忍者ブログ
[PR]
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。



2017/05/01 15:14 |
Serializableの動作変更

serialize()でMDB2のインスタンスを使い回したいとします。

serialize0.php

1
2
3
4
5
6
7
8
<?php
    
    //MDB2
        require_once('MDB2.php');
        $db=MDB2::factory('mysqli://testuser:testpass@localhost');
    
    //シリアライズ
        $serial=serialize($db);

これだけでMDB2のインスタンスがさくっと一つの文字列になり、その後は保存して別の場所で開くなり、APIで他所に渡すなり自由に扱えます。
簡単ですが、この作り方、一つ重大なセキュリティ上の欠陥があります。
コンストラクタで引き渡したユーザ名やパスワードが平文で保存されてしまうのです。

パスワードは見せたくないけど、それ以外のインスタンスはそのまま渡したい、などということはできるでしょうか。
というわけでserialize()の動作を変更する方法があります。
しかも二種類。
http://jp.php.net/manual/ja/language.oop5.magic.php
http://jp.php.net/manual/ja/class.serializable.php

何故二種類もあるのかよくわかりませんが、
http://fabien.potencier.org/article/9/php-serialization-stack-traces-and-exceptions
>@Eric: Because the Serializable interface is much more flexible. In this specific case, we don't use anything fancy, but for consistency, I always use the interface'
だそうです。

まあとりあえずマジックメソッドでやってみます。

SerialExample1.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<?php
    
//適当なクラス
class SerialExample{
    
    //インスタンス変数とか
        private $string_serial='';
        private $string_no_serial='';
    
    //セッタゲッタ
        public function __set($name,$value){
            if($name=='string_serial' || $name=='string_no_serial'){
                $this->{$name}=$value;
                return true;
            }else{
                return false;
            }
        }
        public function __get($name){
            if($name=='string_serial' || $name=='string_no_serial'){
                return $this->{$name};
            }else{
                return false;
            }
        }
    
    //シリアライズ
        public function __sleep(){
            //シリアライズしたい変数名だけ返す
            return array('string_serial');
        }
    
    //アンシリアライズ
        public function __wakeup(){
            /*
                シリアライズ時に返した変数は自動的に元の場所に復帰する
                それ以外の、特に行いたいこと(DBに接続しに行くとか)
                がある場合はここに書く
            */
        }
    
//↓クラスのおわり
}


 serialize1.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
    
    //SerialExample
        require_once('SerialExample1.php');
        $example=new SerialExample();
    
    //適当
        $example->string_serial='aaaaa';
        $example->string_no_serial='bbbbb';
        
        
    //シリアライズ
        $serial=serialize($example);
        
    //アンシリアライズ
        $desilial=unserialize($serial);

シリアライズ時に、変数名'string_serial'のみを返しています。
こうすることで指定した'string_serial'のみがシリアライズされ、シリアライズされた文字列は
string 'O:13:"SerialExample":1:{s:28:"&#0;SerialExample&#0;string_serial";s:5:"aaaaa";}'
となります。

シリアライズ前のSerialExampleクラスの中身にはstring_serial及びstring_no_serialが両方とも入っています。

object(SerialExample)[1]
  public 'string_serial' => string 'aaaaa' (length=5)
  public 'string_no_serial' => string 'bbbbb' (length=5)

一旦シリアライズ後アンシリアライズしたときには、string_serialだけが元に戻ります。

object(SerialExample)[2]
  public 'string_serial' => string 'aaaaa' (length=5)
  public 'string_no_serial' => string '' (length=0)

パスワードのような、平文で送信されると困る部分だけシリアライズ対象から排除することができるようになりました。
めでたし。

全然どうでもいいんですがPHP以外ではデシリアライズです。
何故PHPだけアンシリアライズなんだろう。
PR


2009/10/13 22:37 | Comments(0) | TrackBack(1) | PHP

トラックバック

トラックバックURL:
前回マジックメソッド__sleep、__wakeupによるシリアライズを行いましたが、今回はSerializableインターフェイスで同じことを行ってみます。 両者がどう違うかというと、マジックメソッド__sleepはあくまでシリアライズ対象を変更できるだけであったのに対し、Serializableインターフェイスによるシリアライズは出力をわりかし自由にできるという点です。 SerialExample2.php ...
弱小PHPerの憂鬱 | 2009/10/16 13:09

コメント

コメントを投稿する






Vodafone絵文字 i-mode絵文字 Ezweb絵文字 (絵文字)



<<Serializableの動作変更その2 | HOME | 買った本リスト 2009/10/09>>
忍者ブログ[PR]