php - 将 php 对象存储在 html 表单元素上并通过 GET 方法传递 php 对象？

Question

我可能听起来有点奇怪，但是，有办法吗？例如，我有一个 PHP 对象 $foo。

有没有办法通过一些对象加密函数以 HTML 形式(隐藏输入)存储这个对象，然后用解密函数检索。

同样，我可以通过GET方法传递这些对象吗？

Answer 1

正如其他地方已经指出的那样，您可以使用序列化将对象转换为字符串。

$foo = (object) array(
    'foo' => 'foo & bär',
    'bar' => new StdClass
);

$serialized = serialize($foo);

这给出:

O:8:"stdClass":2:{s:3:"foo";s:10:"foo & bär";s:3:"bar";O:8:"stdClass":0:{}}

如您所见，该字符串中有引号，因此您不能将其插入链接而不冒破坏标记的风险:

<a href="http://example.com?s=O:8:" <-- quote closes href

所以至少你必须 htmlspecialchars或 urlencode那个输出。但是，这仍然会使内容易于阅读。你可以使用 PHP's MCrypt library对字符串进行一些强加密。但是，如果数据确实那么敏感，您可能应该找到另一种传输方式，远离您网站的面向公众的部分。

如果数据不太敏感，那么您可以通过混淆字符串来保护一些 CPU 周期。最简单的方法是通过 gzdeflate 运行它:

echo gzdeflate(serialize($foo));

给出类似的东西

󷲰R*.Iq�I,.V�2��.�2�RJ��W�.�24 …

使用 gzdeflate 也将缩短大型序列化字符串。缺点是，它产生的输出不适合通过 HTTP 传输，因此您还必须 base64_encode那:

echo base64_encode(gzdeflate(serialize($foo)));

然后会给出

87eysFIqLklxzkksLlayMrKqLrYytlJKy89Xsi62MjQAMxXUFJIOLykCiQDlkhKBLH9UfQZW1bW1AA==

这对于传输是安全的，并且与原始序列化字符串相比也相当模糊。因为我们在对字符串进行 base64 编码之前对其进行了压缩，所以任何足够聪明的人在尝试反转它时仍然必须理解压缩后的字符串。

要将字符串变回对象，您可以这样做

unserialize(
    gzinflate(
        base64_decode(
            $obfuscatedString
        )
    )
)

然后取回你的对象。 Demo

---

安全注意事项

以上仍然是不安全的。你不应该依赖混淆来保证安全。如果您通过 HTTP 传输一个对象或整个对象图，您必须将它们视为接收端的用户输入。 无法信任用户输入。弄清楚字符串是如何被混淆的恶意用户可以提供更改过的输入。因为您要将对象反序列化回程序流中，所以您必须对生成的对象保持绝对的偏执。

参见 http://www.sektioneins.com/en/advisories/advisory-032009-piwik-cookie-unserialize-vulnerability/一个相关的例子。