本篇文章只是用来笔记记录,交流学习,不得用于其他用途。一、描述反序列化又叫对象注入,序列化在内部没有漏洞,漏洞产生是因为程序在处理对象、魔术函数以及序列化相关问题导致的,当传给unserialize()参数可控时,那么用户就可以注入payload,进行反序列化的时候就看你触发对象中的一些魔术方法。二、序列化和反序列化介绍serialize()将一个对象转换成一个字符串。unserialize()将字符串还原为一个对象。在php应用中,序列化和反序列化一般用作缓存,比如session缓存,cookie等,简单点讲序列化就是把一个对象变为可以传输的字符串,而序列化就是把字符还原为对象。三、序列化1、序列化方法php中序列化一般有以下几种,使用serialize()方法。2、序列化serialize()对象的状态信息转换为可以存储或传输的形式的过程,在序列化期间,对象将当前的状态写入到临时或持久性的存储区,将状态信息保存为字符串。3、字符串序列化<?php $a='test'; echo '序列化:'; $b=serialize($a); print_r($b); ?>输出结果为
易水哲
一个什么都会一点的白帽子
京公网安备11010802044340号