反序列化失败主因是字符串损坏或编码不一致;__wakeup()执行问题源于类未加载或属性依赖不当;unserialize()处理用户输入存在rce高危风险,应禁用或改用json。
反序列化失败时提示 Notice: unserialize(): Error at offset
这是最常见的情况,说明字符串格式损坏或编码不一致。PHP 的 unserialize() 对输入极其敏感:多一个空格、换行、UTF-8 BOM 或被 URL 解码过都会直接报错。
- 检查原始数据是否被多次
urlencode()或base64_decode()错误处理过;常见于从 GET/POST/cookie 读取后没还原 - 确认数据来源是否经过
json_encode()却误用unserialize()—— 这俩不兼容,JSON 字符串不能直接反序列化 - 用
hexdump -C或bin2hex($str)看前几个字节,确认开头是a:(数组)、O:(对象)等合法 PHP 序列化标识 - 如果数据来自前端 JS,注意 JavaScript 没有原生 PHP 序列化支持,别把
JSON.stringify()结果传给unserialize()
反序列化对象时 __wakeup() 不执行或报致命错误
PHP 在反序列化对象前会自动调用 __wakeup(),但这个过程容易因类定义缺失或方法签名变更而中断。
- 确保反序列化前已
include或require对应类文件,否则会生成__PHP_Incomplete_Class,后续调用任何方法都 fatal error -
__wakeup()里不要依赖未初始化的属性或外部资源(如数据库连接),它在对象属性赋值前执行 - PHP 7.4+ 对动态属性更严格,若类声明了
public $prop;但序列化字符串里多出一个不存在字段,可能静默忽略或触发 warning - 测试时可用
var_dump(unserialize($str, ['allowed_classes' => false]))强制禁用对象反序列化,快速判断是否为类加载问题
用 unserialize() 处理用户输入等于打开 RCE 大门
只要传入的字符串可控,且存在可利用的魔术方法(如 __destruct()、__toString())和 gadget 链,就可能远程执行代码。这不是“可能”,而是已被验证的高危行为。
- 永远不要对 $_GET、$_POST、$_COOKIE 中的任意字段直接调用
unserialize() - PHP 7.4+ 支持
unserialize($str, ['allowed_classes' => ['MySafeClass']])白名单机制,必须显式指定,设为false可完全禁止对象反序列化 - 若必须处理不可信数据,优先转成 JSON:
json_decode($json, true)更安全、更通用,且 PHP 原生不带反序列化 gadget - 旧项目里搜
unserialize(+$_组合,比修复单个点更重要的是全局收敛调用点
替代方案:什么时候该用 igbinary 或 msgpack
原生 serialize() 效率低、体积大、跨语言差,仅适合临时缓存或同构 PHP 环境内部传递。
立即学习“PHP免费学习笔记(深入)”;
-
igbinary是二进制序列化扩展,体积小、速度快,但需服务端安装扩展,且与原生格式不兼容 -
msgpack_pack()/msgpack_unpack()需ext-msgpack,支持更多语言,但 PHP 数组键仍会被强制转成整型或字符串,丢失混合键类型 - Redis 的
setex()存 PHP 序列化值没问题,但换到 Memcached 或跨服务通信时,建议统一用 JSON —— 它不是最优解,但足够简单、可读、可 debug - 别为了“性能”在日志、配置、表单提交里强行上二进制序列化,可读性和调试成本远高于那几十毫秒
真正麻烦的从来不是怎么调用 unserialize(),而是搞清数据从哪来、经过了几层编码、有没有类定义、以及——你到底为什么非得用它。
