:4:"name";s:5:"Molly";s:5:"email";s:16:"molly@example.com";}';  
$unserialized_user = unserialize($serialized_user);

$malicious_code = 'a:1:{i:0;O:4:"User":2:{s:4:"name";s:6:"hackme";s:5:"email";s:12:"hackme@hack.com";
s:8:"_SESSION";N;}}';
$unserialized_malicious_code = unserialize($malicious_code);

在上面的代码中，我们构造了一个User类，其中存在一个__destruct方法，如果通过反序列化调用此类，则会触发__destruct方法。刚才还演示了如何构造一个恶意字符，从而引起反序列化攻击。攻击者利用对象序列化的特性，将恶意输入序列化并在代码中反序列化执行，从而实现对系统的攻击。

避免反序列化攻击的方法

1. 序列化和反序列化的时候不要使用用户输入数据

如果输入数据源于用户，则不应该信任它。不同的引擎会有不同的处理方式，从而导致了不同的注入语句。

2. 与其他安全机制结合起来

你可以尝试使用其他的类似于PDO这样的数据库类，将序列化表达式转化为安全的查询。或者在序列化和反序列化的时候使用数据签名或加密功能进行保护。

3. 使用内部的序列化和反序列化类

虽然serialize和unserialize是php内置的序列化和反序列化方法，但是很多人都认为这两个方法存在漏洞。PHP中提供了内置的序列化SplObjectStorage类和SessionHandler类，这两个类的序列化方式比普通的类更加安全。

本站文章如无特殊说明，均为本站原创，如若转载，请注明出处：ＰＨＰ的序列化和反序列化详情 - Python技术站

ＰＨＰ的序列化和反序列化详情