博客主要介绍了PHP几种常用的魔术方法,如__destruct()用于垃圾回收,__tostring()在对象当作字符串时调用等。还阐述了三种对象变量属性的访问范围,以及反序列化利用的分类和获取flag的关键,包括绕过条件和利用CVE - 2016 - 7124漏洞。
文章目录
几种常用的魔术方法
1、__destruct()
当删除一个对象或对象操作终止时被调用,其最主要的作用是拿来做垃圾回收机制。当对象销毁时会调用此方法,对象销毁:1.用户主动销毁对象,使用unset()函数;2.当程序结束时由引擎自动销毁。
2、__tostring()
在对象当作字符串的时候会被调用。但是需要注意的是,执行完__toString()之后,会有返回值。
3、__call()
调用某个方法,若方法存在,则直接调用;若不存在,则会调用__call()方法。
4、__get()
读取一个对象的属性时,若属性存在,则直接返回属性值;若不存在,则会调用__get()魔术方法。
5、__set()
设置一个对象的属性时,若属性存在,则直接赋值;若属性不存在或者无法访问(私有)的属性时,则会调用__set()函数。
__set($name, $value)
- 用来为私有成员属性设置属性值;
- 第一个参数为需要设置值多的属性名,第二个参数为需要设置的属性值,
__set方法没有返回值。
6、__sleep()
serialize()之前被调用,可以指定要序列化的对象属性。
7、__wakeup()
反序列化恢复对象之前调用该方法,也就是使用unserialize()之前会先调用__wakeup()。
var_dump会输出反序列化内容。
8、__isset()
检测对象的某个属性是否存在时执行该函数,当对不可访问属性调用isset()或empty()时,触发__isset()。
9、__unset()
在不可访问的属性上使用unset()时触发, 或销毁对象的某个属性时执行此函数。
unset()函数不仅触发__unset(),而且会触发__destruct()。- 三种对象变量属性:
public:在本类内部、外部类、子类中都可以访问;protected:只在本类或子类或父类中可以访问;private:在本类内部可以访问。- 序列化数据显示:
private属性序列的时候格式是%00类名%00成员名protected属性序列的时候格式是%00*%00成员名- 使用
new是创建外部类(测试类),子类是通过继承extends父类得到的。
9、__invoke()
当调用函数的方式调用一个对象时触发。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
