PHP反序列化原理与安全实践.pdfVIP

一．什么是反序列化

目录二．PHP魔术方法

三．靶场实战

1、什么是反序列化

序列化(serialize)是将对象的状态信息转换为可以或传输的形式的过程。在序列化期间，对象将其当前状态写入到

临时或持久性区。以后，可以通过从区中或反序列化对象的状态，重新创建该对象。【将状态信息保存为字符

串】

简单的理解：将PHP中对象、类、数组、变量、函数等，转化为字符串，方便保存到数据库或者文件中

什么是反序列化？

序列化就是将对象的状态信息转为字符串起来，那么反序列化就是再将这个状态信息拿出来使用。（重新再转化为对

象或者其他的）【将字符串转化为状态信息】

1、什么是序列化

当在php中创建了一个对象后，可以通过serialize()把这个对象转变成一个字符串，保存对象的值方便的传递与使用。

1、序列化格式中字母含义

1、什么是反序列化

与serialize()对应的，unserialize()可以从已的表示中创建PHP的值，单就本次环境而言，可以从序列化后的结果

中恢复对象（object）