Periksa untuk melihat apakah suatu string diserialisasi?

134

Apa cara terbaik untuk menentukan apakah string adalah hasil dari serialize()fungsi?

https://www.php.net/manual/en/function.serialize

php serialization

— Dang
sumber

191

Saya akan mengatakan, cobalah unserialize;-)

Mengutip manual:

Jika string yang diteruskan tidak dapat dibatalkan, FALSE dikembalikan dan E_NOTICE dikeluarkan.

Jadi, Anda harus memeriksa apakah nilai pengembaliannya falseatau tidak (dengan ===atau !==, untuk memastikan tidak memiliki masalah dengan 0atau nullatau apa pun yang setara dengan false, saya katakan) .

Berhati-hatilah dengan pemberitahuan: Anda mungkin ingin / perlu menggunakan operator @ .

Misalnya :

$str = 'hjkl';
$data = @unserialize($str);
if ($data !== false) {
    echo "ok";
} else {
    echo "not ok";
}

Akan membuat Anda:

not ok

EDIT: Oh, dan seperti yang dikatakan @Peter (terima kasih padanya!), Anda mungkin akan mendapat masalah jika Anda mencoba untuk membatalkan registrasi representasi boolean false :-(

Jadi, memeriksa bahwa string serial Anda tidak sama dengan " b:0;" mungkin membantu juga; sesuatu seperti ini harus melakukan trik, saya kira:

$data = @unserialize($str);
if ($str === 'b:0;' || $data !== false) {
    echo "ok";
} else {
    echo "not ok";
}

menguji kasus khusus itu sebelum mencoba unserialize akan menjadi optimasi - tetapi mungkin tidak berguna, jika Anda tidak sering memiliki nilai serial yang salah.

— Pascal MARTIN
sumber

20

Tetapi bagaimana jika nilai unserialized adalah boolean dengan nilai FALSE?

— Peter

1

@ Peter: komentar luar biasa; Saya telah mengedit jawaban saya dengan proposisi untuk menangani kasus itu; terima kasih!

— Pascal MARTIN

Terima kasih. :) Saya berasumsi ini mungkin akan menjadi jawabannya .. Sepertinya saya harus ada cara untuk mencari tahu apakah itu serial sebelum benar-benar memaksa parser untuk mencoba memprosesnya.

— Dang

1

Apakah metode ini memiliki dampak yang wajar pada kinerja dengan potongan data yang lebih besar?

— pie6k

2

PENTING: Jangan pernah unserialize data pengguna mentah karena dapat digunakan sebagai vektor serangan. OWASP: PHP_Object_Injection

— ArtBIT

56

Saya tidak menulis kode ini, sebenarnya dari WordPress. Kupikir aku akan memasukkannya untuk siapa pun yang tertarik, itu mungkin berlebihan tetapi bekerja :)

<?php
function is_serialized( $data ) {
    // if it isn't a string, it isn't serialized
    if ( !is_string( $data ) )
        return false;
    $data = trim( $data );
    if ( 'N;' == $data )
        return true;
    if ( !preg_match( '/^([adObis]):/', $data, $badions ) )
        return false;
    switch ( $badions[1] ) {
        case 'a' :
        case 'O' :
        case 's' :
            if ( preg_match( "/^{$badions[1]}:[0-9]+:.*[;}]\$/s", $data ) )
                return true;
            break;
        case 'b' :
        case 'i' :
        case 'd' :
            if ( preg_match( "/^{$badions[1]}:[0-9.E-]+;\$/", $data ) )
                return true;
            break;
    }
    return false;
}

— Brandon Wamboldt
sumber

1

Saya pada dasarnya membutuhkan regex untuk melakukan deteksi dasar, saya akhirnya menggunakan:^([adObis]:|N;)

— farinspace

5

Versi WordPress saat ini agak lebih canggih: codex.wordpress.org/Function_Reference/…

— ChrisV

3

+1 untuk memberi kredit. Saya tidak tahu WordPress memiliki ini bawaan. Terima kasih atas idenya - Sekarang saya akan melanjutkan dan membuat arsip fungsi yang bermanfaat dari WordPress Core.

