PHP 中 SESSION 反序列化机制（1）_编程语言论坛

论坛 >编程语言 >PHP 中 SESSION 反序列化机制（1）

PHP 中 SESSION 反序列化机制（1）

课课家iOS游客发布于 2017-10-26 10:07查看:1086回复:1

简介

在php.ini中存在三项配置项：

以上的选项就是与PHP中的Session存储和序列话存储有关的选项。
在使用xampp组件安装中，上述的配置项的设置如下：

在上述的配置中，session.serialize_handler是用来设置session的序列话引擎的，除了默认的PHP引擎之外，还存在其他引擎，不同的引擎所对应的session的存储方式不相同。

php_binary:存储方式是，键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php:存储方式是，键名+竖线+经过serialize()函数序列处理的值
php_serialize(php>5.5.4):存储方式是，经过serialize()函数序列化处理的值

在PHP中默认使用的是PHP引擎，如果要修改为其他的引擎，只需要添加代码ini_set('session.serialize_handler', '需要设置的引擎');。示例代码如下：

存储机制

        php中的session中的内容并不是放在内存中的，而是以文件的方式来存储的，存储方式就是由配置项session.save_handler来进行确定的，默认是以文件的方式存储。
存储的文件是以sess_sessionid来进行命名的，文件的内容就是session值的序列话之后的内容。
        假设我们的环境是xampp，那么默认配置如上所述。
        在默认配置情况下：

可以看到PHPSESSID的值是jo86ud4jfvu81mbg28sl2s56c2，而在xampp/tmp下存储的文件名是sess_jo86ud4jfvu81mbg28sl2s56c2，文件的内容是name|s:6:"spoock";。name是键值，s:6:"spoock";是serialize("spoock")的结果。

在php_serialize引擎下：

SESSION文件的内容是names:6:"spoock";。由于name的长度是4，4在ASCII表中对应的就是EOT。根据php_binary的存储规则，最后就是names:6:"spoock";。(突然发现ASCII的值为4的字符无法在网页上面显示，这个大家自行去查ASCII表吧)

查看评分情况

全部评分

此主贴暂时没有点赞评分

总计：赞0次

回复分享

课课家iOS游客 于 2017-10-26 10:07 重新编辑过

版主推荐

上一篇：Flask 应用中的 URL 处理
下一篇：python 线程之 Condition

精品在线课程【一线专家讲授+24小时内答疑+永久免费观看+市场1/10价格】

[换一换]

共有1条评论

希尔瓦娜斯
楼主说的好呀，学习了
2017-10-27 08:46赞 (0)回复沙发

本论坛发帖,请先登录

发布新贴

版主招版主啦

IT宅男
mr jack
Mr ken
Mright
cappuccino
YUI
课课家运营团队
课课家技术团队1
酸酸~甜甜

课程推荐

[换一换]

找你妹【凯哥学堂】视频教程: 12281人学习

Java零基础入门（JavaSE视频）_Java基础至高级_第2模块: 13447人学习

2企业级MySQL数据库体系结构和高可用架构视频教程: 10317人学习

SpringBoot2.x源码分析之Bean全解析第4季视频教程: 6211人学习

楼主关注

发布新贴

选择版块:
标题:
内容
验证码:

