网站:【CTF_Web:反序列化学习笔记(一)php中的类与对象 - CSDN App】http://t.csdnimg.cn/8DZX7
【CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深 - CSDN App】http://t.csdnimg.cn/NNftL

数组序列化
原数组: [‘a’=>‘str’, ‘b’=>1, ‘c’=>false]
序列化后: a:3:{s:1:“a”;s:3:“str”;s:1:“b”;i:1;s:1:“b”;i:1;s:1:“c”;b:0;}

对象序列化
对于PHP中的类C,属性 data=“abc” 会被序列化为不同的形式(%00代表空字符)
Public属性: s:4:“data”;s:3:“abc”
Private属性: s:7"%00C%00data";s:3:“abc”
Protected属性: s:7"%00*%00data";s:3:“abc”

其它数据类型
String(字符串):s
Integer(整型):i
Bool(Bool型):b
NULL:N
Array(数组):a
Object(对象):o

1
2
3
4
5
6
7
8
9
10
11
12
13
__construct()		   //对象创建(new)时会自动调用。
__wakeup() //使用unserialize时触发
__sleep() //使用serialize时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据 包括private或者是不存在的
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当脚本尝试将对象调用为函数时触发 就是加了括号
__autoload() //在代码中当调用不存在的类时会自动调用该方法。