php unserialize 返回false的解决方法

最新推荐文章于 2024-05-04 00:30:00 发布
最新推荐文章于 2024-05-04 00:30:00 发布
阅读量378 收藏
点赞数
分类专栏: 后台开发 文章标签: PHP

php unserialize 返回false的解决方法

php 提供serialize(序列化) 与unserialize(反序列化)方法。

使用serialize序列化后,再使用unserialize反序列化就可以获取原来的数据。

<?php $arr = array( 'name' => 'fdipzone', 'gender' => 'male' ); $str = serialize($arr); //序列化 echo 'serialize str:'.$str."\r\n\r\n"; $content = unserialize($str); // 反序列化 echo "unserialize str:\r\n"; var_dump($content); ?>

输出:
serialize str?️2:{s:4:“name”;s:8:“fdipzone”;s:6:“gender”;s:4:“male”;}

unserialize str:
array(2) {
[“name”]=>
string(8) “fdipzone”
[“gender”]=>
string(4) “male”
}

但下面这个例子反序列化会返回false

<?php $str = 'a:9:{s:4:"time";i:1405306402;s:4:"name";s:6:"新晨";s:5:"url";s:1:"-";s:4:"word";s:1:"-";s:5:"rpage";s:29:"http://www.baidu.com/test.html";s:5:"cpage";s:1:"-";s:2:"ip";s:15:"117.151.180.150";s:7:"ip_city";s:31:"中国北京市 北京市移动";s:4:"miao";s:1:"5";}'; var_dump(unserialize($str)); // bool(false) ?>

检查序列化后的字符串,发现出问题是在两处地方
s:5:“url”

s:29:“http://www.baidu.com/test.html

这两处应为

s:3:“url”

s:30:“http://www.baidu.com/test.html

出现这种问题的原因是序列化数据时的编码与反序列化时的编码不一致导致,例如数据库是latin1和UTF-8字符长度不一样。

另外有可能出问题的还有单双引号,ascii字符"\0"被解析为 ‘\0’,\0在C中是字符串的结束符等于chr(0),错误解析后算了2个字符。

\r在计算长度时也会出问题。

解决方法如下:

// utf8
function mb_unserialize($serial_str) {
$serial_str= preg_replace(’!s:(\d+):"(.*?)";!se’, “‘s:’.strlen(’$2’).’:”$2";’", $serial_str );
$serial_str= str_replace("\r", “”, s e r i a l s t r ) ; r e t u r n u n s e r i a l i z e ( serial_str); return unserialize( serialstr);returnunserialize(serial_str);
}

// ascii
function asc_unserialize($serial_str) {
$serial_str = preg_replace(’!s:(\d+):"(.*?)";!se’, ‘“s:”.strlen("$2").":"$2";"’, $serial_str );
$serial_str= str_replace("\r", “”, s e r i a l s t r ) ; r e t u r n u n s e r i a l i z e ( serial_str); return unserialize( serialstr);returnunserialize(serial_str);
}

例子:
echo ‘’;

// utf8
function mb_unserialize($serial_str) {
$serial_str= preg_replace(’!s:(\d+):"(.*?)";!se’, “‘s:’.strlen(’$2’).’:”$2";’", $serial_str );
$serial_str= str_replace("\r", “”, s e r i a l s t r ) ; r e t u r n u n s e r i a l i z e ( serial_str); return unserialize( serialstr);returnunserialize(serial_str);
}

$str = ‘a:9:{s:4:“time”;i:1405306402;s:4:“name”;s:6:“新晨”;s:5:“url”;s:1:"-";s:4:“word”;s:1:"-";s:5:“rpage”;s:29:“http://www.baidu.com/test.html";s:5:“cpage”;s:1:"-";s:2:“ip”;s:15:“117.151.180.150”;s:7:“ip_city”;s:31:"中国北京市 北京市移动”;s:4:“miao”;s:1:“5”;}’;

var_dump(unserialize($str)); // false

var_dump(mb_unserialize($str)); // 正确

使用处理过单双引号,过滤\r的mb_unserialize方法就能成功反序列化了。
使用unserialize
bool(false)

使用mb_unserialize
array(9) {
[“time”]=>
int(1405306402)
[“name”]=>
string(6) “新晨”
[“url”]=>
string(1) “-”
[“word”]=>
string(1) “-”
[“rpage”]=>
string(30) “http://www.baidu.com/test.html
[“cpage”]=>
string(1) “-”
[“ip”]=>
string(15) “117.151.180.150”
[“ip_city”]=>
string(31) “中国北京市 北京市移动”
[“miao”]=>
string(1) “5”
}

作者:傲雪星枫
来源:CSDN
原文:https://blog.csdn.net/fdipzone/article/details/38071115
版权声明:本文为博主原创文章,转载请附上博文链接!

