不正なバイトカウント長によって破損したシリアル化された文字列を修復する方法は?
Hotaru CMSとImage Uploadプラグインを使用しています。投稿に画像を添付しようとするとこのエラーが表示されます。それ以外の場合はエラーになりません。
unserialize()[function.unserialize]:オフセットでのエラー
問題のコード(エラーは**の行を指します):
/**
* Retrieve submission step data
*
* @param $key - empty when setting
* @return bool
*/
public function loadSubmitData($h, $key = '')
{
// delete everything in this table older than 30 minutes:
$this->deleteTempData($h->db);
if (!$key) { return false; }
$cleanKey = preg_replace('/[^a-z0-9]+/','',$key);
if (strcmp($key,$cleanKey) != 0) {
return false;
} else {
$sql = "SELECT tempdata_value FROM " . TABLE_TEMPDATA . " WHERE tempdata_key = %s ORDER BY tempdata_updatedts DESC LIMIT 1";
$submitted_data = $h->db->get_var($h->db->prepare($sql, $key));
**if ($submitted_data) { return unserialize($submitted_data); } else { return false; }**
}
}
テーブルのデータ、エンドビットに画像情報があることに注意してください。私はPHPの専門家ではないので、皆さん/ギャルが何を考えているのか疑問に思いましたか?
tempdata_value:
a:10:{s:16:"submit_editorial";b:0;s:15:"submit_orig_url";s:13:"www.bbc.co.uk";s:12:"submit_title";s:14:"No title found";s:14:"submit_content";s:12:"dnfsdkfjdfdf";s:15:"submit_category";i:2;s:11:"submit_tags";s:3:"bbc";s:9:"submit_id";b:0;s:16:"submit_subscribe";i:0;s:15:"submit_comments";s:4:"open";s:5:"image";s:19:"C:fakepath100.jpg";}
編集:私はシリアル化ビットを見つけたと思う...
/**
* Save submission step data
*
* @return bool
*/
public function saveSubmitData($h)
{
// delete everything in this table older than 30 minutes:
$this->deleteTempData($h->db);
$sid = preg_replace('/[^a-z0-9]+/i', '', session_id());
$key = md5(microtime() . $sid . Rand());
$sql = "INSERT INTO " . TABLE_TEMPDATA . " (tempdata_key, tempdata_value, tempdata_updateby) VALUES (%s,%s, %d)";
$h->db->query($h->db->prepare($sql, $key, serialize($h->vars['submitted_data']), $h->currentUser->id));
return $key;
}
unserialize() [function.unserialize]: Error at offsetは、無効な長さのためにinvalid serialization dataが原因でした
クイックフィックス
できることは、シリアライズされた配列の要素のrecalculating the lengthです
現在のシリアル化されたデータ
$data = 'a:10:{s:16:"submit_editorial";b:0;s:15:"submit_orig_url";s:13:"www.bbc.co.uk";s:12:"submit_title";s:14:"No title found";s:14:"submit_content";s:12:"dnfsdkfjdfdf";s:15:"submit_category";i:2;s:11:"submit_tags";s:3:"bbc";s:9:"submit_id";b:0;s:16:"submit_subscribe";i:0;s:15:"submit_comments";s:4:"open";s:5:"image";s:19:"C:fakepath100.jpg";}';
再計算なしの例
var_dump(unserialize($data));
出力
Notice: unserialize() [function.unserialize]: Error at offset 337 of 338 bytes
再計算
$data = preg_replace('!s:(\d+):"(.*?)";!e', "'s:'.strlen('$2').':\"$2\";'", $data);
var_dump(unserialize($data));
出力
array
'submit_editorial' => boolean false
'submit_orig_url' => string 'www.bbc.co.uk' (length=13)
'submit_title' => string 'No title found' (length=14)
'submit_content' => string 'dnfsdkfjdfdf' (length=12)
'submit_category' => int 2
'submit_tags' => string 'bbc' (length=3)
'submit_id' => boolean false
'submit_subscribe' => int 0
'submit_comments' => string 'open' (length=4)
'image' => string 'C:fakepath100.jpg' (length=17)
推奨 .. I
この種のクイックフィックスを使用する代わりに...質問を更新するようにアドバイスします
データをシリアル化する方法
保存方法..
