php 中的序列化是将 php 对象转换为字符串的一种方法。该字符串可以以多种方式使用，例如将其存储在数据库中或将其传递给另一个函数。 php 文档表示，在传递 php 值而不丢失其类型和结构时，这非常方便。但我以前从未遇到过这个问题。可能是我没看到吧

<?php $test = new user();
$test->name = "denzyl";
echo serialize($test);
/// output: o:4:"user":1:{s:4:"name";s:6:"denzyl";}

那么，让我们来消化一下这个字符串。 o代表object，后面的数字是对象名称的长度。两个字母s代表字符串和字符串名称的长度。

当您需要将字符串转换回 php 时，调用反序列化函数并将字符串作为参数传递。

序列化对象时，会自动调用两个方法。 __serialize() 和 __sleep()。这将允许类作者在将对象转换为字符串之前执行一些操作。
这是开门见山。但现在，让我们重点关注字符串的反序列化。这意味着将字符串转换为真正的 php 对象，稍后可以在 php 代码中运行时使用。

<?php $string = 'o:8:"user":1:{s:4:"name";s:6:"denzyl";}';
echo unserialize($string)->name;
/// output: denzyl

相同的功能也适用于反序列化。但这一次，两个方法是 __unserialize() 和 __wakeup()。

但为什么这是一个坏主意呢？

在不知情的情况下使用反序列化可能会导致远程代码执行。这就是为什么他们说永远不要相信输入。
假设您很懒并且信任随机输入，并且您连接到序列化对象，这样您就可以
更改对象内部的值。 boom，你可能会被黑客攻击。

<?php $username = $_GET['username'];
$serialized = 'O:8:"User":1:{s:4:"name";s:6:"' . $username . '";}';

我不会解释如何为这样的事情编写漏洞利用程序。有些工具可以自动为您生成有效负载，您可以称自己为脚本小子（我们都从某个地方开始）。我知道的是 phpggc.

要了解该漏洞，您可以阅读 owasp 文章。
如果您之前不知道这一点，还可以阅读 owasp 有关漏洞的其余文章

我知道我还没有解释如何编写漏洞利用程序。我不认为我能比网上的文章做得更好。但现在您知道了这一点，并且可以进行研究。

如何防止被利用？

你为什么要使用这个？我不知道;我编程的时间还不够长（大约 15 年），还没有机会使用序列化/反序列化来解决问题。
我的解决方案太激进了。简单的答案是。 不要在我的 php 项目中使用它。

本文是我编写 php 静态分析工具的系列文章的一部分，该工具可以在几分钟/几秒钟内扫描大量项目。并寻找规则
开发人员希望在他们的项目中拥有这些内容。在撰写本文时，我正在制定一项停止规则
人们不再使用反序列化，它应该为下一个版本做好准备。关注项目，以便您在何时收到通知
我决定编写更多规则。