PHP序列化与反序列化解读
花费了点时刻研讨了下PHP序列化,写在这儿。一是便利自己知识点回忆,二是协助相同有疑问的人,欢迎纠正过错,不喜勿喷.
0×01.确认装备文件
首要体系运用的ubuntu apt-get install方法装置的php5,所以在/etc/php5中两个文件夹中有php.ini 分别为cli与apache2 如下列
指令:
root@ubuntu:/etc/php5# ll -l apache2/ cli/
apache2/:
total 156
drwxr-xr-x 3 root root 4096 Dec 16 19:04 ./
drwxr-xr-x 5 root root 4096 May 28 2019 ../
drwxr-xr-x 2 root root 4096 Jul 14 09:14 conf.d/
-rw-r--r-- 1 root root 69890 Dec 16 19:04 php.ini
-rw-r--r-- 1 root root 69890 Sep 15 13:09 php.ini~
cli/:
total 148
drwxr-xr-x 3 root root 4096 Dec 11 17:39 ./
drwxr-xr-x 5 root root 4096 May 28 2019 ../
drwxr-xr-x 2 root root 4096 Jul 14 09:14 conf.d/
-rw-r--r-- 1 root root 69568 Dec 11 17:39 php.ini
-rw-r--r-- 1 root root 69570 Dec 11 17:39 php.ini~
怎么确认apche2运用了哪个php.ini其实能够经过输出phpinfo 检查到,此处的cli目录中的php.ini装备文件是在指令行时运用的装备文件。
0×02.PHP序列化机制
1. PHP序列化机制
PHP中的装备文件php.ini中含有几项装备项
session.save_path="" --设置session的存储途径
session_set_save_handler="" --设定用户自界说存储函数,假如想运用PHP内置会话存储机制之外的能够运用本函数(数据库等方法)
session.auto_start boolen --指定会话模块是否在恳求开始时发动一个会话,默以为0不发动
session.serialize_handler string --界说用来序列化/反序列化的处理器姓名。默许运用php
-当session.auto_start设置为True的时分或许手动session_start()创立新会话,PHP内部调会调用会话管理器。
- 下面是一段代码其间session_set_save_handler()设置用户自界说会话存储函数。此处仍是运用默许的存储方法以文件方法存储服务器,存储目录与装备文件中php.ini中的session.save_path相关。
- 下面这行代码因未设定序列化处理器的姓名,所以默许运用PHP中内置的序列化处理器(php)。
class FileSessionHandler
{
private $savePath;
function open($savePath, $sessionName)
{
$this->savePath = $savePath;
if (!is_dir($this->savePath)) {
mkdir($this->savePath, 0777);
}
echo __FUNCTION__."
";
return true;
}
function close()
{
echo __FUNCTION__."
";
return true;
}
function read($id)
{
echo __FUNCTION__."
";
return (string)@file_get_contents("$this->savePath/sess_$id");
}
function write($id, $data)
{
echo __FUNCTION__."
";
return file_put_contents("$this->savePath/sess_$id", $data) === false ? false : true;
}
function destroy($id)
{
$file = "$this->savePath/sess_$id";
if (file_exists($file)) {
unlink($file);
}
echo __FUNCTION__."
";
return true;
}
function gc($maxlifetime)
{
foreach (glob("$this->savePath/sess_*") as $file) {
if (filemtime($file) + $maxlifetime time() && file_exists($file)) {
unlink($file);
}
}
echo __FUNCTION__."
";
return true;
}
function end(){
echo 'Script end then call register_shutdown_functiond'."
";
}
}
$handler = new FileSessionHandler();
session_set_save_handler(
array($handler, 'open'),
array($handler, 'close'),
array($handler, 'read'),
array($handler, 'write'),
array($handler, 'destroy'),
array($handler, 'gc')
);
// 下面这行代码能够避免运用目标作为会话保存管理器时或许引发的非预期行为
register_shutdown_function(array($handler,end));
session_start();
上面代码履行的成果为
open
read
Script end then call register_shutdown_functiond
write
close
然后检查session.seve_path中的值,相应的目录能够看到如下相似文件
sess_fifslo9a7j78bv8koc0k4g0lk2
sess_p4g23nl7mi7od8uohtpojd42b5
其间sess_后边的一串数值便是浏览器中的sessionid数值,翻开相对应的session文件(sess_fifslo9a7j78bv8koc0k4g0lk2 )可检查其内容发现如下:
name|s:2:"tb";
能够发现其为序列化之后的内容,当浏览器带着sessionid再次拜访脚本时,服务器端依据sessionid读取session文件并将其反序列化.
简略总结一下以上代码:
其实便是经过session_start()手动创立新的会话,会话运用PHP内置序列化方法(php.ini中默许session.serialize_handler为php),经过session_set_save_handler()设定的方法进行存储
0×03.序列化引发的缝隙
PHP中有三种序列化方法
| 处理器 | 对应的存储格局 |
[1] [2] 黑客接单网
