导入前须校验备份文件结构:JSON检查首尾字符及json_last_error();序列化检查s:/a:/O:开头和分号结尾,正则粗筛;二进制缓存依赖CRC或md5_file();反序列化需设错误上下文与超时防护。
导入前先检查备份文件结构是否合法
PHP 导入缓存数据(比如从 serialize() 或 json_encode() 生成的备份文件)时,若文件损坏或格式错乱,直接 unserialize() 或 json_decode() 可能静默失败或抛出致命错误。必须在解析前做轻量级校验。
推荐做法是:用 file_get_contents() 读取开头和结尾片段,结合文件大小与已知签名判断:
- JSON 备份:检查首字符是否为
{或[,末字符是否为}或],且json_last_error() === JSON_ERROR_NONE(需先json_decode($data, true)并忽略返回值) - 序列化备份:检查是否以
s:、a:、O:等合法 PHP 序列化头起始,且末尾有分号;;可用正则/^[saoO]:[0-9]+:/粗筛 - 二进制缓存(如 APCu / Redis dump)不适用文本校验,应依赖导出工具自带的 CRC 校验字段或
md5_file()对比原始备份哈希
反序列化时必须设好错误上下文与超时防护
unserialize() 是高危操作,恶意构造的数据可触发任意代码执行(尤其配合 PHP
关键控制点:
立即学习“PHP免费学习笔记(深入)”;
- 用
ini_set('unserialize_callback_func', '_stub_unserialize_handler')拦截未知类名,避免自动加载失败报错 - 导入前调用
set_time_limit(30),防止坏数据导致无限循环(如嵌套过深或伪造的循环引用) - 始终用
@unserialize($data)抑制警告,并立即检查!is_null($result) && is_array($result)—— 单纯判false不够,unserialize()解析失败可能返回false,但空数组也会被误判
导入后验证缓存键与数据一致性
校验不能只停留在“能读出来”,还要确认“读得对”。常见断层发生在:多环境缓存前缀不一致、时间戳字段未重置、对象属性被 magic 方法过滤。
实操建议:
- 对比导入前后
count($cacheData)与备份文件中预存的元信息(如backup_meta.json里的"total_keys": 128) - 抽样检查高频键(如
user:1001:profile)的gettype()和md5(serialize($value))是否匹配备份快照 - 若缓存含有效期(TTL),确认导入后
ttl()返回值合理——Redis 中用PTTL命令,APCu 中需记录原始写入时间并手动计算剩余秒数
生产环境禁用 unserialize() 直接导入
哪怕校验再严,PHP 原生 unserialize() 在生产导入场景仍是风险源。更稳妥的路径是:备份时就用安全格式,导入时走标准解码流程。
替代方案优先级:
- 首选
json_encode()/json_decode():仅限数据不含资源句柄、闭包、私有属性;导入后用array_walk_recursive()清洗可疑字段(如_payload、__wakeup) - 次选
igbinary_serialize()(需安装 igbinary 扩展):二进制更紧凑,且igbinary_unserialize()比原生更难触发反序列化漏洞 - 完全规避:备份转存为 SQL 表或 Parquet 文件,用 PDO/ClickHouse 客户端导入,由数据库引擎保障结构完整
真正麻烦的不是校验逻辑,而是当缓存键里混着动态生成的 Closure 或 PDOStatement 时,任何校验都救不回——这类数据本就不该进备份。
