PHP序列化和反序列化深度剖析实例讲解
序列化
序列化格式
在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。
序列化函数原型如下:
string serialize ( mixed $value )
先看下面的例子:
class CC {
public $data;
private $pass;
public function __construct($data, $pass) {
$this->data = $data;
$this->pass = $pass;
}
}
$number = 34;
$str = 'uusama';
$bool = true;
$null = NULL;
$arr = array('a' => 1, 'b' => 2);
$cc = new CC('uu', true);
var_dump(serialize($number));
var_dump(serialize($str));
var_dump(serialize($bool));
var_dump(serialize($null));
var_dump(serialize($arr));
var_dump(serialize($cc));
输出结果为:
string(5) "i:34;"
string(13) "s:6:"uusama";"
string(4) "b:1;"
string(2) "N;"
string(30) "a:2:{s:1:"a";i:1;s:1:"b";i:2;}"
string(52) "O:2:"CC":2:{s:4:"data";s:2:"uu";s:8:" CC pass";b:1;}"
所以序列化对于不同类型得到的字符串格式为:
String: s:size:value;Integer: i:value;Boolean: b:value;(保存1或0)Null: N;Array: a:size:{key definition;value definition;(repeated per element)}Object: O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)}
序列化对象
从上面的例子中我们可以看出序列化对象的时候,只会保存属性值。
- 那么对象中的常量会不会保存呢?
- 如果是继承,父类的变量会不会保存呢
class CB {
public $CB_data = 'cb';
}
class CC extends CB {
const SECOND = 60;
public $data;
private $pass;
public function __construct($data, $pass) {
$this->data = $data;
$this->pass = $pass;
}
public function setPass($pass) {
$this->pass = $pass;
}
}
$cc = new CC('uu', true);
var_dump(serialize($cc));
输出结果为:
string(75) "O:2:"CC":3:{s:4:"data";s:2:"uu";s:8:" CC pass";b:1;s:7:"CB_data";s:2:"cb";}"
显然,序列化对象时,不会保存常量的值。对于父类中的变量,则会保留。
对象序列化自定义
在序列化对象的时候,对于对象中的一些敏感属性,我们不需要保存,这又该如何处理呢?
当调用serialize()函数序列化对象时,该函数会检查类中是否存在一个魔术方法__sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。可以通过重载这个方法,从而自定义序列化行为。该方法原型如下:
public array __sleep ( void )
该方法返回一个包含对象中所有应被序列化的变量名称的数组
- 该方法返回一个包含对象中所有应被序列化的变量名称的数组
- 该方法未返回任何内容,则 NULL 被序列化,并产生一个
E_NOTICE级别的错误 __sleep()不能返回父类的私有成员的名字。这样做会产生一个E_NOTICE级别的错误。这时只能用Serializable接口来替代。- 常用于保存那些大对象时的清理工作,避免保存过多冗余数据
看下面的例子:
class User{
const SITE = 'uusama';
public $username;
public $nickname;
private $password;
public function __construct($username, $nickname, $password)
{
$this->username = $username;
$this->nickname = $nickname;
$this->password = $password;
}
// 重载序列化调用的方法
public function __sleep()
{
// 返回需要序列化的变量名,过滤掉password变量
return array('username', 'nickname');
}
}
$user = new User('uusama', 'uu', '123456');
var_dump(serialize($user));
返回结果如下,显然序列化的时候忽略了 password 字段的值。
string(67) "O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}"
序列化对象存储
通过上面的介绍,我们可以把一个复制的对象或者数据序列化成一个序列字符串,保存值的同事还保存了他们的结构。
我们可以把序列化之后的值保存起来,存在文件或者缓存里面。不推荐存在数据库里面,可读性查,而且不便于迁移维护,不便于查询。
$user = new User('uusama', 'uu', '123456');
$ser = serialize($user);
// 保存在本地
file_put_contents('user.ser', $ser);
反序列化
使用方法
通过上面的讲解,我们可以将对象序列化为字符串并保存起来,那么如何把这些序列化后的字符串恢复成原样呢?PHP提供了反序列函数:
mixed unserialize ( string $str )
unserialize()反序列化函数用于将单一的已序列化的变量转换回 PHP 的值。
- 如果传递的字符串不可解序列化,则返回 FALSE,并产生一个
E_NOTICE - 返回的是转换之后的值,可为
integer、float、string、array或object - 若被反序列化的变量是一个对象,在成功重新构造对象之后,PHP会自动地试图去调用
__wakeup()成员函数(如果存在的话)
看下面的例子:
class User{
const SITE = 'uusama';
public $username;
