版权声明:本文为博主原创文章遵循 版权协议,转载请附上原文出处链接和本声明
说到PHP反序列化,首先要了解什么是序列化
PHP里面有关序列化的两个函数:
serialize:序列化 :紦一个对象转成字符串形式 可以用于保存
输出了User这个类序列化后的字符
下面说下这个序列化的字母的意思
4:类名User的长度为4
i:成员变量的類型int
20:为成员变量赋的值 后面的部分以此类推 在静态上下文中调用不可访问的方法时触发 __get() 用于从不可访问的属性读取数据 __set() 用于将数据写入鈈可访问的属性
__toString() 把类当作字符串使用时触发,返回值需要为字符串 __invoke() 当脚本尝试将对象调用为函数时触发
PHP反序列化漏洞又称PHP对象注入,是因为程序对输入数据处理不当导致的
未完待续。。。