PHP中所有的值都可以使用serialize函数序列化为一个包含字节流的字符串。unserialize函数则能够把字符串重新变回php原来的值。序列化一个对象将会保存对象的所有变量，但是不会保存对象的方法，只会保存类的名字。为了能够反序列化一个对象，这个对象的类必须已经定义过。如果序列化类A的一个对象，将会返回一个跟类A相关，而且包含了对象所有变量值的字符串。 如果要想在另外一个文件中反序列化一个对象，这个对象的类必须在反序列化之前定义，可以通过包含一个定义该类的文件或使用函数spl_autoload_register()来实现。强烈建议在整个应用程序都包含对象的类的定义。不然有可能出现在反序列化对象的时候，没有找到该对象的类的定义，从而把没有方法的类__PHP_Incomplete_Class_Name作为该对象的类，导致返回一个没有用的对象。

如果对象的类中定义了 __sleep或__wakeup 方法，则会在序列化时调用__sleep，反序列化时调用__wakeup。

class A{ private $var; public $var2="b"; function __construct(){ $this->var=mt_rand(); function __sleep(){ return array("var","var2"); function __wakeup(){ $this->var=mt_rand(); function __toString(){ return "class[".__CLASS__."]:{var:$this->var,var2:$this->var2}\n"; $a=new A(); echo $a; $str=serialize($a); echo "$str\n"; $b=unserialize($str); echo $b; PHP 7 < 7.0.10 漏洞产生原因 如果类中存在__wakeup方法，调用 unserilize() 方法前则先调用__wakeup方法，当 序列化 字符串中表示 对象 属性个数的值大于 真实的属性个数时会跳过__wakeup的执行 编写测试脚本 <? php header("Content-Type 所谓的 对象 序列化 是指：将一个 对象 转化成一个字符串，这个字符串包括 属性 属性名，属性值，属性类型，和该 对象 对应的类名。简单的说明就是把一个 对象 的书和数据类型转成字符串； &lt;? php header("content-type:text/html;charset=utf-8"); class Cat { public $name; public $age; PHP 反序列化 是一种常见的安全漏洞，攻击者可以利用这个漏洞来执行恶意代码或者控制 Web 应用程序。要学习 PHP 反序列化 ，您可以按照以下步骤进行： 1.了解 序列化 和 反序列化 的基本概念。 序列化 是将 对象 转换为字符串的过程， 反序列化 则是将字符串转换为 对象 的过程。在 PHP 中，可以使用 serialize() 和 unserialize() 函数进行 序列化 和 反序列化 。 2.学习 PHP 反序列化 的原理和技术。了解攻击者是如何利用 反序列化 漏洞来执行恶意代码的，以及如何使用一些工具和技术来发现和利用这些漏洞。 3.掌握 PHP 反序列化 的实际操作。可以通过创建漏洞靶场或者参加 CTF 活动来进行实践，学习如何编写和利用 反序列化 漏洞的利用代码。 4.学习防御 PHP 反序列化 漏洞的方法。了解一些常见的防御技术和最佳实践，以减少应用程序受到攻击的风险。 在学习 PHP 反序列化 时，建议您选择一些优质的在线资源、书籍、博客或者论坛来学习，例如 OWASP 和 PHP 官方文档。此外，也可以加入一些安全社区或者参加一些培训课程，与其他安全从业者交流和学习经验。