PHP时不时蹦出的字符串包含哪些，有认识的吗？

100人浏览 2024-12-28 17:33:31

引言

有这样一个字符串，时不时在 PHP 程序内出现，当你把它贴到搜索引擎里搜索时，命中率几乎没有。怎么来的？如何生成的？

今天我们就来聊一聊 YTowOnt9。

经常与编码解码打交道，对这样的字符串，你应该会有一个潜意识的认识。是不是特别像 base64 encode 之后的内容。我们先用一些随机数，看看 base64 encode 之后的样子。

为了模拟PHP的情况，我们没有使用linux系统下的 base64 工具，而是使用内置函数 base64_encode 。

为了拿到固定长度的随机字符串，我们使用了之前文章中推荐的方式，使用
openssl_random_pseudo_bytes 生成更好的随机数字节，然后使用 bin2hex 进行16进制化，所得就是纯字符串。

如果对上面的字符进行 base64 decode 会得到什么呢？

echo base64_decode('YTowOnt9');

命令行中执行之后得到如下输出。

a:0:{}

如果您使用过PHP内置的序列化函数应该对这个不陌生。我们看一下序列化函数 serialize，在将对象序列化进行存储到缓存，甚至是到数据库内，你一定见到过。

serialize 返回字符串，此字符串包含了表示 value 的字节流，可以存储于任何地方。这有利于存储或传递 PHP 的值，同时不丢失其类型和结构。

举一个简单的例子，比如具有不同数据类型的数组序列化：

$arrToPack = array('Lorem ipsum dolor sit amet', 8726348723, true);
echo serialize($arrToPack);

输出内容：

a:3:{i:0;s:26:"Lorem ipsum dolor sit amet";i:1;i:8726348723;i:2;b:1;}

可以看到序列化之后的内容，包含了数组的内容，结构，长度和值。反序列化的时候，就可以轻松实现。

好了，前面的基础内容我们都铺垫好了，下面把主要力量放在将这个字符串进行反序列化，看能得到一个什么。

var_dump(unserialize(base64_decode("YTowOnt9")));

结果输出：

array(0) {}

原来是一个空数组。

所以大家以后再看到这样的编码字符串的时候，会在心中有一个意识，判断应该是从程序的那些阶段生成的，以及用来做什么的，这样调试起来会顺手的多。

Happy coding :_)