PHP反序列化
在线反序列化生成json和代码,让您快速查看序列化后的东西。
技术解析:PHP Serialize
serialize() 是 PHP 内置的数据持久化方案。它不仅保存了变量的值,还完整保留了数据类型(如字符串长度、整型、数组嵌套及对象类名)。
这使得它比 JSON 更强大:它能处理 PHP 内部的对象引用、递归关联,并能触发对象的魔术方法。
结构示例说明
- s:4:"Colo"; -> String(4字节)
- i:18; -> Integer(整数型)
- a:2:{...} -> Array(2个元素)
MAGIC
魔术方法介入机制
__sleep()
在序列化之前调用,常用于关闭数据库连接或清理大体积资源。
__wakeup()
反序列化后立即执行,用于重新初始化被清理的成员变量。
Security Notice
警告: 请勿反序列化不受信任的用户输入。不安全的反序列化可能导致魔术方法被滥用,从而引发 远程代码执行 (RCE) 风险。