这篇博客深入探讨了PHP的序列化和反序列化概念,强调它们在数据传输和持久化存储中的作用。文章通过unserialize3这道题为例,解释了如何利用__wakeup()魔法函数进行反序列化漏洞利用,并指出当对象属性个数变化时,反序列化可能失败并使__wakeup()失效的关键点。
unserialize3
看题目就知道这是一道反序列化问题,之前也遇到过,也深入理解过,但时间隔了这么久,难免会有些忘记,通过这道题来再次深入序列化与反序列化的问题。
0x00:那么到底什么是序列化,反序列化呢?
先来讲一点为什么要用序列化呢?他到底好在哪里呢?php序列化是为了什么呢?
当然有一点都知道就是为了传输数据更加方便(这种压缩格式化储存当然在数据传输方面更加简单方便),我们把一个实例化的对象长久地存储在了计算机的磁盘上,无论什么时候调用都能恢复原来的样子,这其实是为了解决 PHP 对象传递的一个问题,因为 PHP 文件在执行结束以后就会将对象销毁,那么如果下次有一个页面恰好要用到刚刚销毁的对象就会束手无策,总不能你永远不让它销毁,等着你吧,于是人们就想出了一种能长久保存对象的方法,这就是 PHP 的序列化,那当我们下次要用的时候只要反序列化一下就 ok 啦,是不是很方便?
序列化通俗来讲就是将对象转化为可以传输的字符串;
反序列化就是把那串可以传输的字符串再变回对象。
这里举几个简单的例子就能懂了:
序列化将对象转化为可传输的字符串:
<
最低0.47元/天 解锁文章
扫一扫
426
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
