不要开启 php redis 扩展的自动序列化选项

最新推荐文章于 2021-04-08 04:44:03 发布
最新推荐文章于 2021-04-08 04:44:03 发布
阅读量597 收藏
点赞数
文章标签: 数据库 php
原文链接:https://my.oschina.net/u/222608/blog/1925135
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

php redis 扩展有自动序列化选项,在存储kv数据的时候,可以少写点代码就打开了,使用的过程中忽然发现了一个令人郁闷的地方。

扩展没有对你要存储的值做类型判断,任何类型的值都做了自动序列化,比如下面这段代码


$rd = new Redis();
$r = $rd->connect(
    '127.0.0.1', 6379, 1
);
$rd->setOption(Redis::OPT_SERIALIZER, Redis::SERIALIZER_PHP);
$rd->set('k', 1);
var_dump($rd->incr('k'));
echo $rd->getLastError(), PHP_EOL;
echo $rd->get('k');

你存储了一个int进去,然后在incr,就会失败


bool(false)
ERR value is not an integer or out of range

1

直接用redis-cli去看下,发现,value 被序列化了


127.0.0.1:6379> get k

"i:1;"

这是php redis 扩展序列化的部分代码(在源码包的library.c),你会发现,这个序列化并没有像memcached扩展一样做类型判断,而是全部序列化。


PHP_REDIS_API int
redis_serialize(RedisSock *redis_sock, zval *z, char **val, strlen_t *val_len
                TSRMLS_DC)
{
    ……
    switch(redis_sock->serializer) {
        case REDIS_SERIALIZER_NONE:
        ……
        case REDIS_SERIALIZER_PHP:
#if ZEND_MODULE_API_NO >= 20100000
            PHP_VAR_SERIALIZE_INIT(ht);
#else
            zend_hash_init(&ht, 10, NULL, NULL, 0);
#endif
            php_var_serialize(&sstr, z, &ht);
#if (PHP_MAJOR_VERSION < 7)
            *val = estrndup(sstr.c, sstr.len);
            *val_len = sstr.len;
#else
            *val = estrndup(ZSTR_VAL(sstr.s), ZSTR_LEN(sstr.s));
            *val_len = ZSTR_LEN(sstr.s);
#endif
            smart_str_free(&sstr);
#if ZEND_MODULE_API_NO >= 20100000
            PHP_VAR_SERIALIZE_DESTROY(ht);
#else
            zend_hash_destroy(&ht);
#endif
            return 1;
        case REDIS_SERIALIZER_IGBINARY:
        ……

