php反序列化

Posted 2022-02-24 0xdd

1.__wakeup()函数漏洞就是与对象的属性个数有关，如果序列化后的字符串中表示属性个数的数字与真实属性个数一致，那么i就调用__wakeup()函数，如果该数字大于真实属性个数，就会绕过__wakeup()函数。

 

2、__construct()
实例化对象时被调用。__construct()是构造函数，同时当函数名和类名相同的时候，也是构造函数，构造函数有两种表达方式。
但是当__construct和以类名为函数名的函数同时存在的时候，__construct将被调用，而以类名作为函数名的构造函数不被调用。

 

3、__destruct()
当删除一个对象或对象操作终止时被调用。

4、__call()

当对象调用某个方法的时候，若方法存在，则直接调用；若不存在，则会去调用__call函数。

5、__get()

读取一个对象的属性时，若属性存在，则直接返回属性值；若不存在，则会调用__get函数。

 

6、__set()

设置一个对象的属性时，若属性存在，则直接赋值；若不存在，则会调用__set函数。

7、__toString()
打印一个对象的时被调用。如 echo $obj ，或 print $obj;

8、__clone()
克隆对象时被调用。如：$t=new Test()，$t1=clone $t;

9、__sleep()
serialize之前被调用。若对象比较大，想删减一点东东再序列化，可考虑一下此函数。

10、__isset()
检测一个对象的属性是否存在时被调用。如：isset($c->name)。

11、__unset()
unset一个对象的属性时被调用。如：unset($c->name)。

12、__set_state()
调用var_export时，被调用。用__set_state的返回值做为var_export的返回值。

13、__autoload()
实例化一个对象时，如果对应的类不存在，则该方法被调用。