编辑帖子

标题:
内容
<h3 id="简介" style="border: 0px; margin: 0px 0px 20px; padding: 0px; font-size: 20px; font-stretch: normal; line-height: 30px; font-family: "Microsoft YaHei", "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; color: rgb(46, 46, 46); white-space: normal; background-color: rgb(255, 255, 255);">      简介</h3><p style="border: 0px; margin-top: 0px; margin-bottom: 20px; padding: 0px; font-size: 15px; color: rgb(46, 46, 46); font-family: "Microsoft YaHei", 宋体, "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; white-space: normal; background-color: rgb(255, 255, 255);">        在php.ini中存在三项配置项：<img src="/Public/forum/ueditor/image/20171026/1508982408199072.png" title="1508982408199072.png" alt="image.png"/><p style="border: 0px; margin-top: 0px; margin-bottom: 20px; padding: 0px; font-size: 15px; color: rgb(46, 46, 46); font-family: "Microsoft YaHei", 宋体, "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; white-space: normal; background-color: rgb(255, 255, 255);">        以上的选项就是与PHP中的Session存储和序列话存储有关的选项。 在使用xampp组件安装中，上述的配置项的设置如下：<img src="/Public/forum/ueditor/image/20171026/1508982744181306.png" title="1508982744181306.png" alt="image.png"/><p style="border: 0px; margin-top: 0px; margin-bottom: 20px; padding: 0px; font-size: 15px; color: rgb(46, 46, 46); font-family: "Microsoft YaHei", 宋体, "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; white-space: normal; background-color: rgb(255, 255, 255);">        在上述的配置中，<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">session.serialize_handler</code>是用来设置session的序列话引擎的，除了默认的PHP引擎之外，还存在其他引擎，不同的引擎所对应的session的存储方式不相同。<ul class=" list-paddingleft-2" style="list-style-type: disc;"><li>php_binary:存储方式是，键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值</li><li>php:存储方式是，键名+竖线+经过serialize()函数序列处理的值</li><li>php_serialize(php>5.5.4):存储方式是，经过serialize()函数序列化处理的值</li></ul><p style="border: 0px; margin-top: 0px; margin-bottom: 20px; padding: 0px; font-size: 15px; color: rgb(46, 46, 46); font-family: "Microsoft YaHei", 宋体, "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; white-space: normal; background-color: rgb(255, 255, 255);">        在PHP中默认使用的是PHP引擎，如果要修改为其他的引擎，只需要添加代码<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">ini_set('session.serialize_handler', '需要设置的引擎');</code>。示例代码如下：<img src="/Public/forum/ueditor/image/20171026/1508982768661496.png" title="1508982768661496.png" alt="image.png"/><h3 id="存储机制" style="border: 0px; margin: 0px 0px 20px; padding: 0px; font-size: 20px; font-stretch: normal; line-height: 30px; font-family: "Microsoft YaHei", "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; color: rgb(46, 46, 46); white-space: normal; background-color: rgb(255, 255, 255);">        存储机制</h3><p style="border: 0px; margin-top: 0px; margin-bottom: 20px; padding: 0px; font-size: 15px; color: rgb(46, 46, 46); font-family: "Microsoft YaHei", 宋体, "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; white-space: normal; background-color: rgb(255, 255, 255);">        php中的session中的内容并不是放在内存中的，而是以文件的方式来存储的，存储方式就是由配置项<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">session.save_handler</code>来进行确定的，默认是以文件的方式存储。 存储的文件是以<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">sess_sessionid</code>来进行命名的，文件的内容就是session值的序列话之后的内容。         假设我们的环境是xampp，那么默认配置如上所述。         在默认配置情况下：<img src="/Public/forum/ueditor/image/20171026/1508982962785495.png" title="1508982962785495.png" alt="image.png"/><img src="/Public/forum/ueditor/image/20171026/1508983579605914.png" title="1508983579605914.png" alt="image.png"/><p style="border: 0px; margin-top: 0px; margin-bottom: 20px; padding: 0px; font-size: 15px; color: rgb(46, 46, 46); font-family: "Microsoft YaHei", 宋体, "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; white-space: normal; background-color: rgb(255, 255, 255);">        可以看到PHPSESSID的值是<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">jo86ud4jfvu81mbg28sl2s56c2</code>，而在<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">xampp/tmp</code>下存储的文件名是<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">sess_jo86ud4jfvu81mbg28sl2s56c2</code>，文件的内容是<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">name|s:6:"spoock";</code>。name是键值，<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">s:6:"spoock";</code>是<code style="border: 0px; margin: 0px; padding: 0px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace;">serialize("spoock")</code>的结果。<p style="border: 0px; margin-top: 0px; margin-bottom: 20px; padding: 0px; font-size: 15px; color: rgb(46, 46, 46); font-family: "Microsoft YaHei", 宋体, "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; white-space: normal; background-color: rgb(255, 255, 255);">        在php_serialize引擎下：<p style="border: 0px; margin-top: 0px; margin-bottom: 20px; padding: 0px; font-size: 15px; color: rgb(46, 46, 46); font-family: "Microsoft YaHei", 宋体, "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; white-space: normal; background-color: rgb(255, 255, 255);"><img src="/Public/forum/ueditor/image/20171026/1508983601492569.png" title="1508983601492569.png" alt="image.png"/><p style="border: 0px; margin-top: 0px; margin-bottom: 20px; padding: 0px; font-size: 15px; color: rgb(46, 46, 46); font-family: "Microsoft YaHei", 宋体, "Myriad Pro", Lato, "Helvetica Neue", Helvetica, Arial, sans-serif; white-space: normal; background-color: rgb(255, 255, 255);">        SESSION文件的内容是<code style="border: 0px; margin: 0px; padding: 0px; font-size: 15px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace; color: rgb(46, 46, 46); white-space: normal; background-color: rgb(255, 255, 255);">names:6:"spoock";</code>。由于<code style="border: 0px; margin: 0px; padding: 0px; font-size: 15px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace; color: rgb(46, 46, 46); white-space: normal; background-color: rgb(255, 255, 255);">name</code>的长度是4，4在ASCII表中对应的就是<code style="border: 0px; margin: 0px; padding: 0px; font-size: 15px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace; color: rgb(46, 46, 46); white-space: normal; background-color: rgb(255, 255, 255);">EOT</code>。根据php_binary的存储规则，最后就是<code style="border: 0px; margin: 0px; padding: 0px; font-size: 15px; font-family: Monaco, Consolas, "Andale Mono", "DejaVu Sans Mono", monospace; color: rgb(46, 46, 46); white-space: normal; background-color: rgb(255, 255, 255);">names:6:"spoock";</code>。(突然发现ASCII的值为4的字符无法在网页上面显示，这个大家自行去查ASCII表吧)
选择版块:

关注微信公众号，可下载APP应用。

PHP 中 SESSION 反序列化机制（1）

简介

存储机制

版主推荐

精品在线课程【一线专家讲授+24小时内答疑+永久免费观看+市场1/10价格】

共有1条评论

明星会员

课程推荐

楼主关注

版主推荐

热门贴子

发布新贴

编辑帖子

移动帖子x

粤ICP备13047178号粤公网安备44010602001432号

广州挪贤计算机科技有限公司版权所有

Copyright @ 2013-2023 KokoJia.com Inc. All Rights Reserved.

客服热线：9:00~19:00

关注微信公众号，可下载APP应用。

PHP 中 SESSION 反序列化机制（1）

简介

存储机制

版主推荐

精品在线课程【一线专家讲授+24小时内答疑+永久免费观看+市场1/10价格】

共有1条评论

明星会员

课程推荐

楼主关注

版主推荐

热门贴子

发布新贴

编辑帖子

移动帖子x

粤ICP备13047178号 粤公网安备44010602001432号

广州挪贤计算机科技有限公司 版权所有

Copyright @ 2013-2023 KokoJia.com Inc. All Rights Reserved.

客服热线：9:00~19:00

粤ICP备13047178号粤公网安备44010602001432号

广州挪贤计算机科技有限公司版权所有