================================編集1 ============ ===================
エラー
エラーは、単一引用符"の代わりに二重引用符'を使用したために生成されたため、C:\fakepath\100.pngはC:fakepath100.jpgに変換されました。
エラーを修正するには
$h->vars['submitted_data'] Fromを変更する必要があります(単一の_'に注意してください)
交換
$h->vars['submitted_data']['image'] = "C:\fakepath\100.png" ;
と
$h->vars['submitted_data']['image'] = 'C:\fakepath\100.png' ;
追加のフィルター
Serializeを呼び出す前に、この単純なフィルターを追加することもできます
function satitize(&$value, $key)
{
$value = addslashes($value);
}
array_walk($h->vars['submitted_data'], "satitize");
UTF文字がある場合は、実行することもできます
$h->vars['submitted_data'] = array_map("utf8_encode",$h->vars['submitted_data']);
将来のシリアル化されたデータの問題を検出する方法
findSerializeError ( $data1 ) ;
出力
Diffrence 9 != 7
-> ORD number 57 != 55
-> Line Number = 315
-> Section Data1 = pen";s:5:"image";s:19:"C:fakepath100.jpg
-> Section Data2 = pen";s:5:"image";s:17:"C:fakepath100.jpg
^------- The Error (Element Length)
findSerializeError関数
function findSerializeError($data1) {
echo "<pre>";
$data2 = preg_replace ( '!s:(\d+):"(.*?)";!e', "'s:'.strlen('$2').':\"$2\";'",$data1 );
$max = (strlen ( $data1 ) > strlen ( $data2 )) ? strlen ( $data1 ) : strlen ( $data2 );
echo $data1 . PHP_EOL;
echo $data2 . PHP_EOL;
for($i = 0; $i < $max; $i ++) {
if (@$data1 {$i} !== @$data2 {$i}) {
echo "Diffrence ", @$data1 {$i}, " != ", @$data2 {$i}, PHP_EOL;
echo "\t-> ORD number ", ord ( @$data1 {$i} ), " != ", ord ( @$data2 {$i} ), PHP_EOL;
echo "\t-> Line Number = $i" . PHP_EOL;
$start = ($i - 20);
$start = ($start < 0) ? 0 : $start;
$length = 40;
$point = $max - $i;
if ($point < 20) {
$rlength = 1;
$rpoint = - $point;
} else {
$rpoint = $length - 20;
$rlength = 1;
}
echo "\t-> Section Data1 = ", substr_replace ( substr ( $data1, $start, $length ), "<b style=\"color:green\">{$data1 {$i}}</b>", $rpoint, $rlength ), PHP_EOL;
echo "\t-> Section Data2 = ", substr_replace ( substr ( $data2, $start, $length ), "<b style=\"color:red\">{$data2 {$i}}</b>", $rpoint, $rlength ), PHP_EOL;
}
}
}
データベースに保存するより良い方法
$toDatabse = base64_encode(serialize($data)); // Save to database
$fromDatabase = unserialize(base64_decode($data)); //Getting Save Format
私はコメントするのに十分な評判がないので、これが上記の「正しい」答えを使用している人々によって見られることを望みます:
Php 5.5以降、preg_replace()の/ e修飾子は完全に非推奨になり、上記のpreg_matchはエラーになります。 PHPドキュメントでは、代わりにpreg_match_callbackを使用することを推奨しています。
