unserialize的整型溢出错误

最新推荐文章于 2024-03-03 19:05:00 发布
最新推荐文章于 2024-03-03 19:05:00 发布
阅读量825 收藏
点赞数
分类专栏: php 文章标签: php 溢出 unserialize
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rainyse/article/details/49511231
版权

同事使用wnmp环境做本地开发,但是当从linux测试服务器中导出数据在本地调试的时候,发现使用unserialize函数解析序列化数据时报错:

Notice: unserialize() [<a href='function.unserialize'>function.unserialize</a>]: Error at offset 741 of 1242 bytes in ……


经过调试之后我发现是因为反序列化时整形数据溢出导致的,我建议其暂时使用如下函数得到能正常使用的返回值:

function _unserialize($string)
{
    return unserialize(preg_replace('/i:(\d{12});/i', 's:12:"$1";', preg_replace('/i:(\d{11});/i', 's:11:"$1";', $string)));
}


根据PHP官方手册所说,整型数的字长和平台有关,尽管通常最大值是大约二十亿(32 位有符号)。64 位平台下的最大值通常是大约 9E18。PHP 不支持无符号整数。Integer 值的字长可以用常量 PHP_INT_SIZE来表示,自 PHP 4.4.0 和 PHP 5.0.5后,最大值可以用常量 PHP_INT_MAX 来表示。


但是,当我们在Windows下使用64位PHP的时候,PHP_INT_SIZE为4,PHP_INT_MAX为2^31-1。与之相反的是,如果在Linux下使用64位PHP,PHP_INT_SIZE为8,PHP_INT_MAX为2^63-1。PHP Bugs官方也有这么一条BUG报告:https://bugs.php.net/bug.php?id=64863


