漏洞学习篇之反序列化

PHP序列化与反序列化

最新推荐文章于 2025-12-04 20:16:23 发布

原创

最新推荐文章于 2025-12-04 20:16:23 发布 · 474 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#学习 #android #安全 #web安全 #网络 #php

1序列化与反序列化答疑

什么是序列化

Serialization 序列化是将对象的状态信息转换为可以存储或者传输的过程。在序列化期间，对象将其当前的状态写入到临时或者持久性存储区。以后，可以通过从存储区中读取反序列化对象的状态，重新创建该对象

简单的讲：将PHP中的对象、类、数组、变量、匿名函数等，转化为字符串，方便保存到数据库或者文件中

什么是反序列化

序列化是将对象的状态信息转化为字符串存储起来。那反序列化就是将这个状态信息拿出来使用（重新再转化为对象或者其他的）

2举个小栗子

Serialize（）和unserialize（）函数

这两个是序列化中常用函数。

下面看一个小栗子。

<?php
$a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut'); 
//序列化数组
$s = serialize($a);
echo $s;
//输出结果：a:3:{s:1:"a";s:5:"Apple";s:1:"b";s:6:"banana";s:1:"c";s:7:"Coconut";}
echo '<br /><br />';
 //反序列化
$o = unserialize($s);
print_r($o);
//输出结果 Array ( [a] => Apple [b] => banana [c] => Coconut ) 
?>

序列化与反序列化在PHP实现上是没有漏洞的，漏洞主要是产生在应用程序在处理对象，魔术方法相关问题的时候出现的

当传给 unserialize()的参数可控时，此时攻击者提交构造的 payload 。当进行反序化的时候就有可能触发对象中的一些魔术方法，造