孔旗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[渗透测试笔记] 14.php反序列化及利用原理
H4ppyD0g的博客
09-30 686
php序列化与反序列化 php序列化就是将复杂的数据类型(比如说数组,字典,或者一个对象)转换为字符串,方便传输或者存库等操作,并且之后还能后恢复成原来的数据类型的过程。这样可以在不用这个数据的时候让它占用尽可能少的空间。 要注意的是,序列化只是对他的变量进行序列化,类中的函数是不会参与进来的。 php序列化与反序列化的函数 serialize() 用于序列化对象或数组,并返回一个字符串。序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。 unseriali
phpunserialize返回false解决方法
12-18
本文实例讲述了phpunserialize返回false解决方法,分享给大家供大家参考。具体方法如下: php 提供serialize(序列化) 与unserialize(反序列化)方法。 使用serialize序列化后,再使用unserialize反序列化就可以获取原来的数据。 先来看看如下程序实例: <?php $arr = array( 'name' => 'fdipzone', 'gender' => 'male' ); $str = serialize($arr); //序列化 echo 'serialize str:'.$str."\r\n\r\n"; $cont
反序列化(Unserialize)漏洞详解
热门推荐
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
攻防世界之Web_php_unserialize(超详细WP)
金 帛的博客
03-02 3300
攻防世界WP
unserialize入门练习
xiaobai的博客
08-27 1104
知识点 必须知道的魔术方法: __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(),当对不可访问属性调用unset()时被调用。 __sleep(),执行serialize(
unserialize反序列化漏洞
weixin_45634365的博客
03-27 702
一、序列化 序列化(serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区,之后可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 简单地说,就是将状态信息保存为字符串。例如,将PHP中的对象、类、数组、变量、匿名函数等转化为字符串,方便保存到数据库或者文件中。 反序列化: 序列化是将对象的状态信息转为字符串储存起来,反序列化就是将字符串转化为状态信息,即从新将状态信息拿出来使用。 ...
长度问题:php函数unserialize数据返回false问题分析
CrazyStarbnu的专栏
06-24 1353
unserialize的这个问题是由一个emlog论坛用户在使用时报错而发现的问题表现情况如下:emlog缓存的保存方式是将php的数据对象(数组)序列化(serialize)后以文件的形式存放,读取缓存的时候直接反序列化(unserialize)缓存字符串即可读取数据,关于序列化和反序列化的原理请看我先前的文章《php函数serialize()与unserialize()不完全研究》
php浏览历史记录的方法
12-19
如果数据无效,函数会返回`false`,表示操作失败。 2. **获取Cookie中的浏览历史**: 使用`$this->_request->getCookie('history')`从客户端的Cookie中获取名为`history`的值。这假设`_request`是一个已经初始化的...
php中的常用魔术方法汇总
10-22
返回`true`或`false`表示属性是否存在。 - `__unset()`:当使用`unset()`函数尝试删除一个不存在或不可访问的属性时,PHP会调用`__unset()`。你可以在此方法中实现实际的删除逻辑。 2. **方法重载**: - `__call...
详解php中serialize()和unserialize()函数
12-20
- 当 `unserialize()` 遇到无法识别的格式或无效的序列化字符串时,它会返回 `false`,并可能生成一个错误。因此,在使用 `unserialize()` 前,最好先检查字符串是否有效。 - 序列化后的字符串可能包含恶意代码,...
unserialize3与反序列化漏洞零基础详解
sGanYu
09-08 2971
反序列化漏洞(序列化←→反序列化) 什么是序列化(serialize) 将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串 什么是反序列化(unserialize) 将字符串转换为状态信息
PHP反序列化漏洞总结
坚持硬核
10-07 1万+
一、什么是序列化? 将php中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中。而反序列化就是将这个过程倒过来。 当在php中创建了一个对象后,可以通过serialize()把这个对象变成一个字符串,保存对象的值方便以后传递使用。 <?php class A{ public $test = 123; } $a = new A; $a_ser=ser...
渗透测试基础 -unserialize反序列化漏洞
weixin_45488495的博客
05-04 916
渗透测试基础-unserialize反序列化漏洞什么是序列化什么是反序列化类 | 对象魔术方法反序列化靶场演练漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! 什么是序列化 serialize 为 序列化的意思 unserialize 为 取消 序列化,在这理解为反序列化 那先来说一下,什么是序列化?: 序列化(serialize)是将对象的状态信息转换为可以储存或传输的形式的过程。在序列化期间对象将其当前状态写入到临时
php unserialize返回false解决办法
fangdong88的博客
05-31 1089
php unserialize失败返回false原因多半是序列化数据时的编码与反序列化时的编码不一致,导致单引号等特殊字符计算长度不正确,所以解决办法是重新计算长度。百度了很多办法,全是坑呀,百度的那些办法根本没用,都是错的。所以自己写了个,绝对有效!反序列化时用下面函数处理下就行function common_unserialize($serial_str) { $serial...
Unserialize反序列化
weixin_44087538的博客
03-27 1153
s:30:"}作为SESSION的key,将 0:1:"A":1:{s:1:"a”;session.serialize_handler 是用来设置session的序列话引擎的,除了默认的 php 引擎之外,还存在其他引擎,不同的引擎所对应的session的存储方式不相同。在 php_binary 的例子中由于 name 的长度是4,4在ASCII表中对应的就是 EOT ,为不可见字符,所以这里用了URL编码的格式,实际上在不特殊编码的情况下我们看到的是 names:6:"spoock"
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2442
最近开始刷攻防世界的web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
PHP 过滤 unserialize()
unber的博客
06-30 130
PHP 7 增加了可以为 unserialize() 提供过滤的特性,可以防止非法数据进行代码注入,提供了更安全的反序列化数据。
PHP系列」PHP7 新特性:unserialize、 IntlChar、CSPRNG
最新发布
日常笔记/总结/系列知识梳理
05-04 1007
ICU 是一个开源的、跨平台的 Unicode 和全球化软件库,它提供了许多用于处理 Unicode 字符串的功能。使用这些 CSPRNG 函数可以确保生成的随机数是密码学安全的,这意味着它们对于加密应用来说是足够强壮和不可预测的。你也可以使用 PHP 的反射功能来检查已安装的扩展和它们提供的函数和类。函数存在安全风险,因为它可能允许执行恶意代码或产生意外的行为,尤其是当反序列化的数据来自不可信的源时。相反,它提供了一系列的函数和类,用于处理 Unicode 字符串和字符。扩展来使用 ICU 的功能。
攻防世界web_php_unserialize
06-28
攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值