php unserialize 返回false的解决方法

最新推荐文章于 2021-11-02 11:48:27 发布
最新推荐文章于 2021-11-02 11:48:27 发布
阅读量3.1w 收藏 3
点赞数 1
分类专栏: php 文章标签: php serialize unserialize 序列化 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fdipzone/article/details/38071115
版权

php unserialize 返回false的解决方法


php 提供serialize(序列化) 与unserialize(反序列化)方法。

使用serialize序列化后,再使用unserialize反序列化就可以获取原来的数据。

<?php
$arr = array(
    'name' => 'fdipzone',
    'gender' => 'male'
);

$str = serialize($arr); //序列化
echo 'serialize str:'.$str."\r\n\r\n";

$content = unserialize($str); // 反序列化
echo "unserialize str:\r\n";
var_dump($content);
?>
输出: 

serialize str:a:2:{s:4:"name";s:8:"fdipzone";s:6:"gender";s:4:"male";}

unserialize str:
array(2) {
  ["name"]=>
  string(8) "fdipzone"
  ["gender"]=>
  string(4) "male"
}

但下面这个例子反序列化会返回false 

<?php
$str = 'a:9:{s:4:"time";i:1405306402;s:4:"name";s:6:"新晨";s:5:"url";s:1:"-";s:4:"word";s:1:"-";s:5:"rpage";s:29:"http://www.baidu.com/test.html";s:5:"cpage";s:1:"-";s:2:"ip";s:15:"117.151.180.150";s:7:"ip_city";s:31:"中国北京市 北京市移动";s:4:"miao";s:1:"5";}';
var_dump(unserialize($str)); // bool(false)
?>

检查序列化后的字符串,发现出问题是在两处地方

s:5:"url"

s:29:"http://www.baidu.com/test.html"

这两处应为

s:3:"url"

s:30:"http://www.baidu.com/test.html"


出现这种问题的原因是序列化数据时的编码与反序列化时的编码不一致导致,例如数据库是latin1和UTF-8字符长度不一样。

另外有可能出问题的还有单双引号,ascii字符"\0"被解析为 '\0',\0在C中是字符串的结束符等于chr(0),错误解析后算了2个字符。

\r在计算长度时也会出问题。


解决方法如下:

// utf8
function mb_unserialize($serial_str) {
    $serial_str= preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\";'", $serial_str );
    $serial_str= str_replace("\r", "", $serial_str);
    return unserialize($serial_str);
}

// ascii
function asc_unserialize($serial_str) {
    $serial_str = preg_replace('!s:(\d+):"(.*?)";!se', '"s:".strlen("$2").":\"$2\";"', $serial_str );
    $serial_str= str_replace("\r", "", $serial_str);
    return unserialize($serial_str);
}

例子: 

echo '<meta http-equiv="content-type" content="text/html; charset=utf-8">';

// utf8
function mb_unserialize($serial_str) {
    $serial_str= preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\";'", $serial_str );
    $serial_str= str_replace("\r", "", $serial_str);
    return unserialize($serial_str);
}

$str = 'a:9:{s:4:"time";i:1405306402;s:4:"name";s:6:"新晨";s:5:"url";s:1:"-";s:4:"word";s:1:"-";s:5:"rpage";s:29:"http://www.baidu.com/test.html";s:5:"cpage";s:1:"-";s:2:"ip";s:15:"117.151.180.150";s:7:"ip_city";s:31:"中国北京市 北京市移动";s:4:"miao";s:1:"5";}';

var_dump(unserialize($str));    // false

var_dump(mb_unserialize($str)); // 正确

使用处理过单双引号,过滤\r的mb_unserialize方法就能成功反序列化了。 

使用unserialize
bool(false)

使用mb_unserialize
array(9) {
  ["time"]=>
  int(1405306402)
  ["name"]=>
  string(6) "新晨"
  ["url"]=>
  string(1) "-"
  ["word"]=>
  string(1) "-"
  ["rpage"]=>
  string(30) "http://www.baidu.com/test.html"
  ["cpage"]=>
  string(1) "-"
  ["ip"]=>
  string(15) "117.151.180.150"
  ["ip_city"]=>
  string(31) "中国北京市 北京市移动"
  ["miao"]=>
  string(1) "5"
}


