php 反序列化报错及解决

最新推荐文章于 2025-06-12 09:32:42 发布
最新推荐文章于 2025-06-12 09:32:42 发布
阅读量2.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: PHP 文章标签: unserialize error
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/json_ligege/article/details/77070932
本文探讨了在MySQL中存储序列化的PHP数组时遇到的反序列化错误问题,并详细介绍了如何通过更改数据库字段的字符集从utf8到utf8mb4来解决此问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

业务逻辑:把从通过程序编辑的一个多维数组,通过序列化为一个字符串,储存到Mysql数据库中。

问题:在编辑完数组后,序列化完毕并保存到数组中,这些都很顺利,问题出在反序列化的时候,

问题提示是:

unserialize-error-at-offset-5-of-9-bytes


尝试1,试了试以前导入进去的数据,反序列化并没有问题。

尝试2,数据库编码与php文件编码不一致,重新设置了php文件编码为utf8,与数据库保持一致,测试,问题没有解决。

尝试3,百度下,有哥们数把数据库保存的类型 由 varchar 改为 text 问题解决了,看了下数据库类型 是longtext类型,没有问题。

尝试4,试着对比以前的数据,发现有一些数据是识别不了的,仔细查了查,原来这些是表情符号,猜想可能是反序列化的时候

解析不了这些表情符号,所以返回的布尔值。然后把数据库字段类型的字符集从utf8改为utf8mb4,再重新编辑数组,序列化数据,

添加数据,反序列化,这次没问题了,解决了。


原因:是因为新增的数据有了表情符号,而数据库的类型是utf8在储存的时候不能解析表情,最大字符长度为 3 字节,如果遇到 4 字节的宽字符就会插入异常了。

三个字节的 UTF-8 最大能编码的 Unicode 字符是 0xffff,也就是 Unicode 中的基本多文种平面(BMP)。也就是说,任何不在基本多文本平面的 Unicode字符,

都无法使用 Mysql 的 utf8 字符集存储。包括 Emoji 表情(Emoji 是一种特殊的 Unicode 编码,常见于 ios 和 android 手机上),