上記のpreg_matchの代替案として、次の解決策を見つけてください。
$fixed_data = preg_replace_callback ( '!s:(\d+):"(.*?)";!', function($match) {
return ($match[1] == strlen($match[2])) ? $match[0] : 's:' . strlen($match[2]) . ':"' . $match[2] . '";';
},$bad_data );
シリアル化されたデータをデータベースに不適切に格納したため、unserialize()が失敗した別の理由があります。 公式説明 を参照してください。 serialize()はバイナリデータを返し、php変数はエンコード方法を気にしないため、TEXTに入れるとVARCHAR()でこのエラーが発生します。
解決策:シリアル化されたデータをテーブルのBLOBに保存します。
クイックフィックス
直列化された配列内の要素の長さを再計算します-使用しないでください(preg_replace)。これは非推奨です-preg_replace_callbackをより適切に使用します。
$data = preg_replace_callback('!s:(\d+):"(.*?)";!', function($m) { return 's:'.mb_strlen($m[2]).':"'.$m[2].'";'; }, $data);
編集:新しいバージョンは長さが間違っているだけでなく、改行を修正し、aczentで正しい文字をカウントします( mickmackusa )
// New Version
$data = preg_replace_callback('!s:\d+:"(.*?)";!s', function($m) { return "s:" . strlen($m[1]) . ':"'.$m[1].'";'; }, $data);
マルチバイト文字処理で、次の関数を使用して壊れたシリアル化文字列を修正できます。
function repairSerializeString($value)
{
$regex = '/s:([0-9]+):"(.*?)"/';
return preg_replace_callback(
$regex, function($match) {
return "s:".mb_strlen($match[2]).":\"".$match[2]."\"";
},
$value
);
}
パブリック関数unserializeKeySkills($ string){
$output = array();
$string = trim(preg_replace('/\s\s+/', ' ',$string));
$string = preg_replace_callback('!s:(\d+):"(.*?)";!', function($m) { return 's:'.strlen($m[2]).':"'.$m[2].'";'; }, utf8_encode( trim(preg_replace('/\s\s+/', ' ',$string)) ));
try {
$output = unserialize($string);
} catch (\Exception $e) {
\Log::error("unserialize Data : " .print_r($string,true));
}
return $output;
}
このエラーは、文字セットが間違っているために発生します。
開始タグの後に文字セットを設定します。
header('Content-Type: text/html; charset=utf-8');
データベースに文字セットutf8を設定します。
mysql_query("SET NAMES 'utf8'");
$badData = 'a:2:{i:0;s:16:"as:45:"d";
Is \n";i:1;s:19:"as:45:"d";
Is \r\n";}';
提案された正規表現を使用して壊れたシリアル化文字列を修正することはできません:
$data = preg_replace('!s:(\d+):"(.*?)";!e', "'s:'.strlen('$2').':\"$2\";'", $badData);
var_dump(@unserialize($data)); // Output: bool(false)
// or
$data = preg_replace_callback(
'/s:(\d+):"(.*?)";/',
function($m){
return 's:' . mb_strlen($m[2]) . ':"' . $m[2] . '";';
},
$badData
);
var_dump(@unserialize($data)); // Output: bool(false)
次の正規表現を使用して壊れたシリアル化文字列を修正できます
$data = preg_replace_callback(
