الدالة serialize()
في PHP لها الشكل العام التالي:
serialize ( mixed $value )
يعبّر المعامل value
عن القيمة التي نريد سَلسَلتها، تعالج الدالة serialize()
كل الأنواع، عدا الأنواع الموردية (resource-type)، كما يمكنك سَلسَلة المصفوفات التي تحتوي مراجع إلى نفسها، المراجع الدائرية داخل المصفوفة/الكائن التي تُسلسلها ستُخزَّن أيضًا وأي مرجع آخر سيُفقد. تحاول PHP عند سَلسَلة الكائن استدعاء الدالة __sleep()
قبل القيام بالسَلسَلة وذلك للسماح للكائن بالقيام بالتنظيف حتى اللحظة الأخيرة قبل بدء السَلسَلة. وكذلك عند استعادة كائن باستخدام unserialize()
تُستدعى الدالة __wakeup()
. يكون لأعضاء الكائن الخاصة اسم الصنف ملحقًا باسم العضو، وللأعضاء المحمية العلامة '*' ملحقًا باسم العضو. تحتوي هذه القيم المُلحقة على وحدات بايت فارغة على كلا الجانبين.
سَلسَلة أنواع مختلفة
تولّد تمثيلًا قابلًا للتخزين لقيمة ما، ويعدّ هذا مفيدًا لتخزين أو تمرير قيم PHP دون خسارة نوعها وبنيتها.
نستخدم unserialize()
لنعيد السلسلة النصية المُسَلسَلة إلى قيمة PHP من جديد.
سَلسَلة سلسلة نصية
$string = "Hello world"; echo serialize($string); // s:11:"Hello world";
سَلسَلة قيمة عشرية
$double = 1.5; echo serialize($double); // d:1.5;
سَلسَلة عدد صحيح
$integer = 65; echo serialize($integer); // i:65;
سَلسَلة قيمة منطقية
$boolean = true; echo serialize($boolean); // b:1; $boolean = false; echo serialize($boolean); // b:0;
سَلسَلة القيمة null
$null = null; echo serialize($null); // N;
سَلسَلة مصفوفة
$array = array( 25, 'String', 'Array'=> ['Multi Dimension','Array'], 'boolean'=> true, // $obj من المثال في الأعلى 'Object'=>$obj, null, 3.445 ); /* سيرمي هذا خطأً فادحًا $array['function'] = function() { return "function"; }; */ echo serialize($array); // a:7:{i:0;i:25;i:1;s:6:"String";s:5:"Array";a:2:{i:0;s:15:"Multi Dimension";i:1;s:5:"Array";}s:7:"boolean";b:1;s:6:"Object";O:3:"abc":1:{s:1:"i";i:1;}i:2;N;i:3;d:3.4449999999999998;}
سَلسَلة كائن
تحاول PHP عند سَلسَلة كائن استدعاء الدالة __sleep()
قبل القيام بالسَلسَلة وذلك للسماح للكائن بالقيام بالتنظيف حتى اللحظة الأخيرة قبل بدء السَلسَلة. وكذلك عند استعادة كائن باستخدام unserialize() تُستدعى الدالة __wakeup()
.
class abc { var $i = 1; function foo() { return 'hello world'; } } $object = new abc(); echo serialize($object); // O:3:"abc":1:{s:1:"i";i:1;}
لاحظ أنّه لا يمكن سَلسَلة المغلِّفات (Closures)
$function = function () { echo 'Hello World!'; }; $function(); // prints "hello!" $serializedResult = serialize($function); // Fatal error: Uncaught exception 'Exception' with message 'Serialization of 'Closure' is not allowed'
مشاكل الحماية مع فك السَلسَلة
يمكن أن يكون استخدام الدالة unserialize
لفك سَلسَلة دخل المستخدم خطيرًا.
تحذير: لا تمرّر دخل المستخدم غير الموثوق به للدالة unserialize
، يمكن أن يؤدي فك السَلسَلة إلى تحميل التعليمات البرمجية وتنفيذها بسبب استنساخ الكائن والتحميل التلقائي وقد يتمكن المستخدم الضار من استغلال ذلك. استخدم تنسيق تبادل بيانات قياسي مثل JSON
(باستخدام json_decode() وjson_encode()) إذا كنت تحتاج إلى تمرير بيانات مسَلسَلة إلى المستخدم.
الهجمات الممكنة: حقن كائن PHP
ثغرة على مستوى التطبيق يمكن أن تسمح للمهاجم بأداء أنواع مختلفة من الهجمات الخبيثة مثل حقن الشيفرة وحقن SQL واجتياز المسار (Path Traversal) وتطبيق حجب الخدمة (Denial of Service) بالاعتماد على السياق. تحدث الثغرة عندما لا يُعقَّم دخل المستخدم قبل تمريره إلى دالة unserialize
. بما أنّ PHP تسمح بسَلسَلة الكائن، يمكن للمهاجمين تمرير سلاسل نصية مسَلسَلة مخصصة إلى استدعاء الدالة unserialize
المعرضة للخطر مما يؤدي إلى حقن كائن (أو كائنات) PHP عشوائي في نطاق التطبيق.