和很多不常用的汉字,以及任何新增的 Unicode 字符等等。

这个utf8mb4的编码,mb4就是most bytes 4的意思,专门用来兼容四字节的unicode,它能够处理Emoji 表情。

从MYSQL5.5开始,才可支持4个字节UTF编码utf8mb4。

python序列化与反序列化
景天科技苑
01-10 1834
序列化: 把不能够直接存储在文件中的数据变得可存储。 反序列化: 把存储在文件中的数据拿出来恢复成原来的数据类型
什么是反序列化反序列化的过程,原理
热门推荐
kali_Ma的博客
12-16 2万+
本篇主要分析java序列化、反序列化的过程,原理, 并且通过简化版URLDNS做案例分析利用链原理。
如何处理JSON中的特殊字符
11-28
JSON 是适用于 Ajax 应用程序的一种有效格式,原因是它使 JavaScript 对象和字符串值之间得以快速转换。由于 Ajax 应用程序非常适合将纯文本发送给服务器端程序并对应地接收纯文本,相比不能生成文本的 API,能生成文本的 API 自然更可取;而且,JSON 让您能够处理本地 JavaScript 对象,而无需为如何表示这些对象多费心思。 XML 也可以提供文本方面的类似益处,但用于将 JavaScript 对象转换成 XML 的几个现有 API 没有 JSON API 成熟;有时,您必须在创建和处理 JavaScript 对象时格外谨慎以确保所进行的处理能与所选用的 XML
php 反序列化报错,php 反序列化报错解决
weixin_32523999的博客
03-27 388
业务逻辑:把从通过程序编辑的一个多维数组,通过序列化为一个字符串,储存到Mysql数据库中。问题:在编辑完数组后,序列化完毕并保存到数组中,这些都很顺利,问题出在反序列化的时候,问题提示是:unserialize-error-at-offset-5-of-9-bytes尝试1,试了试以前导入进去的数据,反序列化并没有问题。尝试2,数据库编码与php文件编码不一致,重新设置了php文件编码为utf8...
php反序列化漏洞学习
最新发布
zl0_00_0的博客
06-12 1160
魔术方法在一些特定的情况下能被自动调用,所以我们一般用这个来绕过一些验证和过滤或者用来执行代码;魔术方法是以__开头的特殊函数,我们需要掌握上面条件下能调用什么魔术方法,什么魔术方法有什么作用,使用多个魔术方法的时候魔术方法调用的先后顺序是什么。
PHP 使用unserialize()反序列化报错问题
Lindong_Jen的博客
08-07 1301
1、问题描述:序列化的数组值中含有英文下的双引号(“)、单引号(‘)、斜杆(\)等特殊字符,反序列化时会报如下错误: Notice: unserialize(): Error at offset 130 of 131 bytes in 2、问题分析:使用unserialize函数将数据反序列化报错,后来发现是将gb2312转换成utf-8格式之后,每个中文的字节数从2个增加到3个之后导致了反序列化的时候判断字符长度出现了问题,所以需要使用正则表达式将序列化的数组中的表示字符长度的值重新计算一..
php反序列化失败,php 反序列化报错解决
weixin_39873325的博客
03-26 3132
业务逻辑:把从通过程序编辑的一个多维数组,通过序列化为一个字符串,储存到Mysql数据库中。问题:在编辑完数组后,序列化完毕并保存到数组中,这些都很顺利,问题出在反序列化的时候,问题提示是:unserialize-error-at-offset-5-of-9-bytes尝试1,试了试以前导入进去的数据,反序列化并没有问题。尝试2,数据库编码与php文件编码不一致,重新设置了php文件编码为utf8...
php反序列化失败,php反序列化失败怎么办
weixin_39853131的博客
03-26 220
php反序列化失败是因为序列化数据时的编码与反序列化时的编码不一致导致的,其解决办法就是使用处理过的单双引号,过滤“”的“mb_unserialize”方法即可成功反序列化。推荐:《PHP视频教程》php unserialize 返回false的解决方法php 提供serialize(序列化) 与unserialize(反序列化)方法。使用serialize序列化后,再使用unserialize反...
PHP反序列化
这个人很懒,什么都懒得写
01-17 854
学习反序列化
PHP反序列化刷题
mo2901600657的博客
11-20 342
那么为了维持元素个数为三,就要再添加两个元素。$_SESSION['img']=base64_encode('d0g3_f1ag.php') (变量不可控)$_SESSION['user']和$_SESSION['function']可通并进行了序列化和反序列化。倒推:$userinfo['img']=base64_encode('d0g3_f1ag.php')让输出报错:O:4:"xctf":2:{s:4:"flag";明显要元素个数一直为3,改变img的值,需要把原本的img那段吐出来。
php反序列化学习之字符串逃逸
m0_54903333的博客
04-28 832
php反序列化时,会严格按照字符串长度来读取后面的字符串,如果长度不对,就会反序列化失败,返回一个布尔变量false,我看其他大佬的文章这里都会报错,可能是php版本不同,如:我们把原来的4改为3,php在读取时就会往后面读取3个字符:nam,然后结束这个字符串的读取**,正常来说接下来该读取结束符 “;来构成闭合,但是没有,而是读取到了e,于是反序列化失败**,返回false,如果改为5,就会读取 name” 然后结束,也是无法闭合而失败。
php反序列化注入,浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
weixin_42629522的博客
03-09 218