'/(?<=^|\{|;)s:(\d+):\"(.*?)\";(?=[asbdiO]\:\d|N;|\}|$)/s',
function($m){
return 's:' . mb_strlen($m[2]) . ':"' . $m[2] . '";';
},
$badData
);
var_dump(@unserialize($data));
出力
array(2) {
[0] =>
string(17) "as:45:"d";
Is \n"
[1] =>
string(19) "as:45:"d";
Is \r\n"
}
または
array(2) {
[0] =>
string(16) "as:45:"d";
Is \n"
[1] =>
string(18) "as:45:"d";
Is \r\n"
}
公式ドキュメント は、falseを返してE_NOTICEを設定する必要があることを示します
ただし、エラーが発生したため、エラーレポートはE_NOTICEによってトリガーされるように設定されます
unserializeによって返されるfalseを検出できるようにするための修正があります
$old_err=error_reporting();
error_reporting($old_err & ~E_NOTICE);
$object = unserialize($serialized_data);
error_reporting($old_err);
あなたはbase64エンコード/デコードの使用を検討したいかもしれません
$string=base64_encode(serialize($obj));
unserialize(base64_decode($string));
成功せずにこのページでいくつかのことを試した後、ページソースを見て、シリアル化された文字列のすべての引用符がhtmlエンティティに置き換えられたことに気付きました。これらのエンティティをデコードすると、頭痛の種を回避できます。
$myVar = html_entity_decode($myVar);
私の場合、MySQL DBのBLOBフィールドにシリアル化されたデータを保存していましたが、これは値全体を格納するのに十分な大きさではなかったため、切り捨てられました。このような文字列は、明らかにシリアル化解除できませんでした。
そのフィールドをMEDIUMBLOBに変換すると、問題は解消されました。また、テーブルオプションROW_FORMATをDYNAMICまたはCOMPRESSEDに切り替える必要がある場合があります。
こちらはオンラインツールです 破損したシリアル化された文字列を修正します。
これは主にDBで行われた検索と置換が原因で発生し、シリアル化データ(specialallykey length)はそうではないことを付け加えます。置換ごとに更新されると、「破損」の原因になります。
それにもかかわらず、上記のツールは次のロジックを使用してシリアル化データを修正します( ここからコピー )。
function error_correction_serialise($string){
// at first, check if "fixing" is really needed at all. After that, security checkup.
if ( @unserialize($string) !== true && preg_match('/^[aOs]:/', $string) ) {
$string = preg_replace_callback( '/s\:(\d+)\:\"(.*?)\";/s', function($matches){return 's:'.strlen($matches[2]).':"'.$matches[2].'";'; }, $string );
}
return $string;
}
この質問の破損は、シリアル化された文字列の末尾の単一の部分文字列に分離されています。おそらく、imageファイル名を更新したい人によって手動で置き換えられた可能性があります。この事実は、OPの投稿データを使用した以下のデモンストレーションリンクで明らかになります。つまり、C:fakepath100.jpgの長さは19ではなく、17である必要があります。
シリアル化された文字列の破損は、誤ったバイト/文字カウント数に制限されているため、次の手順を実行すると、破損した文字列を正しいバイトカウント値で更新できます。
次の正規表現ベースの置換は、バイトカウントの修正にのみ有効であり、それ以上の効果はありません。
以前の投稿の多くは、誰か他の人から正規表現パターンをコピー&ペーストしているようです。 置換で使用されない場合、破損している可能性のあるバイトカウント番号をキャプチャする理由はありません。また、sパターン修飾子を追加することは、適切な場合です。文字列値には改行/改行が含まれます。
*シリアル化によるマルチバイト文字の処理を認識していない場合は、カスタムコールバックでmb_strlen()を使用しないでください。これは、文字カウントではなく保存されるバイトカウントであるためです 、私の出力を参照してください...
