文章目录 一、序列化与反序列化 二、魔术方法 2.1 PHP中常见魔术方法 2.读入数据 3.反序列化漏洞 3.1反序列化漏洞利用条件 反序列化代码审计总结 一、序列化与反序列化 首先要了解序列化与反序列化的定义,以及序列化反序列化所用到的基本函数。 序列化:把对象转换为字节序列的过程称为对象序列化,相当于游戏中的存档。 PHP中的序列化函数serialize() seruakuze() 函数用于序列化对象或数组,并返回一个字符串。serialize() 函数序列化对象后可以很方便的将他传递给其他需要用它的地方,且其类型和结构不会改变。 示例: <?php highlight_file(__FILE__); $sites = array('I'