php反序列化及其常见魔术方法及其触发条件

反序列化介绍：

PHP对象反序列化操作是指将一个之前通过serialize()函数转换为字符串表示的PHP对象数据，还原成原始PHP对象结构的过程。当需要从存储（如数据库、文件或网络传输）中恢复对象状态时，会使用unserialize()函数来执行这个反向操作。

具体步骤如下：

1. 序列化：在PHP中，通过调用serialize($object)函数可以将对象的状态转换为一个可保存和传输的字符串形式。该字符串包含了足够的信息以重建原对象的所有属性值以及类的名称。

2. 存储或传输：序列化后的字符串可以方便地被写入数据库、存储到文件中或在网络间传递。

3. 反序列化：当需要重新创建原始对象时，调用$object = unserialize($serialized_string)函数，它将分析并解析该字符串，根据其中包含的信息重新构建相应的PHP对象，并将其初始化为序列化前的状态。

同时，在PHP对象反序列化过程中，如果对象类定义存在并且符合反序列化要求，unserialize()函数还会自动调用对象的__wakeup()魔术方法（如果已定义），以便在对象完全重构后进行任何必要的初始化操作。

反序列化的防御方法：

PHP对象反序列化操作存在安全风险，攻击者可能利用该过程执行任意代码或进行其他恶意操作。为了防止此类安全漏洞，以下是一些防御方法：

1. 避免不必要的反序列化：

   • 确保只有在必要时才对数据进行反序列化，并且尽量使用可信赖的数据源。

2. 输入验证和过滤：

   • 对于来自用户输入、网络传输或其他不可信来源的任何待反序列化的字符串，务必进行严格的验证和过滤。

3. 魔术方法的控制：

   • 避免在类中定义可能被恶意利用的魔术方法，如__wakeup()和__destruct()。如果确实需要这些方法，确保它们只执行安全的操作，不包含可能导致代码执行的逻辑。

4. 白名单策略：

   • 只允许反序列化已知安全的类。可以通过实现一个自定义反序列化程序或者限制unserialize()函数只能反序列化经过严格检查的类名列表中的类。

5. 使用__sleep()和__wakeup()方法进行安全控制：

   • 在易受攻击的类中定义__sleep()方法，仅序列化必要的属性，排除敏感或不受信任的数据。
   • 在__wakeup()方法中添加安全检查，确保反序列化后的对象状态符合预期。

6. 加密与签名：

   • 序列化数据可以先加密再存储或传输，同时加上数字签名以保证数据完整性和来源可信。解密和验证签名后才能进行反序列化。

7. 安全设计模式：

   • 使用“不允许注入”（immutable）的设计模式来创建对象，这样即使在反序列化过程中也无法改变对象状态。

8. 依赖注入容器：

   • 如果应用框架支持，考虑使用依赖注入容器来管理对象实例化而不是直接通过反序列化来恢复对象。

9. 更新和补丁：

   • 保持PHP环境和所有相关库的最新版本，及时修复已知的安全漏洞。

常见魔术方法：

construct：对象被创建的时候被启用

destruct：对象被应用的时候或者对象被销毁的时候触发

        egg：反序列化完成后或者实例化后

sleep:序列化之前执行

wake up:反序列化之前

to_string:把对象当做字符串使用时触发

invoke：把对象当做函数使用时触发

call:调用的函数不存在于类时触发

callstatic:调用不存在的常量

get：调用的成员属性不存在时

set:给不存在的属性赋值时

isset:对不可访问的属性使用isset()或者empty()函数时

unset:对不可访问的属性使用unset()时

clone:使用clone函数的时候触发

autoload：尝试加载未定义的类

debugInfo：打印所需调试信息