序列化：对象转化为数组或字符串等格式。

反序列化：将数组或字符串等格式转化为对象。

原理

未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入、目录遍历等不可控后果。在反序列化过程中自动触发了某些魔法方法。当反序列化的时候就有可能触发对象中的一些魔术方法。

触发：unserialize函数的变量可控，文件中存在可利用的类，类中有魔术方法：

__construct()： 在对象构造时会自动调用，可以用于检查输入参数是否合法。

__destruct()： 在对象销毁时会自动调用，可以用于清理资源。

__wakeup()： 在 unserialize() 时会自动调用，可以用于恢复对象状态。

__invoke()： 当对象被当作函数调用时会自动调用，可以用于执行特定操作。

__call()、__callStatic()： 当调用不存在的方法时会自动调用，可以用于处理未定义的方法。

__get()、__set()： 当访问不存在的属性时会自动调用，可以用于处理未定义的属性。

__isset()、__unset()： 当检查属性是否存在或删除属性时会自动调用，可以用于控制属性的访问。

__toString()： 当对象被转换为字符串时会自动调用，可以用于自定义对象的字符串表示。

__sleep()： 在 serialize() 函数被调用时会自动调用，可以用于清理对象状态，防止序列化敏感信息。