`

PHP反序列化unserialize 出现bool false 解决办法

    博客分类:
  • PHP
 
阅读更多

php 提供serialize(序列化) 与unserialize(反序列化)方法。

使用serialize序列化后,再使用unserialize反序列化就可以获取原来的数据。

<?php  
$arr = array(  
    'name' => 'fdipzone',  
    'gender' => 'male'  
);  
  
$str = serialize($arr); //序列化  
echo 'serialize str:'.$str."\r\n\r\n";  
  
$content = unserialize($str); // 反序列化  
echo "unserialize str:\r\n";  
var_dump($content);  
?>

 输出:

 

 

 

serialize str:a:2:{s:4:"name";s:8:"fdipzone";s:6:"gender";s:4:"male";}  
  
unserialize str:  
array(2) {  
  ["name"]=>  
  string(8) "fdipzone"  
  ["gender"]=>  
  string(4) "male"  
}

 但下面这个例子反序列化会返回false

<?php  
$str = 'a:9:{s:4:"time";i:1405306402;s:4:"name";s:6:"新晨";s:5:"url";s:1:"-";s:4:"word";s:1:"-";s:5:"rpage";s:29:"http://www.baidu.com/test.html";s:5:"cpage";s:1:"-";s:2:"ip";s:15:"117.151.180.150";s:7:"ip_city";s:31:"中国北京市 北京市移动";s:4:"miao";s:1:"5";}';  
var_dump(unserialize($str)); // bool(false)  
?>

 检查序列化后的字符串,发现出问题是在两处地方

 

s:5:"url"

s:29:"http://www.baidu.com/test.html"

这两处应为

s:3:"url"

s:30:"http://www.baidu.com/test.html"

 

出现这种问题的原因是序列化数据时的编码与反序列化时的编码不一致导致,例如数据库是latin1和UTF-8字符长度不一样。

另外有可能出问题的还有单双引号,ascii字符"\0"被解析为 '\0',\0在C中是字符串的结束符等于chr(0),错误解析后算了2个字符。

\r在计算长度时也会出问题。

解决方法如下:

 

// utf8  
function mb_unserialize($serial_str) {  
    $serial_str= preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\";'", $serial_str );  
    $serial_str= str_replace("\r", "", $serial_str);  
    return unserialize($serial_str);  
}  
  
// ascii  
function asc_unserialize($serial_str) {  
    $serial_str = preg_replace('!s:(\d+):"(.*?)";!se', '"s:".strlen("$2").":\"$2\";"', $serial_str );  
    $serial_str= str_replace("\r", "", $serial_str);  
    return unserialize($serial_str);  
}

 转自:http://blog.csdn.net/fdipzone/article/details/38071115

分享到:
| ZendStudio 10.6.2破解文件
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    php中unserialize返回false的解决方法

    本文实例讲述了php中unserialize返回false的解决方法,分享给大家供大家参考。具体方法如下: php 提供serialize(序列化) 与unserialize(反序列化)方法。 使用serialize序列化后,再使用unserialize反序列化就可以...

    PHP函数大全

    #### 八、序列化与反序列化函数:serialize() 和 unserialize() - **serialize()** 用于将任意值转化为可以存储或传输的字符串形式。 - **unserialize()** 用于从 serialize() 产生的字符串还原 PHP 值。 **示例:...

    浅析PHP7新功能及语法变化总结

    PHP7还增加了过滤器,以提升对象反序列化时的安全性。通过这种机制,开发者可以限制unserialize()函数允许的类,以防止潜在的代码执行漏洞。例如: ```php printf('%x', IntlChar::CODEPOINT_MAX); echo IntlChar::...

    PHP远程获取文件

    JSON解码与序列化 在远程获取数据时,常见的数据格式是JSON。PHP提供了两个内置函数来处理JSON数据:`json_encode`和`json_decode`。 - **`json_encode`**: 将PHP变量转换为JSON格式的字符串。 - **`json_decode`...

    解析PHP强制转换类型及远程管理插件的安全隐患

    接着,通过unserialize()函数对数据进行反序列化。攻击者可以构造序列化的数据,控制输入数据的类型,并可能执行不安全的操作。 6. PHP中的漏洞利用:攻击者可以利用PHP在进行类型转换时的特性,例如,如果MD5哈希...

Magicbox
Global site tag (gtag.js) - Google Analytics