コード:( OPのデータを含むデモ )( 任意のサンプルデータを含むデモ )( 条件置換を伴うデモ )
$corrupted = <<<STRING
a:4:{i:0;s:3:"three";i:1;s:5:"five";i:2;s:2:"newline1
newline2";i:3;s:6:"garçon";}
STRING;
$repaired = preg_replace_callback(
'/s:\d+:"(.*?)";/s',
// ^^^- matched/consumed but not captured because not used in replacement
function ($m) {
return "s:" . strlen($m[1]) . ":\"{$m[1]}\";";
},
$corrupted
);
echo $corrupted , "\n" , $repaired;
echo "\n---\n";
var_export(unserialize($repaired));
出力:
a:4:{i:0;s:3:"three";i:1;s:5:"five";i:2;s:2:"newline1
Newline2";i:3;s:6:"garçon";}
a:4:{i:0;s:5:"three";i:1;s:4:"five";i:2;s:17:"newline1
Newline2";i:3;s:7:"garçon";}
---
array (
0 => 'three',
1 => 'five',
2 => 'newline1
Newline2',
3 => 'garçon',
)
ウサギの穴の片方の脚...上記は、文字列値に二重引用符が含まれていても正常に機能しますが、文字列値に";または他のモンキーレンチbu少し先に進んで「ルックアラウンド」を実装する必要があります。私の新しいパターン
先頭のsが次であることを確認します。
- 入力文字列全体の開始または
- 前に
;が付きます
そして、";が以下であることを確認します:
- 入力文字列全体の最後、または
- その後に
}または - 文字列または整数の宣言が続く
s:またはi:
あらゆる可能性をテストしたわけではありません。実際、私はシリアル化されたデータを扱うことを決して選択しないため、シリアル化された文字列の可能性のすべてに比較的慣れていません。常に最新のアプリケーションではjsonです。追加の先頭または末尾の文字がある場合は、コメントを残して、ルックアラウンドを拡張します。
拡張スニペット:( デモ )
$corrupted_byte_counts = <<<STRING
a:12:{i:0;s:3:"three";i:1;s:5:"five";i:2;s:2:"newline1
newline2";i:3;s:6:"garçon";i:4;s:111:"double " quote \"escaped";i:5;s:1:"a,comma";i:6;s:9:"a:colon";i:7;s:0:"single 'quote";i:8;s:999:"semi;colon";s:5:"assoc";s:3:"yes";i:9;s:1:"monkey";wrenching doublequote-semicolon";s:3:"s:";s:9:"val s: val";}
STRING;
$repaired = preg_replace_callback(
'/(?<=^|;)s:\d+:"(.*?)";(?=$|}|[si]:)/s',
//^^^^^^^^--------------^^^^^^^^^^^^^-- some additional validation
function ($m) {
return 's:' . strlen($m[1]) . ":\"{$m[1]}\";";
},
$corrupted_byte_counts
);
echo "corrupted serialized array:\n$corrupted_byte_counts";
echo "\n---\n";
echo "repaired serialized array:\n$repaired";
echo "\n---\n";
print_r(unserialize($repaired));
出力:
corrupted serialized array:
a:12:{i:0;s:3:"three";i:1;s:5:"five";i:2;s:2:"newline1
newline2";i:3;s:6:"garçon";i:4;s:111:"double " quote \"escaped";i:5;s:1:"a,comma";i:6;s:9:"a:colon";i:7;s:0:"single 'quote";i:8;s:999:"semi;colon";s:5:"assoc";s:3:"yes";i:9;s:1:"monkey";wrenching doublequote-semicolon";s:3:"s:";s:9:"val s: val";}
---
repaired serialized array:
a:12:{i:0;s:5:"three";i:1;s:4:"five";i:2;s:17:"newline1
newline2";i:3;s:7:"garçon";i:4;s:24:"double " quote \"escaped";i:5;s:7:"a,comma";i:6;s:7:"a:colon";i:7;s:13:"single 'quote";i:8;s:10:"semi;colon";s:5:"assoc";s:3:"yes";i:9;s:39:"monkey";wrenching doublequote-semicolon";s:2:"s:";s:10:"val s: val";}
---
Array
(
[0] => three
[1] => five
[2] => newline1
newline2
[3] => garçon
[4] => double " quote \"escaped
[5] => a,comma
[6] => a:colon
[7] => single 'quote
[8] => semi;colon
[assoc] => yes
[9] => monkey";wrenching doublequote-semicolon
[s:] => val s: val
)
データの非シリアル化中に同じ問題に直面しました。配列値のいずれかに「、」、:、または;があると、シリアル化が破損することがわかりました。配列に:があったので、それを削除して修正しました。
それが誰かを助けることを願っています。
この問題のもう1つの理由は、「ペイロード」セッションテーブルの列タイプです。セッションに膨大なデータがある場合、テキスト列では十分ではありません。 MEDIUMTEXTまたはLONGTEXTが必要になります。
照合タイプをutf8_unicode_ciに変更する必要があり、問題は修正されます。