簡介

在php.ini中存在三項配置項：

• session.save_path=""   --設置session的存儲路徑
• session.save_handler="" --設定用戶自定義存儲函數，如果想使用PHP內置會話存儲機制之外的可以使用本函數(數據庫等方式)
• session.auto_start   boolen --指定會話模塊是否在請求開始時啟動一個會話,默認為0不啟動
• session.serialize_handler   string --定義用來序列化/反序列化的處理器名字。默認使用php
  

以上的選項就是與PHP中的Session存儲和序列話存儲有關的選項。

在使用xampp組件安裝中，上述的配置項的設置如下：

• session.save_path="D:\xampp\tmp" 表明所有的session文件都是存儲在xampp/tmp下
• session.save_handler=files     表明session是以文件的方式來進行存儲的
• session.auto_start=0    表明默認不啟動session
• session.serialize_handler=php     表明session的默認序列話引擎使用的是php序列話引擎

在上述的配置中，session.serialize_handler是用來設置session的序列話引擎的，除了默認的PHP引擎之外，還存在其他引擎，不同的引擎所對應的session的存儲方式不相同。

1. php_binary:存儲方式是，鍵名的長度對應的ASCII字符+鍵名+經過serialize()函數序列化處理的值
2. php:存儲方式是，鍵名+豎線+經過serialize()函數序列處理的值
3. php_serialize(php>5.5.4):存儲方式是，經過serialize()函數序列化處理的值
   

在PHP中默認使用的是PHP引擎，如果要修改為其他的引擎，只需要添加代碼ini_set('session.serialize_handler', '需要設置的引擎');。

示例代碼如下：

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
// do something

存儲機制

php中的session中的內容并不是放在內存中的，而是以文件的方式來存儲的，存儲方式就是由配置項session.save_handler來進行確定的，默認是以文件的方式存儲。

存儲的文件是以sess_sessionid來進行命名的，文件的內容就是session值的序列話之后的內容。

假設我們的環境是xampp，那么默認配置如上所述。

在默認配置情況下：

<?php
session_start()
$_SESSION['name'] = 'spoock';
var_dump();
?>

最后的session的存儲和顯示如下：

可以看到PHPSESSID的值是jo86ud4jfvu81mbg28sl2s56c2，而在xampp/tmp下存儲的文件名是sess_jo86ud4jfvu81mbg28sl2s56c2，文件的內容是name|s:6:"spoock"; 。name是鍵值，s:6:"spoock";是serialize("spoock")的結果。

在php_serialize引擎下：

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['name'] = 'spoock';
var_dump();
?>

SESSION文件的內容是a:1:{s:4:"name";s:6:"spoock";} 。a:1是使用php_serialize進行序列話都會加上。同時使用php_serialize會將session中的key和value都會進行序列化。

在php_binary引擎下：

<?php
ini_set('session.serialize_handler', 'php_binary');
session_start();
$_SESSION['name'] = 'spoock';
var_dump();
?>

SESSION文件的內容是names:6:"spoock"; 。由于name的長度是4，4在ASCII表中對應的就是EOT。根據php_binary的存儲規則，最后就是names:6:"spoock"; 。(突然發現ASCII的值為4的字符無法在網頁上面顯示，這個大家自行去查ASCII表吧)

序列化簡單利用

test.php

<?php
class syclover{
 var $func="";
 function __construct() {
  $this->func = "phpinfo()";
 }
 function __wakeup(){
  eval($this->func);
 }
}
unserialize($_GET['a']);
?>

在11行對傳入的參數進行了序列化。我們可以通過傳入一個特定的字符串，反序列化為syclover的一個示例，那么就可以執行eval()方法。我們訪問localhost/test.php?a=O:8:"syclover":1:{s:4:"func";s:14:"echo "spoock";";} 。