    }
    return 0;
}

看来php redis 这扩展出来这么久,用户量这么大,但是文档都没进到php官方文档,也不是没有原因的。

更多架构、PHP、GO相关踩坑实践技巧请关注我的公众号:PHP架构师

转载于:https://my.oschina.net/u/222608/blog/1925135

weixin_34401479
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【反序列化漏洞-02】PHP序列化漏洞实验详解
cc
03-02 2777
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
php redis 存储json,redis 保存数组(json_encode不成功,serialize成功)
weixin_29091105的博客
03-12 808
要用redis存数组,string类型的方式存储。使用PHP自带的json_encode和json_decode转换成json(失败)。PHP自带的序列化函数serialize和unserialize函数(成功)。有什么具体的差别吗?有大侠讲一下成功和失败的原理吗回复内容:要用redis存数组,string类型的方式存储。使用PHP自带的json_encode和json_decode转换成json...
redis php object serialize,php - redis 保存数组(json_encode不成功,serialize成功)
weixin_29018815的博客
04-08 292
PHPzhong2017-04-11 10:36:523楼序列化和JSON本质上不是一回事, json是种数据格式序列化是指把运行环境中的数据对象转化为流数据, 使之可以保存到文件或网络传输到别的地方使用.这个流数据经反序列化, 会还原为该语言下的数据对象每个语言都有自己的序列化方法php 有比serialize更高效的方法, 便是igbinary_serialize() 和igbinary_un...
php redis序列化,redis为什么要序列化
weixin_36149595的博客
03-19 245
序列化最终的目的是为了对象可以跨平台存储,和进行网络传输。而我们进行跨平台存储和网络传输的方式就是IO,而我们的IO支持的数据格式就是字节数组。 (推荐学习:Redis视频教程)通过上面我想你已经知道了凡是需要进行“跨平台存储”和”网络传输”的数据,都需要进行序列化。本质上存储和网络传输 都需要经过 把一个对象状态保存成一种跨平台识别的字节格式,然后其他的平台才可以通过字...
php redis使用,PHP-Redis扩展使用手册(一)
weixin_30236323的博客
03-09 235
标签://初始化redis实例$redis = new Redis();/* connect 、 open 链接redis* @param string host redis服务器地址* @param int port 链接端口 可选* @param float timeout 链接超时时间,可选,默认为0无限制* @param NULL reserved 如果retry_interval有值,r...
php redis 3.1.4,php redis 扩展模块升级之3.1.6
weixin_39612228的博客
03-18 100
Php扩展模块升级Phpredis扩展模块版本比较低,想升级到3.1.6版本升级前将老版本备份:php -i |grep modulesextension_dir => /usr/lib64/php/modules => /usr/lib64/php/modules进入到php所有模块的所在目录lsbcmath.socurl.softp.soiconv....
php5.6__redis扩展和igbinary64位.rar
06-19
标题 "php5.6__redis扩展和igbinary64位.rar" 暗示了这是一个针对PHP 5.6版本的特殊扩展包,包含了Redis扩展和igbinary扩展的64位版本。Redis是一个开源的、基于键值对的数据存储系统,常用于数据缓存和消息队列。而...
php Redis扩展igbinary
11-02
总的来说,php Redis扩展igbinary是一个提高PHP应用程序与Redis通信效率的工具,通过使用高效的igbinary序列化格式,减少了数据在网络和内存中的占用,提升了整体性能。了解和正确使用这个扩展对于优化基于PHP的...
php使用redis的几种常见操作方式和用法示例
10-15
在发送邮件或者处理秒杀场景中,可以将任务序列化存入List,然后多进程或多线程读取并执行任务。 ```php $redis = new Redis(); $redis->connect('127.0.0.1', 6379, 60); for ($ix = 0; $ix ; $ix++) { $...
phpredis-2.1.1.tar.gz
最新发布
08-01
PHPRedis扩展——phpredis,为PHP提供了方便快捷的Redis操作接口。本文将深入探讨phpredis-2.1.1版本的特性、安装与配置、基本操作以及高级用法。 一、phpredis概述 phpredisPHP的一个C扩展,它允许开发者直接...
PHP使用php-resque库配合Redis实现MQ消息队列的教程
12-18
2. **入队**:在需要执行后台任务的地方,将Job类名和参数序列化后推入Redis队列。 3. **启动Worker**:运行php-resque的Worker进程,指定它要监听的队列。Worker会定期检查队列,发现新Job时取出并执行。 ...
php redis序列化,redis序列化方式哪几种
weixin_31476015的博客
03-19 473
redis的value使用以下序列化方式进行序列化操作:1:JdkSerializationRedisSerializer: (推荐学习:Redis视频教程)2:GenericJackson2JsonRedisSerializer3:StringRedisSerializer4:GenericFastJsonRedisSerializer发现只有4:GenericFastJsonRe...
redis 获取不到_记一次PHP偶现获取不到Redis数据排查过程
weixin_39556590的博客
12-22 1188
李乐问题描述3月25号早晨8点左右线上回归时,发现getTestInfos接口部分请求返回空数据。kibana查询异常请求日志,输入参数正常;梳理接口业务逻辑,是根据输入参数从Redis查询数据返回空导致。进一步确认:1)Redis查询数据时未抛异常;2)Redis中确实存在该数据;3)只有偶尔部分请求无法从Redis获取数据。10点25左右,重启业务进程与confd,恢复正常。两个疑问:1)为什...
Redis08_SpringBoot与Redis整合
热门推荐
BLU_111的博客
08-31 10万+
Redis08_SpringBoot与Redis整合 RedisAutoConfiguration 源码分析: /** * @ConditionalOnMissingBean(name = "redisTemplate") * 这个注解表示如果name为“redisTemplate”的bean已存在,则该注解修饰的代码块不执行。 * 所以我们可以自定义一个RedisTemplate来替换该默认配置 * * 两个泛型都是Object类型,所以我们使用需要强制转换:<String, Obj
redis 自动序列化的坑~
weixin_34239592的博客
05-08 1606
最近项目里需要用Redis来存一下对象/数组。 然后一如既往的按照 redis->set(KEY, OBJECT); 结果发现存不进去。 然后让同事试了一下,没想到他那边竟然可以存。 当时就纠结了,reids版本、配置啥的都一样啊,怎么他的能直接存,我的就一直不行。 经过一番折腾后,突然发现这么一篇文章:my.oschina.net/u/222608/bl… Redis::OPT_SERIA...
php redis 对象序列化,Redis几种对象序列化的比较
weixin_34237941的博客
03-23 394
RedisTemplate和StringRedisTemplate的区别:两者的关系是StringRedisTemplate继承RedisTemplate。两者的数据是不共通的;也就是说StringRedisTemplate只能管理StringRedisTemplate里面的数据,RedisTemplate只能管理RedisTemplate中的数据。SDR默认采用的序列化策略有两种,一种是Stri...
使用redis,放入对象时,反序列化的问题
yuke98727的博客
10-11 9138
一般把对象放入到redis中,都先要把对象给序列化。 有这样的需求,后台管理系统中,业务编辑了内容,把对象设置到redis,即更新redis。 但前端去获取的时候,拿到的对象时空的。 找了很久。 原因是:前端和后台,该对象对应的类的包名不一致导致的,因为对象反序列化时,是跟对象所处的包名有关系的。 解决方法:当业务在后台编辑,对象发生改变后,直接删除该对象的redis。前端去拿redis
Redis 数据序列化方法 serialize, msgpack, json, hprose 比较
weixin_30879833的博客
07-13 236
最近弄 Redis ,涉及数据序列化存储的问题,对比了:JSON, Serialize, Msgpack, Hprose 四种方式 1. 对序列化后的字符串长度对比: 测试代码: $arr = [0, 1, 2, 'a', 'b', 'c', 'd', 'a'=>'12', '包含中文', 'abcd包含中文efg'=>'abc一二三四def...
Redis键的序列化和反序列化
06-01
Redis键的序列化和反序列化是指将键(key)从Redis中读取出来时进行反序列化,或者将键写入Redis时进行序列化Redis使用的是二进制安全的协议,因此键的序列化和反序列化可以使用任何格式,例如JSON、XML、MessagePack等。 Redis支持多种键的序列化和反序列化方式,包括: 1. 默认方式:Redis默认使用字符串(string)格式作为键的序列化和反序列化方式。这种方式适用于大多数情况下。 2. 自定义方式:Redis提供了API,允许用户自定义序列化和反序列化方式。用户可以通过实现自己的序列化和反序列化方法来实现自定义格式的键。 3. 序列化框架:Redis也支持使用各种序列化框架进行键的序列化和反序列化。例如,可以使用Java中的Jackson、Gson等序列化框架来序列化和反序列化键。 无论采用哪种方式,Redis的键的序列化和反序列化都需要保证数据的完整性和一致性,以确保数据的正确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值