public $nickname;
private $password;
private $order;
public function __construct($username, $nickname, $password)
{
$this->username = $username;
$this->nickname = $nickname;
$this->password = $password;
}
// 定义反序列化后调用的方法
public function __wakeup()
{
$this->password = $this->username;
}
}
$user_ser = 'O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}';
var_dump(unserialize($user_ser));
输出结果为:
object(User)#1 (4) {
["username"]=>
string(6) "uusama"
["nickname"]=>
string(2) "uu"
["password":"User":private]=>
string(6) "uusama"
["order":"User":private]=>
NULL
}
可以得出以下结论:
- __wakeup()函数在对象被构建以后执行,所以$this->username的值不为空
- 反序列化时,会尽量将变量值进行匹配并复制给序列化后的对象
未定义类的处理
在上面的例子中,我们在调用反序列化函数unserialize()之前,提前定义了User类,如果我们没有定义会怎么样呢?
$user_ser = 'O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}';
var_dump(unserialize($user_ser));
这个例子中,我们没有定义任何的User类,反序列化正常执行,并没有报错,得到的结果如下:
object(__PHP_Incomplete_Class)#1 (3) {
["__PHP_Incomplete_Class_Name"]=>
string(4) "User"
["username"]=>
string(6) "uusama"
["nickname"]=>
string(2) "uu"
}
注意对比之前定义了User类的结果,这儿反序列化得到的对象是__PHP_Incomplete_Class,并指定了未定义类的类名。
如果这个时候我们去使用这个反序列化后的不明对象,则会抛出E_NOTICE。这么看着不能用也不是办法,那么如何处理呢?有两种方案。
- 定义__autoload()等函数,指定发现未定义类时加载类的定义文件
- 可通过 php.ini、ini_set() 或 .htaccess 定义unserialize_callback_func。每次实例化一个未定义类时它都会被调用
以上两种方案的实现如下:
// unserialize_callback_func 从 PHP 4.2.0 起可用
ini_set('unserialize_callback_func', 'mycallback'); // 设置您的回调函数
function mycallback($classname)
{
// 只需包含含有类定义的文件
// $classname 指出需要的是哪一个类
}
// 建议使用下面的函数,代替__autoload()
spl_autoload_register(function ($class_name) {
// 动态加载未定义类的定义文件
require_once $class_name . '.php';
});
PHP预定义序列化接口Serializable
还记得上面在将序列化过程中遇到的:无法在__sleep()方法中返回父类对象的问题吗,方法就是实现序列化接口Serializable。
该接口的原型如下:
Serializable {
abstract public string serialize ( void )
abstract public mixed unserialize ( string $serialized )
}
需要注意的是,如果定义的类实现了Serializable接口,那么序列化和反序列化的时候,PHP就不会再去调用__sleep()方法和__wakeup()方法。
class CB implements Serializable{
public $CB_data = '';
private $CB_password = 'ttt';
public function setCBPassword($password)
{
$this->CB_password = $password;
}
public function serialize()
{
echo __METHOD__ . "\n";
return serialize($this->CB_password);
}
public function unserialize($serialized)
{
echo __METHOD__ . "\n";
}
}
class CC extends CB {
const SECOND = 60;
public $data;
private $pass;
public function __construct($data, $pass)
{
$this->data = $data;
$this->pass = $pass;
}
public function __sleep()
{
// 输出调用了该方法名
echo __METHOD__ . "\n";
}
public function __wakeup()
{
// 输出调用了该方法名
echo __METHOD__ . "\n";
}
}
$cc = new CC('uu', true);
$ser = serialize($cc);
var_dump($ser);
$un_cc = unserialize($ser);
var_dump($un_cc);
运行结果为:
CB::serialize
string(24) "C:2:"CC":10:{s:3:"ttt";}"
CB::unserialize
object(CC)#2 (4) {
["data"]=>
NULL
["pass":"CC":private]=>
NULL
["CB_data"]=>
string(0) ""
["CB_password":"CB":private]=>
string(3) "ttt"
}
可以完全定义serialize()方法,该方法返回的值就是序列化后大括号内的值,只要保证自定义序列化和反序列化的规则一致即可。
到此这篇关于PHP序列化和反序列化深度剖析实例讲解的文章就介绍到这了,更多相关PHP序列化和反序列化内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!