傲雪星枫
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
长度问题:php函数unserialize数据返回false问题分析
CrazyStarbnu的专栏
06-24 1335
unserialize的这个问题是由一个emlog论坛用户在使用时错而发现的问题表现情况如下:emlog缓存的保存方式是将php的数据对象(数组)序列化serialize)后以文件的形式存放,读取缓存的时候直接反序列化unserialize)缓存字符串即可读取数据,关于序列化反序列化的原理请看我先前的文章《php函数serialize()与unserialize()不完全研究》
phpunserialize返回false解决方法
12-18
本文实例讲述了phpunserialize返回false解决方法,分享给大家供大家参考。具体方法如下: php 提供serialize(序列化) 与unserialize(反序列化)方法。 使用serialize序列化后,再使用unserialize反序列化就可以获取原来的数据。 先来看看如下程序实例: <?php $arr = array( 'name' => 'fdipzone', 'gender' => 'male' ); $str = serialize($arr); //序列化 echo 'serialize str:'.$str."\r\n\r\n"; $cont
php中的return false,phpunserialize返回false解决方法
weixin_29528865的博客
03-09 191
本文实例讲述了phpunserialize返回false解决方法,分享给大家供大家参考。具体方法如下:php 提供serialize(序列化) 与unserialize(反序列化)方法。使用serialize序列化后,再使用unserialize反序列化就可以获取原来的数据。先来看看如下程序实例:$arr = array('name' => 'fdipzone','gender' =&g...
浅谈php函数serialize()与unserialize()的使用方法
10-25
phpserialize()与unserialize()函数是一对函数,下面本文章就来为各位同学介绍serialize()与unserialize()函数的使用例子,希望能帮助到各位。
php浏览历史记录的方法
12-19
本文实例讲述了php浏览历史记录的方法。分享给大家供大家参考。具体实现方法如下: /** * 商品历史浏览记录 * $data 商品记录信息 */ private function _history($data) { if(!$data || !is_array($data)) { ...
php中的常用魔术方法汇总
10-22
返回`true`或`false`表示属性是否存在。 - `__unset()`:当使用`unset()`函数尝试删除一个不存在或不可访问的属性时,PHP会调用`__unset()`。你可以在此方法中实现实际的删除逻辑。 2. **方法重载**: - `__call...
php unserialize 返回false
凌晨四点的_LA
11-02 137
出现这种问题的原因: 1、序列化数据时的编码与反序列化时的编码不一致导致,例如数据库是latin1和UTF-8字符长度不一样。 2、单双引号,ascii字符"\0"被解析为 '\0',\0在C中是字符串的结束符等于chr(0),错误解析后算了2个字符。\r在计算长度时也会出问题。 /** * utf8 反序列化 * @param $serial_str * @return mixed */ function mb_unserialize($serial_str) { $serial
php unserialize bool(false),关于phpunserialize返回false
weixin_42515392的博客
03-28 111
今天碰到一个很畸形的问题,在进行反序列化时,结果返回false,仔细检查了下,原来是序列化时编码与反序列化时编码问题。平时很少注意这个,原因是编码不一致时单引号和双引号有差别。以下函数进行替换可解决此问题。// UTF-8function mb_unserialize($serial_str) {$serial_str = str_replace ( "\r", "", $serial_str ...
php反序列化unserialize返回false,本地自己序列化反序列化却可以。
wohaoshuai0的博客
07-24 376
拿 a:3:{i:10538480057;a:4:{s:9:"stock_num";i:1998;s:6:"sku_id";s:11:"10538480057";s:11:"color_value";s:28:"三层48CM宽黑色(513)";s:10:"size_value";s:12:"默认尺寸";}i:10538480052;a:4:{s:9:"stock_num";i:1087;s:6:"...
php unserialize bool(false),直击phpunserialize返回false解决方法_后端开发
weixin_42297349的博客
03-28 161
本文实例告了phpunserialize返回false解决要领,分享给人人供人人参考。具体要领以下:php 供应serialize(序列化) 与unserialize(反序列化)要领。运用serialize序列化后,再运用unserialize反序列化就可以够猎取本来的数据。先来看看以下程序实例:$arr = array('name' => 'fdipzone','gender' =...
php 反序列化返回false解决方法
weixin_30512043的博客
01-12 165
function mb_unserialize($serial_str) { $serial_str= preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\";'", $serial_str ); $serial_str= str_replace("\r", ""...
php unserialize bool(false),php unserialize 返回false解决方法
weixin_36200896的博客
03-28 137
php unserialize 返回false解决方法php 提供serialize(序列化) 与unserialize(反序列化)方法。使用serialize序列化后,再使用unserialize反序列化就可以获取原来的数据。$arr=array('name'=>'fdipzone','gender'=>'male');$str=serialize($arr);//序列化echo...
php unserialize bool(false),phpunserialize返回false解决方法
weixin_42128270的博客
03-28 183
phpunserialize返回false解决方法发布于 2014-09-30 06:00:01 | 99 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP...
php unserialize返回空的解决办法
weixin_33859504的博客
07-27 2511
php unserialize返回空的解决办法 UTF8 $need_info= preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\";'", $need_info); $need_info= str_replace("\r", "", $need_info); GBK ...
php unserialize返回false解决办法
fangdong88的博客
05-31 1079
php unserialize失败返回false原因多半是序列化数据时的编码与反序列化时的编码不一致,导致单引号等特殊字符计算长度不正确,所以解决办法是重新计算长度。百度了很多办法,全是坑呀,百度的那些办法根本没用,都是错的。所以自己写了个,绝对有效!反序列化时用下面函数处理下就行function common_unserialize($serial_str) { $serial...
攻防世界web_php_unserialize
最新发布
06-28
### 回答1: 攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP序列化反序列化函数,以及对序列化字符串的解析能力。 ### 回答2: web_php_unserialize指的是PHP反序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程中存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界中的web_php_unserialize比赛就是通过挖掘实际漏洞并利用它们对目标进行攻击的比赛。 攻防世界中的web_php_unserialize比赛通常会考查参赛者对PHP反序列化漏洞的深入理解和实际应用能力。比赛中的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的解析和理解。参赛者需要清楚地知道序列化字符串中不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串中的数据类型和值进行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参赛者需要在比赛中证明自己能够精准地修改序列化字符串中的数据类型和值。 3. 对反序列化函数的使用和理解。PHP反序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参赛者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理解和审计。比赛中可能会给出一些被漏洞的代码,参赛者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界中的web_php_unserialize比赛旨在锻炼参赛者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理解和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP反序列化漏洞的CTF题目。这个题目主要考察选手对于PHP反序列化漏洞的理解和应用能力。 在一般的PHP应用程序中,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程中没有对数据流进行足够的验证和过滤,导致攻击者可以在数据流中注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序中都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了解序列化反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理解和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了解PHP反序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值