PHP反序列化漏洞

1.PHP序列化基础

序列化是将复杂数据结构转换为可存储字符串的过程，是PHP中重要的数据处理机制。在Web开发中，序列化被广泛 应用于Session存储、缓存系统、数据传输等场景。理解序列化的原理和格式，是掌握反序列化漏洞的基础。本部分将 系统介绍PHP序列化机制的各个方面。

2.序列化与反序列化概述

现在我们都会在淘宝上买桌子,桌子这种很不规则的东西,该怎么从个城市运输到另一个城市,这时候一般把它拆掉成板 子,再装到箱子里面,就可以快递寄出去了,这就类似于我们的序列化过程。（把数据转化为可以存储或者传输的形式） 当买家收到货后，就需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象).

简单来说：“序列化=打包数据，反序列化=拆包还原数据”

3.例题：

3.1.打开实例，右键检查打开hackbar，切换post模式，输入命令

a:2 = 数组，里面2个键值对； s:8:"username" = 字符串类型、8个字符长度、内容username

最后按execute出flag