Verifique se uma sequência é serializada?

134

Qual é a melhor maneira de determinar se uma sequência é ou não o resultado da serialize()função?

https://www.php.net/manual/en/function.serialize

php serialization

— Dang
fonte

191

Eu diria, tente unserialize;-)

Citando o manual:

Caso a sequência passada não seja desserializável, FALSE será retornado e E_NOTICE será emitido.

Portanto, você deve verificar se o valor de retorno é falseou não (com ===ou !==, para ter certeza de não ter nenhum problema com 0ou nullou qualquer coisa que seja igual a false, eu diria) .

Apenas tome cuidado com o aviso: você pode querer / precisar usar o operador @ .

Por exemplo :

$str = 'hjkl';
$data = @unserialize($str);
if ($data !== false) {
    echo "ok";
} else {
    echo "not ok";
}

Você receberá:

not ok

EDIT: Ah, e como @ Peter disse (graças a ele!), Você pode ter problemas se estiver tentando desserializar a representação de um falso booleano :-(

Portanto, verificar se sua string serializada não é igual a " b:0;" também pode ser útil; algo assim deve funcionar, suponho:

$data = @unserialize($str);
if ($str === 'b:0;' || $data !== false) {
    echo "ok";
} else {
    echo "not ok";
}

testar esse caso especial antes de tentar desserializar seria uma otimização - mas provavelmente não é útil se você não tiver um valor serializado falso com frequência.

— Pascal MARTIN
fonte

20

Mas e se o valor não serializado for um booleano com um valor FALSE?

— Peter Peter

1

@ Peter: excelente observação; Eu editei minha resposta com uma proposição para lidar com esse caso; obrigado !

— Pascal MARTIN

Obrigado. :) Eu assumi que essa provavelmente seria a resposta .. Parece-me que deveria haver uma maneira de descobrir se ele foi serializado antes de forçar o analisador a tentar processá-lo.

— Dang

1

Esse método tem algum impacto razoável no desempenho com dados maiores?

— pie6k

2

IMPORTANTE: nunca desserialize dados brutos do usuário, pois eles podem ser usados como um vetor de ataque. OWASP: PHP_Object_Injection

— ArtBIT 01/09/17

56

Eu não escrevi esse código, é do WordPress, na verdade. Pensei em incluí-lo para qualquer pessoa interessada, pode ser um exagero, mas funciona :)

<?php
function is_serialized( $data ) {
    // if it isn't a string, it isn't serialized
    if ( !is_string( $data ) )
        return false;
    $data = trim( $data );
    if ( 'N;' == $data )
        return true;
    if ( !preg_match( '/^([adObis]):/', $data, $badions ) )
        return false;
    switch ( $badions[1] ) {
        case 'a' :
        case 'O' :
        case 's' :
            if ( preg_match( "/^{$badions[1]}:[0-9]+:.*[;}]\$/s", $data ) )
                return true;
            break;
        case 'b' :
        case 'i' :
        case 'd' :
            if ( preg_match( "/^{$badions[1]}:[0-9.E-]+;\$/", $data ) )
                return true;
            break;
    }
    return false;
}

— Brandon Wamboldt
fonte

1

Eu basicamente precisava de um regex para fazer uma detecção básica, e acabei usando:^([adObis]:|N;)

— farinspace 10/10

5

A versão atual do WordPress é um pouco mais sofisticada: codex.wordpress.org/Function_Reference/…

— ChrisV

3

+1 para dar créditos. Eu não sabia que o WordPress tinha esse recurso embutido. Obrigado pela ideia - agora vou criar um arquivo de funções úteis a partir do WordPress Core.

— Amal Murali

Referência mais recente da URL para a função wordpress: developer.wordpress.org/reference/functions/is_serialized

— Cédric Françoys

18

Otimizando a resposta de Pascal MARTIN

/**
 * Check if a string is serialized
 * @param string $string
 */
public static function is_serial($string) {
    return (@unserialize($string) !== false);
}

— SoN9ne
fonte

16

Se a string $ é um falsevalor serializado , ou seja , a função do $string = 'b:0;' SoN9ne retorna false, está errado

então a função seria

/**
 * Check if a string is serialized
 *
 * @param string $string
 *
 * @return bool
 */
function is_serialized_string($string)
{
    return ($string == 'b:0;' || @unserialize($string) !== false);
}

— Hazem Noor
fonte

2

Trocar a ordem desses testes seria mais eficiente.

— Artfulrobot

O @ (no operador) deve ser desencorajado. Use try catch block em vez disso.

— Francisco Luz

@FranciscoLuz do manual php.net/manual/en/function.unserialize.php In case the passed string is not unserializeable, FALSE is returned and E_NOTICE is issued. Não podemos pegar o erro E_NOTICE, pois não é uma exceção lançada.

— Hazem Noor

@HazemNoor Eu testei com o PHP 7 e ele foi pego. Além disso, no PHP 7, existe o catch (\ Throwable $ e) que captura tudo o que dá errado sob o capô.

— Francisco Luz

@FranciscoLuz como você pegou o E_Notice no PHP 7?

