问题
php
<?php $raw = 'O:1:"A":1:{s:1:"a";s:1:"b";}'; echo serialize(unserialize($raw)); //O:1:"A":1:{s:1:"a";s:1:"b";}?>
php反序列化的时按理说找不到A这个类,但是他没有报错,且反序列化过后得到的值依然为原来的值。
原因
当你尝试反序列化一个不存在的类时,会出现如下的一个字段,会将不存在的类转换成下面那个特殊的类,同时将原始的类名A存放在__PHP_Incomplete_Class_Name这个属性中,其余属性(其余属性是下面那个)存放方式不变。 当反序列化之后就会去找__PHP_Incomplete_Class_Name这个属性,再把里面的东西(这里指A)拿出来
问题
现在自己构造一个数组,其中有__PHP_Incomplete_Class这个类
php
a:2:{i:0;O:8:"stdClass":1:{s:3:"abc";N}i:1;O:22:"__PHP_Incomplete_Class":1:{s:3:"abc";N;}}现在将其反序列化后就会发生如下状况
然后我们再次进行一次序列化,出现了一点变化__PHP_Incomplete_Class中值不见了
那这时我们再进行一次反序列化,值就和第一次序列化变得不一样了,__PHP_Incomplete_Class中值成为空值了
