2023 Web基础PHP反序列化与安全实践.pptxVIP

PHP反序列化讲师：云山隐雾·安全

什么是反序列化PHP魔术方法靶场实战目录

1、什么是反序列化序列化(serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。以后，可以通过从存储区中读取或反序列化对象的状态，重新创建该对象。【将状态信息保存为字符串】简单的理解：将PHP中对象、类、数组、变量、匿名函数等，转化为字符串，方便保存到数据库或者文件中什么是反序列化？序列化就是将对象的状态信息转为字符串储存起来，那么反序列化就是再将这个状态信息拿出来使用。（重新再转化为对象或者其他的）【将字符串转化为状态信息】

1、什么是序列化当在php中创建了一个对象后，可以通过serialize()把这个对象转变成一个字符串，保存对象的值方便之后的传递与使用。

1、序列化格式中字母含义

1、什么是反序列化与serialize()对应的，unserialize()可以从已存储的表示中创建PHP的值，单就本次环境而言，可以从序列化后的结果中恢复对象（object）

1、什么是反序列化本质上serialize()和unserialize()在PHP内部实现上是没有漏洞的，漏洞的主要产生是由于应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。当传给unserialize()的参数可控时，那