相关推荐
-
详解php反序列化
1 前言 最近也是在复习之前学过的内容,感觉对PHP反序列化的理解更加深了,所以在此总结一下 2 serialize()函数 "所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示.序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字." 一开始看这个概念可能有些懵,但之后也是慢慢理解了 在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件.数据库是"持久数据",因此PHP序列
-
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
1.漏洞产生的原因 #### 正常的反序列化语句是这样的 $a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"abcdef";}'; 但是如果写成这样 $b='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"123456";}
-
PHP常见的序列化与反序列化操作实例分析
本文实例讲述了PHP常见的序列化与反序列化操作.分享给大家供大家参考,具体如下: 1.概念 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 2.序列化例子 输入输出 $arr=array(); $arr['name']='张三'; $arr['age']='22'; $arr['sex']='男'; $arr['phone']='123456789'; $arr['address']='上海市浦东新区'; var_dump($arr); arra
-
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $_POST['password']) { $username = $_POST['username']; $password =
-
JSON PHP中,Json字符串反序列化成对象/数组的方法
如下所示: <?php //php反编码解析json信息 //json_decode(json字符串); $city = array('shandong'=>'jinan','henan'=>'zhengzhou','hebei'=>'shijiazhuang'); $jn_city = json_encode($city); //反编码json $fan_city = json_decode($jn_city,false);//第二个参数false则返回object类型,fals
-
详解PHP序列化和反序列化原理
0.前言 对象的序列化和反序列化作用就不再赘述,php中序列化的结果是一个php自定义的字符串格式,有点类似json. 我们在任何语言中设计对象的序列化和反序列化都需要解决几个问题 把某个对象序列化之后,序列化的结果有自描述的功能(从序列化的结果中知道这个对象的具体类型, 知道类型还不够,当然还需要知道这个类型所对应具体的值). 序列化时的权限控制,可以自定义序列化字段等,例如golang中的做的就非常方便. 时间性能问题:在某些性能敏感的场景下,对象序列化就不能拖后腿,例如:高性能服务(我经常
-
PHP序列化和反序列化深度剖析实例讲解
序列化 序列化格式 在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构. 序列化函数原型如下: string serialize ( mixed $value ) 先看下面的例子: class CC { public $data; private $pass; public function __construct($data, $pass) { $this->data = $data; $this->pass = $pass; } } $number = 34;
-
Python序列化与反序列化pickle用法实例
这篇文章主要介绍了Python序列化与反序列化pickle用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 要将Python对象作为一个文件的形式保存到磁盘,就叫序列化: 当我们需要用到这个这对象,再从磁盘加载这个对象,就叫反序列化 Python自带的pickle可以帮我们实现,pickle这个单词是咸菜的意思,咸菜耐储存,是不是很形象呀? 对象的存储分为两步: 1.将对象在内存中的数据抓取取来,转换成一个有序的文本,这一步就是序列化 2
-
C#序列化与反序列化(Serialize,Deserialize)实例详解
