4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

【PHP8.3】unserializeのエラーハンドリングがいいかんじになるよ

Last updated at Posted at 2023-05-29

unserializeに変なデータを与えた場合、値によってバラバラな挙動になります。

unserialize('foo'); // E_NOTICE
unserialize('E:3:"foo";'); // E_WARNING + E_NOTICE
unserialize('O:19:"SplDoublyLinkedList":3:{i:0;i:0;i:1;N;i:2;a:0:{}}'); // UnexpectedValueException

E_WARNING + E_NOTICEなんて特に意味がわかりませんね。
ということで、このあたりをどうにかしようというRFCが提出されました。

以下は該当のRFC、Improve unserialize() error handlingの紹介です。

PHP RFC: Improve unserialize() error handling

Introduction

現在、unserializeのエラーは一貫性がなく、制御が困難です。
与えた文字列によって、PHPはE_NOTICEかE_WARNINGか\Exceptionか\Errorか、もしくはこれらのうち複数を発生させます。

unserialize('foo'); // Notice: unserialize(): Error at offset 0 of 3 bytes
unserialize('i:12345678901234567890;'); // Warning: unserialize(): Numerical result out of range
unserialize('E:3:"foo";'); // Warning: unserialize(): Invalid enum name 'foo' (missing colon)
                           // Notice: unserialize(): Error at offset 0 of 10 bytes
unserialize('E:3:"fo:";'); // Warning: unserialize(): Class 'fo' not found
                           // Notice: unserialize(): Error at offset 0 of 10 bytes

try {
    unserialize('O:19:"SplDoublyLinkedList":3:{i:0;i:0;i:1;N;i:2;a:0:{}}');
} catch (UnexpectedValueException $e) {
    echo $e->getMessage(), PHP_EOL; // Incomplete or ill-typed serialization data
}

try {
    unserialize(
        'a:2:{i:12345678901234567890;O:19:"SplDoublyLinkedList":3:{i:0;i:0;i:1;N;i:2;a:0:{}}}'
    ); // Warning: unserialize(): Numerical result out of range
       // Notice: unserialize(): Unexpected end of serialized data
       // Notice: unserialize(): Error at offset 83 of 84 bytes
} catch (UnexpectedValueException $e) {
    echo $e->getMessage(), PHP_EOL; // Incomplete or ill-typed serialization data
}

全てのエラーを確実に処理したい場合、現在は以下のようにしなければなりません。

try {
    set_error_handler(static function ($severity, $message, $file, $line) {
        throw new \ErrorException($message, 0, $severity, $file, $line);
    });
    $result = unserialize($serialized);
} catch (\Throwable $e) {
    // unserializeに失敗した
} finally {
    restore_error_handler();
}

var_dump($result); // 何かする

unserializeをエラーハンドラでキャッチする例は、実際にrestore_error_handlerのドキュメントで使用されています。

Proposal

この問題への対策は、2点で構成されています。

Add wrapper Exception 'UnserializationFailedException'

新たな例外\UnserializationFailedExceptionを追加します。
現在unserialize関数およびマジックメソッド__unserialize()で投げている例外は、全て\UnserializationFailedExceptionになります。

これによって、開発者はひとつの文catch(\UnserializationFailedException $e)で、unserialize中に発生する全てをキャッチできるようになります。
これによって全てのロジックをひとつのtryで囲むだけで済み、可読性を上げることができます。
unserialize以外からUnserializationFailedExceptionが発生することはないので、無関係な例外を誤まって検出してしまうこともありません。
->getPrevious()メソッドで、シリアライズが失敗した原因を知ることができます。

これらの変更をPHPコードとして表すと、おおよそ以下のようになります。

function unserialize(string $data, array $options = []): mixed
{
    try {
        // 現在のunserializeのロジック
    } catch (\Throwable $e) {
        throw new \UnserializationFailedException(previous: $e);
    }
}

また、UnserializationFailedExceptionの実装は以下のとおりです。

/**
 * @strict-properties
 */
class UnserializationFailedException extends \Exception
{
}

Increase the error reporting severity in the unserialize() parser

unserializeハンドラに辿り着く前に、文字列の構文エラー、範囲外の整数値を渡した、などの理由でunserializeに失敗することがあります。
現在これらは例外にならず、かわりにE_NOTICEもしくはE_WARNING、あるいはその両方が発生します。

これらのエラーは統一する必要があるでしょう。
特にunserializeハンドラまで辿り着かずに失敗しているということは、安全でない操作が行われていることを意味するので、厳しい方向にすべきでしょう。