— user427969

13

Apesar da excelente resposta de Pascal MARTIN, fiquei curioso para saber se você poderia abordar isso de outra maneira, então fiz isso apenas como um exercício mental

<?php

ini_set( 'display_errors', 1 );
ini_set( 'track_errors', 1 );
error_reporting( E_ALL );

$valueToUnserialize = serialize( false );
//$valueToUnserialize = "a"; # uncomment this for another test

$unserialized = @unserialize( $valueToUnserialize );

if ( FALSE === $unserialized && isset( $php_errormsg ) && strpos( $php_errormsg, 'unserialize' ) !== FALSE )
{
  echo 'Value could not be unserialized<br>';
  echo $valueToUnserialize;
} else {
  echo 'Value was unserialized!<br>';
  var_dump( $unserialized );
}

E realmente funciona. A única ressalva é que provavelmente será interrompida se você tiver um manipulador de erros registrado por causa do funcionamento do $ php_errormsg .

— Peter Bailey
fonte

1

+1: Este é divertido, eu tenho que admitir - não teria pensado nisso! E também não encontro um meio de fazê-lo falhar ^^ Bom trabalho! E obrigado pelo comentário sobre a minha resposta: sem ela, eu provavelmente não teria visto essa resposta.

— Pascal MARTIN

$ a = 'bla'; $ b = 'b: 0;'; Tente desserializar $ a então $ b com isso, ambos falharão enquanto $ b não deve.

— bardiir

Não se houve uma falha logo antes. Como o $ php_errormsg ainda conterá o erro de serialização de antes e depois que você desserializar false, ele falhará.

— bardiir

Sim, mas apenas se você não verificar o erro entre desserializar $ae desserializar $b, o que não é um design de aplicativo prático.

— Peter Bailey

11

$data = @unserialize($str);
if($data !== false || $str === 'b:0;')
    echo 'ok';
else
    echo "not ok";

Lida corretamente com o caso de serialize(false). :)

— caos
fonte

3

construir em uma função

function isSerialized($value)
{
   return preg_match('^([adObis]:|N;)^', $value);
}

— RossW
fonte

1

Esse regex é perigoso, está retornando positivo quando a:(ou b:etc) está presente em algum lugar dentro do valor $, não no começo. E ^aqui não significa começo de uma string. É totalmente enganador.

— Denis Chmel

3

Existe a solução WordPress: (o detalhe está aqui)

    function is_serialized($data, $strict = true)
    {
        // if it isn't a string, it isn't serialized.
        if (!is_string($data)) {
            return false;
        }
        $data = trim($data);
        if ('N;' == $data) {
            return true;
        }
        if (strlen($data) < 4) {
            return false;
        }
        if (':' !== $data[1]) {
            return false;
        }
        if ($strict) {
            $lastc = substr($data, -1);
            if (';' !== $lastc && '}' !== $lastc) {
                return false;
            }
        } else {
            $semicolon = strpos($data, ';');
            $brace = strpos($data, '}');
            // Either ; or } must exist.
            if (false === $semicolon && false === $brace)
                return false;
            // But neither must be in the first X characters.
            if (false !== $semicolon && $semicolon < 3)
                return false;
            if (false !== $brace && $brace < 4)
                return false;
        }
        $token = $data[0];
        switch ($token) {
            case 's' :
                if ($strict) {
                    if ('"' !== substr($data, -2, 1)) {
                        return false;
                    }
                } elseif (false === strpos($data, '"')) {
                    return false;
                }
            // or else fall through
            case 'a' :
            case 'O' :
                return (bool)preg_match("/^{$token}:[0-9]+:/s", $data);
            case 'b' :
            case 'i' :
            case 'd' :
                $end = $strict ? '$' : '';
                return (bool)preg_match("/^{$token}:[0-9.E-]+;$end/", $data);
        }
        return false;
    }

— engenhoso
fonte

2

/**
 * some people will look down on this little puppy
 */
function isSerialized($s){
if(
    stristr($s, '{' ) != false &&
    stristr($s, '}' ) != false &&
    stristr($s, ';' ) != false &&
    stristr($s, ':' ) != false
    ){
    return true;
}else{
    return false;
}

}

— Björn3
fonte

5

bem, isso daria certo para muitas strings JSON também, não? Portanto, não é confiável determinar se a sequência pode ser des / serializada.

— Gordon

Pode ser verdade, mas se a alternativa for serializada, ou apenas texto simples, como era para mim, funcionará como um encanto.

— Björn3

1

@ Björn3 "Bem, funciona para mim neste caso específico" é uma mentalidade muito ruim de se ter ao codificar. Existem muitos desenvolvedores que são preguiçosos ou não pensam nisso, e isso cria um pesadelo mais tarde, quando outros desenvolvedores precisam trabalhar com seu código ou tentar mudar alguma coisa e, de repente, nada funciona mais.

— BadHorsie 18/03/2014

Criar código completamente sólido (se isso fosse possível) nem sempre é o objetivo ou a melhor prática. Não quando se trata de uma despesa de tempo. Isso é verdade apenas da perspectiva dos programadores. Na vida real, existem muitas circunstâncias em que a maneira mais rápida e suja é a preferida.

— Björn3

1

Este trabalho é bom para mim

<?php

function is_serialized($data){
    return (is_string($data) && preg_match("#^((N;)|((a|O|s):[0-9]+:.*[;}])|((b|i|d):[0-9.E-]+;))$#um", $data));
    }

?>

— Daniel Lichtenberg
fonte

Lembre-se de verificar se a sequência especificada é de aparência serializada - na verdade, ela não verifica a validade dessa sequência.

— eithed 8/08/16

-2

Eu prefiro fazer dessa maneira:

 if (is_array(unserialize($serialized_string))):

— degeneradores
fonte

Por que a variável serializada deve ser uma matriz? Pode realmente ser de qualquer tipo.

— Valerio Bozz