PHP反序列化漏洞简单分析

1.何为序列化与反序列化
序列化就是把对象转化成一个字符串，目的是为了更好得传输数据，反序列化就是把字符串再转化成对象。比如在test1.php中产生了一个对象，在其它php文件中要进行调用，如果有多个文件进行调用，每调用一次就需要执行一次test1.php文件，这样的话，就会变得很麻烦，而且占用资源。这时序列化与反序列化就派上用场了。
在php中序列化与反序列化主要用到两个函数，serialize()和unserialize()。比如有如下代码：
PHP反序列化漏洞简单分析

2如何进行利用
在进行利用之前，得先了解一下php中的魔术函数
__construct()当一个对象创建时调用
__destruct()当一个对象销毁时调用
__toString()当一个对象被当作一个字符串使用
__sleep()在对象在被序列化之前运行
__wakeup()将在序列化之后立即被调用