Deutsch
Deutsch
In PHP werden häufig Serialisierungsfunktionen verwendet, um Objekte oder Arrays für einfache Speicherung oder Übertragung in Zeichenfolgen umzuwandeln. Unabhängig davon, ob Daten in einer Datenbank gespeichert oder über das Netzwerk übertragen werden, ist Serialize ein wichtiges Tool. Dieser Artikel wird eingehend analysieren, wie die Serialisierungsfunktion von PHP funktioniert, und die zugrunde liegenden Implementierungsprinzipien aufzeigt.
Die Serialisierungsfunktion wandelt PHP -Variablen in lagerbare oder übertragbare Zeichenfolgen um. Zu den gemeinsamen Verwendungen dieser Funktion gehören:
Konvertieren Sie ein Array oder Objekt in eine Zeichenfolge und speichern Sie es in der Datenbank.
Übertragen Sie Daten in andere Dienste als Zeichenfolgen, insbesondere für Szenarien wie Cache.
Zum Beispiel:
$data = array("name" => "John", "age" => 30);
$serializedData = serialize($data);
echo $serializedData;
Das Ausgangsergebnis ist:
a:2:{s:4:"name";s:4:"John";s:3:"age";i:30;}
Aus diesem Ergebnis ist ersichtlich, dass das Serialisieren das Array durch ein bestimmtes Format so codiert, dass es später in die ursprüngliche Arraystruktur wiederhergestellt werden kann.
PHP verwendet ein spezifisches Format, um Daten zu serialisieren. Dieses Format enthält Datentypkennung und Dateninhalt. Verschiedene Daten von Daten haben unterschiedliche Kennungen:
A: Array
S: String
I: Ganzzahl
B: Bolean
D: schwimmende Punkte
O: Objekt
Zum Beispiel die serialisierte Zeichenfolge A: 2: {S: 4: "Name"; S: 4: "John"; S: 3: "Age"; i: 30;} repräsentiert ein Array, das zwei Elemente enthält. Das erste Element ist der String -Name und der entsprechende String -Wert John , und das zweite Element ist das String -Alter und der Ganzzahlwert 30 .
Wenn Sie ein Objekt serialisieren, wird Serialize den Klassennamen, das Attribut und den Attributwert des Objekts zusammen serialisieren. Betrachten Sie beispielsweise den folgenden Code:
class Person {
public $name;
public $age;
}
$person = new Person();
$person->name = "John";
$person->age = 30;
$serializedPerson = serialize($person);
echo $serializedPerson;
Die Ausgabe kann sein:
O:6:"Person":2:{s:4:"name";s:4:"John";s:3:"age";i:30;}
Hier bedeutet O: 6: "Person" , dass der Klassenname Person ist, gefolgt von den beiden Attributen des Klassennamens und des Alters , und ihre Werte sind John bzw. 30 .
Die Funktion von Serialize besteht darin, Daten in Zeichenfolgen umzuwandeln, und die nieserialisierende Funktion stellt diese Zeichenfolge in die ursprüngliche PHP -Variable wieder her. Durch Unserialisierung können wir die ursprüngliche Datenstruktur erneut begeben.
$originalData = unserialize($serializedData);
Es ist erwähnenswert, dass die wiederhergestellten Datentypen und -strukturen bei der Verwendung von Unserialisierung mit der Serialisierungszeit übereinstimmen müssen, da sie ansonsten Fehler verursachen kann.
Die Serialize- und unverschöhllichen Funktionen sind im Datenbankspeicher sehr häufig. Beispielsweise verwenden Cache -Systeme diese beiden Funktionen häufig, um komplexe Datenstrukturen zu speichern. Durch die Serialisierung können komplexe Datenstrukturen (wie Arrays oder Objekte) für eine einfache Speicherung und Übertragung in Zeichenfolgen umgewandelt werden.
PHP Session Management verwendet auch Serialize , um Sitzungsdaten zu speichern. PHP serialisiert automatisch Objekte und Arrays in der Sitzung, um den Status von Sitzungsdaten zwischen verschiedenen Anforderungen aufrechtzuerhalten.
Obwohl serialisierende und unverschauerende Funktionen in vielen Szenarien sehr nützlich sind, haben sie auch bestimmte Sicherheitsrisiken. Insbesondere kann die unverzündete Funktion Sicherheitsanfälligkeiten verursachen, wenn sie Daten aus nicht vertrauenswürdigen Quellen verarbeitet. Beispielsweise kann die Deserialisierung von böswillig konstruierten Daten eine Anfälligkeit für die Codebehandlung auslösen, durch die ein Angreifer die Anwendung manipulieren kann.
Um diese Art von Risiko zu vermeiden, kann der zweite Parameter der Unserialisierung verwendet werden, um die Klassen zu begrenzen, die eine Deserialisierung ermöglichen. Zum Beispiel:
unserialize($data, ["allowed_classes" => false]); // Deaktivieren Sie die Deserialisierung von Objekten
Wenn Sie die Vertrauenswürdigkeit der Datenquelle prüfen, stellen Sie alternativ sicher, dass böswillige Daten nicht in unverzündet übergeben werden.
Serialisierende und unverzweigte Funktionen sind sehr wichtige Funktionen in PHP und werden häufig für die Datenspeicherung, das Sitzungsmanagement und andere Szenarien verwendet. Durch das Konvertieren von Daten in Zeichenfolgenformulare ermöglichen sie, dass komplexe Datenstrukturen leicht gespeichert oder übertragen werden können. Das Verständnis der zugrunde liegenden Prinzipien dieser beiden Funktionen trägt dazu bei, sie besser zu nutzen und potenzielle Sicherheitsprobleme zu vermeiden.