1.漏洞产生的原因#### 正常的反序列化语句是这样的$a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"abcdef";}';但是如果写成这样$b='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"123456";}s:8:"password";s:6:"abcde";}'...
php unserialize反序列化报错问题
huihuangjiuai的专栏
10-30 2721
一开始在本地测试的时候,取序列化值得时候,直接是unserialize(数组)["名称"],这样使用,没问题,也不报错。后来传到服务器上以后(tp框架),莫名其妙报错,也没有具体错误原因。挨个方法调试以后,终于找到就是unserialize的原因。 后来用变量接受一下反序列化的数组,然后用变量["名称"]的方式调用,一点问题没有。不知道这是不是一个unserialize的漏洞。希望能给大家一个提
PHP反序列化漏洞的新攻击面
Fly_鹏程万里
09-17 1370
今年8月份的美国blackhat上Sam Thomas提出了一种新的反序列化攻击场景,而且这种场景可能伴随着xxe、ssrf或者其他相关漏洞的出现而出现。本文将会对此进行介绍,并针对wordpress中的漏洞进行复现。 一、 引言 自从2009年Stefan Essar提出PHP反序列化问题以来,已经有大量的CVE出现,例如CVE-2017-12934、CVE-2017-12933等。今年8月...
记录PHPSerializer工具类反序列化遇到的坑
cxclll的博客
07-14 679
PHPSerializer工具类反序列化失败
PHP接口返回json字符串时无法正常解析
yang725614的博客
10-25 2398
这两天在调试一个接口时,在本地测试都是正常的,postman测试也是正常的,但是提供给合作方时他们说无法正常解析,几经周折最后发现json字符串前面含一个\ufeff , 具体原因:将UTF-8格式编码 改成 UTF-8无BOM格式编码导致json字符串不能正常解析。 解决办法: linux 服务器:切换到相应的项目目录: Linux下查找含BOM头的文件和清除BOM头命令 ...
php 序列化转义冒号,Json数据中有冒号以及其它特殊字符序列化总结
weixin_42299472的博客
03-18 346
JSON 是适用于 Ajax 应用程序的一种有效格式,原因是它使 JavaScript 对象和字符串值之间得以快速转换。但是Json数据中有冒号以及其它特殊字符时序列化解析就会报错,处理办法如下:错误数据格式如下  {test:2011-11-10 00:00:00,name:test\]]\]\]\asfasdfasdf,age:28}比较好的解决办法是将字符串中的key和value都加上””来...
PHP传递给js的JSON数据无法反序列化
彭世瑜的博客
06-10 1371
如果正常json序列化后无法反序列化,就进行base64编码 php编码 $data = array( "name" => "王建国", "age" => 23 ); echo json_encode($data); // {"name":"\u738b\u5efa\u56fd","age":23} echo base64_encode(json_encode($data)); // eyJuYW1lIjoiXHU3MzhiXHU1ZWZhXHU1NmZkIiwiYWdl
php反序列化函数题目
03-09
### 关于 PHP 反序列化函数的练习题 #### 题目一:理解对象属性与魔术方法的关系 给定如下代码片段: ```php <?php class B { public $b = 'world'; } class C { public $c = "flag.php"; function __toString(){ echo file_get_contents($this->c); return 'nice'; } } $b = new B; $c = new C; $b -> b = $c; echo serialize($b); ?> ``` 此代码展示了如何通过设置 `$b` 对象中的 `b` 属性为另一个对象实例来影响最终输出的结果。当尝试访问或操作该复合结构时,可能会触发内部对象的方法执行[^1]。 为了加深对此机制的理解,可以设计一道题目让学生分析并预测上述代码的行为模式以及可能的安全风险点所在之处。 #### 题目二:识别潜在漏洞利用路径 考虑下面简化版的例子: ```php <?php class FileClass { public $filename = 'error.log'; public function __toString(){ return file_get_contents($this->filename); } } ``` 如果攻击者能够控制传入的数据流,则有可能构造恶意输入使程序读取任意文件内容。基于这一点,编写一段描述此类场景下可能发生的具体情况,并讨论应采取哪些措施防止这种类型的攻击发生[^2]。 #### 题目三:探索不同版本间差异的影响 由于 PHP 不同版本对于错误处理方式有所区别,在某些情况下这会影响到反序列化的安全性。例如,在较新的PHP版本中未提供足够的参数将会引发更严格的报错机制而不是简单的警告信息[^3]。因此,建议准备一些对比新旧版本特性的案例研究,帮助学习者认识到升级环境的重要性及其带来的安全改进。 #### 题目四:实际应用中的防御策略探讨 最后一个重要方面是如何有效防范针对应用程序发起的反序列化攻击。除了确保只接受可信来源的数据之外,还可以采用诸如禁用危险的魔术方法(`__wakeup`, `__destruct`)或者自定义反序列化过程等方式增强系统的鲁棒性和安全性。围绕这些主题展开深入思考和实践演练是非常有益处的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JSON_L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值