序列化&反序列化
- 因为数据存储的需要于是有了序列化和反序列化函数,类似还有
json_encode
,json_decode
.PHP反序列化的方式很多,漏洞也很多,知识点也很多。于是我想结合CTF
来学习PHP的反序列化漏洞
,再深入到实战。
函数名 | 作用 |
---|---|
Serialize | 可以将数组或对象转换成字符串进行存储(有时候WAF改变了所存的储数据,则可能产生漏洞) |
Unserialize | 将序列化的字符串转换为PHP值(我们如果能控制反序列化时传输的数据,则可能产生漏洞) |
<?php
class basic{
public $age = 18;
private $name = 'pan3a';
protected $gender = 'man';
var $data = array('one','two');
}
$object = new basic();
$ser = serialize($object);
var_dump($ser);
print_r(unserialize($ser));
- 输出展示,类方法并没有参与序列化这里的