三十七：WEB漏洞-反序列化之PHP&JAVA全解（上）

PHP反序列化

原理：未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。
    在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候有可能触发对象中的一些魔术方法。

serialize()   //将一个对象转换为一个字符串
unserialize() //将字符串转换为一个对象

触发：unserialize函数的变量可控，文件中存在可利用的类，类中有魔术方法

_construct() //创建对象时触发
_destruct()  //对象被销毁时触发
_call()  //在对象上下文中调用不可访问的方法时触发
_callstatic()  //在静态上下文中调用不可访问的方法时触发
_get()  //用于从不可访问的属性读取数据