反序列化漏洞原理和靶场实践
需积分: 1 180 浏览量
2023-09-26
14:14:28
上传
评论
收藏 328KB DOCX 举报
一、什么是反序列化
1.1 什么是序列化?
序列化(serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期
间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序
列化对象的状态,重新创建该对象。【将状态信息保存为字符串】
简单的理解:将 PHP 中对象、类、数组、变量、匿名函数等,转化为字符串,方便保存
到数据库或者文件中
1.2 什么是反序列化?
序列化就是将对象的状态信息转为字符串储存起来,那么反序列化就是再将这个状态信
息拿出来使用。(重新再转化为对象或者其他的)【将字符串转化为状态信息】
1.3 序列化
当在 php 中创建了一个对象后,可以通过 serialize()把这个对象转变成一个字符串,保
存对象的值方便之后的传递与使用。
显示结果:
<?php
show_source(__FILE__);//对当前文件进行高亮输出
class chybeta{ //创建类
var $test='123';
}
$class1=new chybeta;//通过类创建的对象,->用来调用类方法
echo "<hr/>";
var_dump($class1);
$class_ser=serialize($class1);
echo "<hr/>";
var_dump($class_ser);
?>
资源评论
