10 反序列化
概念
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库;反序列化即逆过程,由字节流还原成对象。php允许保存一个对象方便以后重用,这个过程被称为序列化。
为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。试想,如果为一个脚本中想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容释放掉了,我们要如何操作呢?难道要前一个脚本不断的循环,等待后面脚本调用?这肯定是不现实的。serialize和unserialize就是用来解决这一问题的。
serialize可以将对象转换为字符串并且在转换中可以保存当前对象的值;
unserialize则可以将serialize生成的字符串变换回对象。PHP中序列化用于存储或传递PHP值的过程中,同时不丢失其类型和结构。
magic函数__construct和__destruct会在对象创建或者销毁时自动调用;
__sleep:serialize() 函数会检查类中是否存在一个魔术方法 __sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容,则 NULL 被序列化,并产生一个 E_NOTICE 级别的错误。
__wakeup: unserialize() 会检查是否存在一个 __wakeup()方法。如果存在,则会先调用 __wakeup 方法,预先准备对象需要的资源。__wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。
__construct():当一个对象创建时被调用
__destruct():当一个对象销毁时被调用
__toString():当一个对象被当作一个字符串使用
实例1:文件删除
攻击代码:
实例2:文件读取
链接一位大佬的文章:https://chybeta.github.io/2017/06/17/浅谈php反序列化漏洞/