概论
在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。
序列化serialize()
序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:
class S{
public $test="bihuoedu";
}
$s=new S();
serialize($s);
序列化后得到的结果是这个样子的:O:1:"S":1:{
s:4:"test";s:8:"bihuoedu";}
O:代表object
1:代表对象名字长度为一个字符
S:对象的名称
1:代表对象里面有一个变量
s