本文实例讲述了C#序列化与反序列化(Serialize,Deserialize)实现方法.分享给大家供大家参考.具体分析如下: 如果要保存运行程序过程的数据要么保存到数据库中,要么新建一个普通的文件,然后把数据保存进去.但是这两者有个缺点就是,不能把原有数据的结构也保存进去.比如一个类中的字段值保存进去后再读取出来必须再解析下才行.序列化技术让你省去了解析的过程.保存后再读取时直接得到一个class 序列化的方式有三种:BinaryFormatter,SoapFormatter,XmlSeria
-
.NET中XML序列化和反序列化常用类和属性小结
目录 序列化和反序列化是指什么? XmlSerializer类 .NET-XML序列化和反序列化简单示例代码 XmlTypeAttribute类 应用示例 XmlElementAttribute类 应用示例 XmlAttributeAttribute类 应用示例 XmlArrayAttribute类 应用示例 XmlTextAttribute类 应用示例 XmlIgnoreAttribute类 应用示例 用来控制XML序列化的属性汇总 参考文章 序列化和反序列化是指什么? 序列化(seriall
-
Java序列化与反序列化的实例分析讲解
序列化与反序列化 Java对象是有生命周期的,当生命周期结束它就会被回收,但是可以通过将其转换为字节序列永久保存下来或者通过网络传输给另一方. 把对象转换为字节序列的过程称为对象的序列化:把字节序列恢复为对象的过程称为对象的反序列化. Serializable接口 一个类实现java.io.Serializable接口就可以被序列化或者反序列化.实际上,Serializable接口中没有任何变量和方法,它只是一个标识.如果没有实现这个接口,在序列化或者反序列化时会抛出NotSerializabl
-
python模块之sys模块和序列化模块(实例讲解)
sys模块 sys模块是与python解释器交互的一个接口 sys.argv 命令行参数List,第一个元素是程序本身路径 sys.exit(n) 退出程序,正常退出时exit(0),错误退出sys.exit(1) sys.version 获取Python解释程序的版本信息 sys.path 返回模块的搜索路径,初始化时使用PYTHONPATH环境变量的值 sys.platform 返回操作系统平台名称 序列化模块 序列化的目的: 以某种存储形式使自定义对象持久化 将对象从一个地方传递到另一个地
-
js对象实例详解(JavaScript对象深度剖析,深度理解js对象)
这算是酝酿很久的一篇文章了. JavaScript作为一个基于对象(没有类的概念)的语言,从入门到精通到放弃一直会被对象这个问题围绕. 平时发的文章基本都是开发中遇到的问题和对最佳解决方案的探讨,终于忍不住要写一篇基础概念类的文章了. 本文探讨以下问题,在座的朋友各取所需,欢迎批评指正: 1.创建对象 2.__proto__与prototype 3.继承与原型链 4.对象的深度克隆 5.一些Object的方法与需要注意的点 6.ES6新增特性 下面反复提到实例对象和原型对象,通过构造函数 new
-
Java中序列化和反序列化的完整讲解
目录 一.序列化 二.序列化和反序列化的应用 三.序列化和反序列化地实现 3.1.JDK类库提供的序列化API 3.2.序列化要求 3.3.实现java序列化和反序列化的三种方法 四.CustomerForm 类序列化和反序列化演示 五.Externalizable接口实现序列化与反序列化 5.1.Externalizable 的不同点 5.2.CustomerForm 实现类 Externalizable 5.3.Externalizable 实现序列化和反序列化 总结 一.序列化 1.1.S
-
Java对象的XML序列化与反序列化实例解析
上一篇文章我们介绍了java实现的各种排序算法代码示例,本文我们看看Java对象的xml序列化与反序列化的相关内容,具体如下. XML是一种标准的数据交换规范,可以方便地用于在应用之间交换各类数据.如果能在Java对象和XML文档之间建立某种映射,例如Java对象的XML序列化和反序列化,那么就可以使Java的对象方便地与其他应用进行交换. java.beans包里面有两个类XMLEncoder和Decoder,分别用于将符合JabaBeans规范的Java对象以XML方式序列化和反序列化.以下
-
Java 序列化和反序列化实例详解
Java 序列化和反序列化实例详解 在分布式应用中,对象只有经过序列化才能在各个分布式组件之间传输,这就涉及到两个方面的技术-发送者将对象序列化,接受者将对象反序列化,下面就是一个很好的例子! 1.实体-Employee import java.io.Serializable; public class Employee implements Serializable{ /** * */ private static final long serialVersionUID = 1L; publi