簡介

在php.ini中存在三項(xiàng)配置項(xiàng)：

• session.save_path=""   --設(shè)置session的存儲路徑
• session.save_handler="" --設(shè)定用戶自定義存儲函數(shù)，如果想使用PHP內(nèi)置會話存儲機(jī)制之外的可以使用本函數(shù)(數(shù)據(jù)庫等方式)
• session.auto_start   boolen --指定會話模塊是否在請求開始時(shí)啟動一個(gè)會話,默認(rèn)為0不啟動
• session.serialize_handler   string --定義用來序列化/反序列化的處理器名字。默認(rèn)使用php
  

以上的選項(xiàng)就是與PHP中的Session存儲和序列話存儲有關(guān)的選項(xiàng)。

在使用xampp組件安裝中，上述的配置項(xiàng)的設(shè)置如下：

• session.save_path="D:\xampp\tmp" 表明所有的session文件都是存儲在xampp/tmp下
• session.save_handler=files     表明session是以文件的方式來進(jìn)行存儲的
• session.auto_start=0    表明默認(rèn)不啟動session
• session.serialize_handler=php     表明session的默認(rèn)序列話引擎使用的是php序列話引擎

在上述的配置中，session.serialize_handler是用來設(shè)置session的序列話引擎的，除了默認(rèn)的PHP引擎之外，還存在其他引擎，不同的引擎所對應(yīng)的session的存儲方式不相同。

1. php_binary:存儲方式是，鍵名的長度對應(yīng)的ASCII字符+鍵名+經(jīng)過serialize()函數(shù)序列化處理的值
2. php:存儲方式是，鍵名+豎線+經(jīng)過serialize()函數(shù)序列處理的值
3. php_serialize(php>5.5.4):存儲方式是，經(jīng)過serialize()函數(shù)序列化處理的值
   

在PHP中默認(rèn)使用的是PHP引擎，如果要修改為其他的引擎，只需要添加代碼ini_set('session.serialize_handler', '需要設(shè)置的引擎');。

示例代碼如下：

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
// do something

存儲機(jī)制

php中的session中的內(nèi)容并不是放在內(nèi)存中的，而是以文件的方式來存儲的，存儲方式就是由配置項(xiàng)session.save_handler來進(jìn)行確定的，默認(rèn)是以文件的方式存儲。

存儲的文件是以sess_sessionid來進(jìn)行命名的，文件的內(nèi)容就是session值的序列話之后的內(nèi)容。

假設(shè)我們的環(huán)境是xampp，那么默認(rèn)配置如上所述。

在默認(rèn)配置情況下：

<?php
session_start()
$_SESSION['name'] = 'spoock';
var_dump();
?>

最后的session的存儲和顯示如下：

可以看到PHPSESSID的值是jo86ud4jfvu81mbg28sl2s56c2，而在xampp/tmp下存儲的文件名是sess_jo86ud4jfvu81mbg28sl2s56c2，文件的內(nèi)容是name|s:6:"spoock"; 。name是鍵值，s:6:"spoock";是serialize("spoock")的結(jié)果。

在php_serialize引擎下：

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['name'] = 'spoock';
var_dump();
?>

SESSION文件的內(nèi)容是a:1:{s:4:"name";s:6:"spoock";} 。a:1是使用php_serialize進(jìn)行序列話都會加上。同時(shí)使用php_serialize會將session中的key和value都會進(jìn)行序列化。

在php_binary引擎下：

<?php
ini_set('session.serialize_handler', 'php_binary');
session_start();
$_SESSION['name'] = 'spoock';
var_dump();
?>

SESSION文件的內(nèi)容是names:6:"spoock"; 。由于name的長度是4，4在ASCII表中對應(yīng)的就是EOT。根據(jù)php_binary的存儲規(guī)則，最后就是names:6:"spoock"; 。(突然發(fā)現(xiàn)ASCII的值為4的字符無法在網(wǎng)頁上面顯示，這個(gè)大家自行去查ASCII表吧)

序列化簡單利用

test.php

<?php
class syclover{
 var $func="";
 function __construct() {
  $this->func = "phpinfo()";
 }
 function __wakeup(){
  eval($this->func);
 }
}
unserialize($_GET['a']);
?>

在11行對傳入的參數(shù)進(jìn)行了序列化。我們可以通過傳入一個(gè)特定的字符串，反序列化為syclover的一個(gè)示例，那么就可以執(zhí)行eval()方法。我們訪問localhost/test.php?a=O:8:"syclover":1:{s:4:"func";s:14:"echo "spoock";";} 。