— Amal Murali

Referensi fungsi URL to wordpress terbaru: developer.wordpress.org/reference/functions/is_serialized

— Cédric Françoys

18

Mengoptimalkan respons Pascal MARTIN

/**
 * Check if a string is serialized
 * @param string $string
 */
public static function is_serial($string) {
    return (@unserialize($string) !== false);
}

— SoN9ne
sumber

16

Jika $ string adalah falsenilai serial , yaitu fungsi $string = 'b:0;' SoN9ne kembali false, itu salah

jadi fungsinya akan

/**
 * Check if a string is serialized
 *
 * @param string $string
 *
 * @return bool
 */
function is_serialized_string($string)
{
    return ($string == 'b:0;' || @unserialize($string) !== false);
}

— Hazem Noor
sumber

2

Menukar urutan tes ini akan lebih efisien.

— artfulrobot

@ (Pada operator) harus berkecil hati. Gunakan try catch block sebagai gantinya.

— Francisco Luz

@FranciscoLuz dari manual php.net/manual/en/function.unserialize.php In case the passed string is not unserializeable, FALSE is returned and E_NOTICE is issued. Kami tidak dapat menangkap kesalahan E_NOTICE karena itu bukan pengecualian.

— Hazem Noor

@HazemNoor Saya mengujinya dengan PHP 7 dan itu tertangkap. Juga, di PHP 7, ada catch (\ Throwable $ e) yang menangkap semua yang salah di bawah tenda.

— Francisco Luz

@FranciscoLuz bagaimana Anda menangkap E_Notice dalam PHP 7?

— user427969

13

Terlepas dari jawaban Pascal MARTIN yang luar biasa, saya ingin tahu apakah Anda dapat mendekati ini dengan cara lain, jadi saya melakukan ini hanya sebagai latihan mental

<?php

ini_set( 'display_errors', 1 );
ini_set( 'track_errors', 1 );
error_reporting( E_ALL );

$valueToUnserialize = serialize( false );
//$valueToUnserialize = "a"; # uncomment this for another test

$unserialized = @unserialize( $valueToUnserialize );

if ( FALSE === $unserialized && isset( $php_errormsg ) && strpos( $php_errormsg, 'unserialize' ) !== FALSE )
{
  echo 'Value could not be unserialized<br>';
  echo $valueToUnserialize;
} else {
  echo 'Value was unserialized!<br>';
  var_dump( $unserialized );
}

Dan itu benar-benar berfungsi. Satu-satunya peringatan adalah bahwa kemungkinan akan rusak jika Anda memiliki penangan kesalahan terdaftar karena cara $ php_errormsg bekerja .

— Peter Bailey
sumber

1

+1: Yang ini menyenangkan, harus saya akui - tidak akan memikirkannya! Dan saya juga tidak menemukan cara untuk membuatnya gagal ^^ Kerja bagus! Dan terima kasih atas komentar atas jawaban saya: tanpanya, saya mungkin tidak akan melihat jawaban ini.

— Pascal MARTIN

$ a = 'bla'; $ b = 'b: 0;'; Cobalah untuk membatalkan registrasi $ a lalu $ b dengan ini, keduanya akan gagal sedangkan $ b tidak seharusnya.

— bardiir

Tidak jika ada kegagalan sebelumnya. Karena $ php_errormsg akan tetap mengandung kesalahan serialisasi dari sebelum dan setelah Anda membatalkan false maka itu akan gagal.

— bardiir

Ya, tetapi hanya jika Anda tidak melakukan kesalahan-periksa di antara deserializing $adan deserializing $b, yang bukan desain aplikasi praktis.

— Peter Bailey

11

$data = @unserialize($str);
if($data !== false || $str === 'b:0;')
    echo 'ok';
else
    echo "not ok";

Menangani kasus dengan benar serialize(false). :)

— kekacauan
sumber

3

membangun fungsi

function isSerialized($value)
{
   return preg_match('^([adObis]:|N;)^', $value);
}

— RossW
sumber

1

Regex ini berbahaya, mengembalikan positif ketika a:(atau b:dll) ada di suatu tempat di dalam nilai $, bukan di awal. Dan di ^sini bukan berarti awal dari sebuah string. Benar-benar menyesatkan.

