Web前置知识（1）

Web知识汇总（1）

1.phps文件就是php文件的源代码文件，通常用于提供给用户查看php代码，因为用户无法直接通过Web浏览器看到php文件的内容，所以需要用phps文件代替。

2.burpsuite可以进行url的编解码

3.浏览器本身会进行一次url解码

4.反序列化漏洞

序列化是广泛存在于PHP、Java等编程语言中的一种特有结构的对象/数组转化为无结构的字符串并储存信息的一种技术。

·形成原因：程序未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化的过程，从而导致代码执行、文件操作、执行数据库操作等参数不可控。

PHP魔法函数(在一定情况下不需要被调用而可以自动调用)：

（1）_wakeup()

在PHP中如果需要进行反序列化，会先检查类中是否存在_wakeup函数，如果存在，则会先调用此类方法，预先准备对象需要的资源。

当被反序列化的字符串其中对应的对象的属性个数发生变化时，就会导致反序列化失败同时使得wakeup()函数失效

（2）_destruct()

在对象的所有引用被删除或类被销毁时自动调用

（3）_construct()

在创建一个类的实例时自动调用

(4)_toString()

在类被当作字符串时调用