反序列化是一種格式轉(zhuǎn)換的過程,它將對象從字符串或數(shù)組等格式轉(zhuǎn)換為對象���。與序列化相對應(yīng)的是將對象轉(zhuǎn)換為可存儲或可傳輸?shù)母袷降倪^程��。反序列化在計算機編程中起到了重要的作用�,但同時也可能存在安全漏洞�。
序列化是指將對象的狀態(tài)信息轉(zhuǎn)換為可存儲或可傳輸?shù)母袷降倪^程。在各種編程語言中�����,序列化的逆過程就是反序列化��,主要是為了方便對象傳輸。
反序列化利用分為三類:魔術(shù)方法的調(diào)用邏輯���、語言原生類的調(diào)用邏輯(如SoapClient)���、以及語言自身的安全缺陷(如CVE-2016-7124)。
在PHP中����,基本類型的序列化形式如下:
bool: b:value =>b:0
int: i:value=>i:1
str: s:length:“value”;=>s:4"aaaa"
array :a::{key:value pairs};=>a:{i:1;s:1:“a”}
object:O::
NULL: N
序列化前:
序列化后:
O:4:“test”:5:{s:1:“a”;b:0;s:1:“b”;i:3;s:1:“c”;s:5:“hello”;s:1:“d”;a:4:{i:0;i:1;i:1;i:2;i:2;i:3;i:3;s:5:“hello”;}s:1:“e”;N;}
小編推薦閱讀
