Что такое deserialization vulnerability в PHP-разработке и зачем это спрашивают на собеседовании?

deserialization vulnerability — опасность unserialize недоверенных данных.

• может привести к object injection
• лучше JSON
• если нужно — allowed_classes

Почему спрашивают: тема показывает, понимает ли кандидат не только синтаксис, но и последствия для реального PHP-проекта: поддержку, безопасность, производительность и читаемость.

Типичная ошибка: делать unserialize($_COOKIE['data']).

Как отвечать на собеседовании: дать определение, коротко назвать 2–3 практических эффекта и привести пример из проекта.