因此,建议尽量使用和生产环境相同的服务器环境来做本地开发,才能避免类似的非功能性错误。



rainyse
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql unserialize_php unserialize返回false 报错,不能范序列化
weixin_33782296的博客
02-01 148
我从用户那里取到的缓存的序列化数据为:a:1:{s:8:"kl_album";a:4:{s:5:"title";s:12:"精彩瞬间";s:3:"url";s:41:"http://www.kaisay.cn/?plugin=kl_album";s:8:"is_blank";s:7:"_parent";s:4:"hide";s:1:"n";}}咋一看了解序列化的人都会说,这个数据很正常啊,没什么问...
unserialize执行返回错误的一种情况
HJ
01-24 336
array("start"=&gt;0,          "end"=&gt;2,           "desc"=&gt;"you're right!");由于程序自动判断了magic_quotes_gpc并将所有POST,GET的数据自动转义(addslashes下),所以上面数组中的desc在入库之前就变成了you\'re right!,当进入mysql数据库的保存的时候,保存的内容依...
关于tp5报错unserialize(): Error at offset
qq_39154718的博客
03-26 1228
关于tp5报错unserialize(): Error at offset 解决方案删除temp下面的模板临时文件
php7过滤,PHP7过滤unserialize()
weixin_35569211的博客
04-14 108
PHP7引入了过滤unserialize()函数以在反序列化不受信任的数据对象时提供更好的安全性。它可以防止可能的代码注入,使开发人员能够使用序列化白名单类。示例class MyClass1 {public $obj1prop;}class MyClass2 {public $obj2prop;}$obj1 = new MyClass1();$obj1->obj1prop = 1;$obj...
php unserialize反序列化报错问题
huihuangjiuai的专栏
10-30 2589
一开始在本地测试的时候,取序列化值得时候,直接是unserialize(数组)["名称"],这样使用,没问题,也不报错。后来传到服务器上以后(tp框架),莫名其妙报错,也没有具体错误原因。挨个方法调试以后,终于找到就是unserialize的原因。 后来用变量接受一下反序列化的数组,然后用变量["名称"]的方式调用,一点问题没有。不知道这是不是一个unserialize的漏洞。希望能给大家一个提
phpunserialize返回false的解决方法
10-25
不过,在使用unserialize时可能会遇到返回false的情况,这通常意味着序列化的字符串中存在一些问题。针对这一问题,文章首先说明了phpunserialize函数返回false的解决方法。 首先,文章指出序列化是PHP程序设计中...
浅谈php函数serialize()与unserialize()的使用方法
10-25
在处理序列化数据时,必须保证使用的是正确的函数,否则可能会引发错误或安全问题。例如,使用unserialize()时,如果输入的字符串不是有效的序列化字符串,或者字符串是由不可信来源提供的,那么就可能引起代码执行...
php serialize()与unserialize() 不完全研究
10-19
在示例中,当我们调用 `unserialize($dogdisc)`,原来的 `dog` 对象就得以重建,所有属性如 `name`、`age` 和 `owner` 都被正确设置。即使我们注销了原来的 `$ourfirstdog`,通过 `unserialize()` 仍能恢复并继续...
浅谈php serialize()与unserialize()的用法
10-27
`serialize()` 函数接收一个变量作为参数,返回该变量的一个字符串表示,这个字符串是可存储的,且包含了足够的信息以在稍后使用 `unserialize()` 函数恢复原始数据。在提供的例子中,`serialize()` 被用来处理一个 ...
unserialize.php
11-08
unserialize.php
php unserialize bool(false),phpunserialize返回false的解决方法
weixin_42128270的博客
03-28 199
phpunserialize返回false的解决方法发布于 2014-09-30 06:00:01 | 99 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP...
编程语言php提示PHP class x has no unserializer解决办法_PHP教程
10-23 124
编程语言php提示PHP class x has no unserializer解决办法_PHP教程 在我们使用php缓存技术时会出现提示PHP class x has no unserializer 下面我们来介绍一下关于这个问题的办法。 PHP已经出到了5.3.8稳定版本,于是乎准备将公司生产服务器上的PHP从5.2.17升级到5.3.8,在测试服务器上调试的时候却发现了一个诡异的问题: 双PHP环境装好后,原先能在5.2.17正常运行的代码报错了,提示PHP class x has no un
php unserialize()函数,在PHP7中如何使用过滤unserialize()函数
weixin_31937289的博客
03-16 275
unserialize - 从已存储的表示中创建 PHP 的值PHP7 引入了过滤 unserialize () 函数,以便在不受信任的数据上反序列化对象时提供更好的安全性。它可以防止可能的代码注入,并使开发人员能够将可以不序列化的类列入白名单。示例...
【网络安全 | CTF】unserialize3解题详析(php序列化反序列化实例讲解)
等风来
05-21 4693
PHP 中,可以使用 serialize() 函数将对象序列化为字符串,然后保存到文件或传输到其他应用程序中。在 PHP 中,可以使用 unserialize() 函数将序列化后的字符串还原为原始的对象或数据,然后进行处理。对象被序列化并存储为字符串后,如果再次反序列化该字符串并尝试重建相应的对象时,PHP 就会自动调用该对象的。则是将序列化后的数据重新转换为对象、数据结构或变量的过程,以便在程序中进行操作或处理。在反序列化对象时自动调用,用于初始化对象的属性等操作。的对象,该对象有一个属性。
CTF做题笔记--unserialize3
最新发布
Hasur的博客
03-03 323
如果我们按照上图的方式,直接将获取的字符串输入进去,发现wakeup()函数成功的调用了,为了让他不被使用,我们可以将里面的属性值1改成其他任意大于他的数字就可以获得flag。序列化指的是:是将变量转换为可保存或传输的字符串的过程,反序列化就是一个相反的过程。通过观察,在这里有一个wakeup()函数,我们就可以得知这是一个反序列化的漏洞。所以在这道题目中,我们需要去确认一下该序列化字符串的属性值。这道题主要是考察大家反序列化的知识,我们先来进入一下题目。在这里我们先介绍一下什么叫序列化,
CTF笔记 攻防世界Web_php_unserialize
qq_51248658的博客
10-08 329
做过几次反序列化题目,但都是看wp写出来的,也没有记住,所以记一下笔记。小白理解,有不对的地方,还请大佬们指出。通过代码审计进行利用反序列化漏洞(遇到不懂函数要自己去查),然后需要自己进行实例化得到序列化结果,需要多练。
unserialize用法
笔记
05-03 2744
unserialize (PHP 3 >= 3.0.5, PHP 4, PHP 5) unserialize --  从已存储的表示中创建 PHP 的值 描述 mixed unserialize ( string str [, string callback] ) unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可
php unserialize报错解决记录
dengguan2743的博客
12-22 564
Fatal error: main(): The script tried to execute a method or access a property of an incomplete object. Please ensure that the class definition "xx类"; of the object you are trying to operate on ...
[CTF]天网管理系统
胖胖的ALEX
06-26 1105
类型:web 网址:http://www.shiyanbar.com/ctf/1810 攻击:反序列化unserialize 一句话总结: php反序列化 Writeup: 查看源码发现代码<!-- $test=$_GET[‘username’]; $test=md5($test); if($test==‘0’) --> 判断出username的md5值是0e开头的字符串。userna...
unserialize
08-29
当使用serialize函数将一个对象序列化为字符串后,可以使用unserialize函数将其还原为原始的对象。 在使用unserialize函数时,如果被反序列化的字符串中包含有特殊的魔术方法(magic methods)如__construct、__...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值