Loading... [了解一下 serialize() 和 unserialize() ?](https://blog.domineto.top/php/serialize-unserialize.html) ##原理 序列化和反序列化是一个很有用的功能。它可以使得对象和字符串进行相互转换,从而完成持久化。但如果传给 unserialize() 的参数可控时,我们可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量甚至是函数。 反序列化漏洞一般是对输入进行反序列化`$obj=unserialize($_GET['object'])`,但仅仅将字符串反序列化为对象并没有什么用,还需要利用[魔术方法](https://blog.domineto.top/php/Magic_Methods.html)或者其他敏感函数进行恶意操作。 ##实例 看看[这里](https://blog.domineto.top/CTF/498.html)吧。(才不是我懒得写了) 或者[这篇文章](https://hellohxk.com/blog/php-deserialization/#cve)。 最后修改:2019 年 07 月 03 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