・serializeの出力にバイナリセーフではない変換や保存を行うと、シリアライズオブジェクトは完全に破壊されます。
・serializeの出力を文字コードの異なるストレージに保存すると、バイト長が変わる可能性があり、非ASCIIのシリアライズオブジェクトが読めなくなります。
・信頼できない入力をunserializeに渡すと、攻撃者は任意のエラーを発生させられるだけではなく、任意のリモートコードを実行される場合があります。

これらのケースに共通するものとして、シリアライズされた元のデータがそのままunserializeに渡ってきていないということです。
最も良かった場合、unserializeは単に失敗してfalseが返ります。
最も良くない場合、中身が想定外に書き換わります。

少なくともE_NOTICEはE_WARNINGに変更し、常にE_WARNINGが発生するようにすべきでしょう。

しかしそれよりも、単純にUnserializationFailedExceptionを投げるようにした方がより良い解決策かもしれません。
これまで例外ハンドリングをしてこなかったアプリケーションにおいて、この変更は急激なものかもしれません。
しかしそのようなアプリケーションも、そもそも元からThrowableをキャッチすることはできていなければなりません。
ここで一貫してUnserializationFailedExceptionを投げるようにすることで、統一されたエラー処理の利点を利用することができるようになります。

Resulting code

冒頭の例は、こう書けるようになります。

try {
    $result = unserialize($serialized);
    var_dump($result); // try中に他の処理を書いてもいい。
                       // こちらがエラーを出してもUnserializationFailureExceptionにはキャッチされない。
} catch (\UnserializationFailureException $e) {
    // unserializeが失敗した
}

E_WARNINGとE_NOTICEがUnserializationFailureExceptionに引き上げられた場合でも全く同じです。

Backward Incompatible Changes

後方互換性のない変更点。

Addition of a new exception class

新たな例外クラス、UnserializationFailedExceptionは使用できなくなります。
GitHubで見つからなかったので、実質的に影響はないでしょう。

Existing error handling for unserialize() might need to be updated

エラーハンドリング方法が変わりますが、これは大きな問題にはならないでしょう。
現在のunserializeのエラーは一貫性がないため、全てをキャッチするためにはcatch(\Throwable)としなければならないのですが、そうなっていれば今後もそのまま動作するからです。

Proposed PHP Version(s)

PHP8.3

RFC Impact

既存のエクステンションは、unserializeのエラー処理を行っている場合は、より適切な例外を発するように変更してもよいでしょう。

igbinaryなどシリアライズ機能そのものをカスタムする拡張機能は、動作がデフォルトシリアライザと一致するように書き替える必要があるかもしれません。

Open Issues

既知の問題点は特にありません。

Unaffected PHP Functionality

unserialize()と関連しない機能に影響はありません。
unserialize()__wakeup()Serializable::unserialize()を使っている場合、その処理方法によっては影響を受けるかもしれません。

Future Scope

将来の展望であり、このRFCには含まれません。

__PHP_Incomplete_Classを作るかわりに例外を出す。 https://externals.io/message/118566#118613
・ini設定unserialize_callback_funcをPHP側から設定できるようにする。 https://externals.io/message/118566#118672
・末尾の異常データをエラーにする。 https://github.com/php/php-src/pull/9630

Proposed Voting Choices

投票者の2/3の賛成で受理されます。

投票期間は2022/09/22から2022/10/07です。

『PHP8.3で例外UnserializationFailedExceptionを追加する』『PHP8.3でE_NOTICEをE_WARNINGにする』『PHP9.0でE_WARNINGをUnserializationFailedExceptionにする』それぞれについて投票が行われました。

『PHP8.3でE_NOTICEをE_WARNINGにする』は賛成33反対2で受理、『PHP9.0でE_WARNINGをUnserializationFailedExceptionにする』は賛成23反対8で受理されました。
『PHP8.3で例外UnserializationFailedExceptionを追加する』は賛成20反対12で却下されました。

References

Exceptionの実装
NoticeをWARNINGにする

感想

DateTimeに引き続き、unserializeもいいかんじにエラーハンドリングできるようになります。

UnserializationFailedExceptionが導入されると、たとえはSymfonyでは30行程度の修正が必要になります。
そんなわけでBCbreakの多いUnserializationFailedExceptionの導入はPHP9になったようです。

今後はぜひ、高機能になったExceptionを使っていいかんじのエラーハンドリングをしてみましょう。
まあ私は面倒なんで『unserializeできんかった』一言で終わらせると思いますが。

4
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?