— Denis Chmel

3

Ada solusi WordPress: (detail ada di sini)

    function is_serialized($data, $strict = true)
    {
        // if it isn't a string, it isn't serialized.
        if (!is_string($data)) {
            return false;
        }
        $data = trim($data);
        if ('N;' == $data) {
            return true;
        }
        if (strlen($data) < 4) {
            return false;
        }
        if (':' !== $data[1]) {
            return false;
        }
        if ($strict) {
            $lastc = substr($data, -1);
            if (';' !== $lastc && '}' !== $lastc) {
                return false;
            }
        } else {
            $semicolon = strpos($data, ';');
            $brace = strpos($data, '}');
            // Either ; or } must exist.
            if (false === $semicolon && false === $brace)
                return false;
            // But neither must be in the first X characters.
            if (false !== $semicolon && $semicolon < 3)
                return false;
            if (false !== $brace && $brace < 4)
                return false;
        }
        $token = $data[0];
        switch ($token) {
            case 's' :
                if ($strict) {
                    if ('"' !== substr($data, -2, 1)) {
                        return false;
                    }
                } elseif (false === strpos($data, '"')) {
                    return false;
                }
            // or else fall through
            case 'a' :
            case 'O' :
                return (bool)preg_match("/^{$token}:[0-9]+:/s", $data);
            case 'b' :
            case 'i' :
            case 'd' :
                $end = $strict ? '$' : '';
                return (bool)preg_match("/^{$token}:[0-9.E-]+;$end/", $data);
        }
        return false;
    }

— berbakat
sumber

2

/**
 * some people will look down on this little puppy
 */
function isSerialized($s){
if(
    stristr($s, '{' ) != false &&
    stristr($s, '}' ) != false &&
    stristr($s, ';' ) != false &&
    stristr($s, ':' ) != false
    ){
    return true;
}else{
    return false;
}

}

— Björn3
sumber

5

baik, ini akan memberikan kebenaran untuk banyak string JSON juga, bukan? Jadi tidak dapat diandalkan untuk menentukan apakah string dapat un / serial.

— Gordon

Mungkin benar, tetapi jika alternatifnya adalah serial, atau hanya teks biasa, seperti bagi saya, itu bekerja seperti pesona.

— Björn3

1

@ Björn3 "Yah, ini berfungsi untuk saya dalam kasus khusus ini" adalah mentalitas yang sangat buruk untuk dimiliki ketika coding. Ada banyak pengembang yang malas atau tidak berpikiran maju seperti ini dan itu membuat mimpi buruk di kemudian hari ketika pengembang lain harus bekerja dengan kode mereka atau mencoba mengubah sesuatu dan tiba-tiba tidak ada yang berfungsi dengan baik lagi.

— BadHorsie

Membuat kode yang lengkap (jika itu mungkin) tidak selalu menjadi tujuan atau praktik terbaik. Tidak ketika datang pada expence waktu. Ini hanya benar dari sudut pandang programmer. Dalam kehidupan nyata ada banyak situasi di mana cepat dan kotor adalah cara yang disukai.

— Björn3

1

Ini berfungsi baik untuk saya

<?php

function is_serialized($data){
    return (is_string($data) && preg_match("#^((N;)|((a|O|s):[0-9]+:.*[;}])|((b|i|d):[0-9.E-]+;))$#um", $data));
    }

?>

— Daniel Lichtenberg
sumber

Harap perhatikan ini memeriksa jika string yang diberikan adalah string yang tampak bersambung - itu tidak akan benar-benar memeriksa validitas string tersebut.

— eithed

-2

Saya lebih suka melakukannya seperti itu:

 if (is_array(unserialize($serialized_string))):

— merosot
sumber

Mengapa variabel serial harus berupa array? Itu bisa benar-benar dari jenis apa pun.

— Valerio Bozz