1、反序列化基础概念:
序列化:在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。
反序列化:从一系列字节提取数据结构的反向操作,是反序列化(也称为解编组)。
2、PHP 中常见的序列化与反序列化点:
2.1、漏洞点函数:
serialize() 与 unserialize() 函数
2.2、函数作用:
用 serialize 将对象转换成序列化字符串;再用
unserialize 将该字符串转换成对象。