يجب تحقيق شرطين لاستغلال ثغرة حقن كائن PHP بنجاح:
-
أن يكون للتطبيق صنف ينفّذ تابع PHP سحري (مثل
__wakeup
أو__destruct
) يمكن أن يُستخدم لتنفيذ هجمات ضارة أو بدء سلسلة POP (Property Oriented Programming). -
أن يُصرَّح عن جميع الأصناف المستخدمة خلال الهجوم عند استدعاء الدالة
unserialize
المعرضة للخطر وإلا يجب دعم التحميل التلقائي للصنف لمثل هذه الكائنات.
مثال1 - هجوم اجتياز المسار (Path Traversal Attack):
يظهر المثال التالي صنف PHP مع تابع __destruct
القابل للاستغلال:
class Example1 { public $cache_file; function __construct() { // بعض الشيفرة هنا... } function __destruct() { $file = "/var/www/cache/tmp/{$this->cache_file}"; if (file_exists($file)) @unlink($file); } } // بعض الشيفرة هنا… $user_data = unserialize($_GET['data']); // بعض الشيفرة هنا...
قد يكون المهاجم في هذا المثال قادرًا على حذف ملف عشوائي عبر هجوم اجتياز المسار مثل طلب المسار التالي:
http://testsite.com/vuln.php?data=O:8:"Example1":1:{s:10:"cache_file";s:15:"../../index.php";}
مثال2 - هجوم حقن الشيفرة (Code Injection attack):
يظهر المثال التالي صنف PHP مع تابع __wakeup
القابل للاستغلال:
class Example2 { private $hook; function __construct() { // بعض الشيفرة هنا... } function __wakeup() { if (isset($this->hook)) eval($this->hook); } } // بعض الشيفرة هنا… $user_data = unserialize($_COOKIE['data']); // بعض الشيفرة هنا...
يمكن أن يكون المهاجم في هذا المثال قادرًا على القيام بهجوم حقن الشيفرة بإرسال طلب HTTP
مثل الطلب التالي:
GET /vuln.php HTTP/1.0 Host: testsite.com Cookie: data=O%3A8%3A%22Example2%22%3A1%3A%7Bs%3A14%3A%22%00Example2%00hook%22%3Bs%3A10%3A%22phpinfo%28%29% 3B%22%3B%7D Connection: close
حيث أُنشئ معامل ملف تعريف الارتباط "data" من قِبل السكربت التالي:
class Example2 { private $hook = "phpinfo();"; } print urlencode(serialize(new Example2));
سَلسَلة/ فك سَلسَلة كائن
تعيد الدالة serialize()
سلسلة نصية تتضمن تمثيل مجرى بايتات لأي قيمة يمكن تخزينها في PHP. يمكنك استخدام الدالة unserialize()
لإعادة تكوين قيمة المتغير الأصلية.
نكتب الشيفرة التالية لسَلسَلة (serialize) كائن:
serialize($object);
نكتب الشيفرة التالية لفك سَلسَلة (Unserialize) كائن:
unserialize($object)
مثال:
$array = array(); $array["a"] = "Foo"; $array["b"] = "Bar"; $array["c"] = "Baz"; $array["d"] = "Wom"; $serializedArray = serialize($array); echo $serializedArray; /* a:4:{s:1:"a";s:3:"Foo";s:1:"b";s:3:"Bar";s:1:"c";s:3:"Baz";s:1:"d";s:3:"Wom";} */
الواجهة القابلة للسَلسَلة
لم تعد الأصناف التي تنفّذ هذه الواجهة تدعم التوابع السحرية __sleep()
و__sleep()
. يُستدعى تابع السَلسَلة عندما يحتاج كائن إلى السَلسَلة، وهذا لا يشغّل التابع __destruct()
وليس له آثار جانبية أخرى ما لم يُبرمج داخل تابع السَلسَلة، عند فك سَلسَلة البيانات يُعرف الصف ويُستدعى تابع unserialize()
المناسب كبانٍ بدلًا من استدعاء __construct()
. إذا كنت تحتاج إلى تنفيذ الباني القياسي فيمكنك القيام بذلك في التابع.
الاستخدام الأساسي
class obj implements Serializable { private $data; public function __construct() { $this->data = "My private data"; } public function serialize() { return serialize($this->data); } public function unserialize($data) { $this->data = unserialize($data); } public function getData() { return $this->data; } } $obj = new obj; $ser = serialize($obj); var_dump($ser); // string(38) "C:3:"obj":23:{s:15:"My private data";}" $newobj = unserialize($ser); var_dump($newobj->getData()); // string(15) "My private data"
ترجمة -وبتصرف- للفصول [Object Serialization - Serialization] من كتاب PHP Notes for Professionals book
اقرأ أيضًا
- المقال التالي: الجلسات وملفات تعريف الارتباط ومكتبة cURL في PHP
- المقال السابق: الأصناف (Classes) والكائنات (Objects) في PHP
أفضل التعليقات
لا توجد أية تعليقات بعد
انضم إلى النقاش
يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.