unserialize

(PHP 4, PHP 5, PHP 7, PHP 8)

unserialize — Erzeugt aus einem gespeicherten Datenformat einen Wert in PHP

Beschreibung

unserialize(string$data, array$options = []): mixed

unserialize() nimmt eine einzelne Variable aus einer serialisierten Datenmenge und wandelt sie in einen PHP-Wert zurück.

Warnung

Unvertrauenswürdige Benutzereingaben sollten nicht an unserialize() übergeben werden, unabhängig vom options-Wert von allowed_classes. Die Deserialisierung kann durch Objektinstanziierung und Autoloading dazu führen, dass Code geladen und ausgeführt wird, und ein böswilliger Anwender kann in der Lage sein, das auszunutzen. Es ist ein sicheres, standardisiertes Austauschformat wie JSON (per json_decode() und json_encode()) zu verwenden, wenn serialisierte Daten an den Nutzer übergeben werden müssen.

Müssen extern gespeicherte serialisierte Daten deserialisiert werden, ist zu erwägen hash_hmac() zur Datenvalidierung zu verwenden. Es ist sicherzustellen, dass die Daten von niemandem außer einem selbst modifiziert wurden.

Parameter-Liste

data

Der serialisierte String.

Wenn die zu deserialisierende Variable ein Objekt ist, wird PHP nach der erfolgreichen Wiederherstellung des Objekts automatisch versuchen, die __unserialize()- oder __wakeup-Methode aufzurufen (sofern eine von diesen existiert).

Hinweis: Die unserialize_callback_func-Direktive
Es ist möglich, eine Callback-Funktion anzugeben, die aufgerufen wird, wenn eine undefinierte Klasse während des Deserialisierens instanziiert werden soll (um dem Erhalt des unvollständigen Objekts "__PHP_Incomplete_Class" vorzubeugen). Nutzen Sie Ihre php.ini, ini_set() oder .htaccess, um unserialize_callback_func festzulegen. Jedesmal, wenn eine undefinierte Klasse instanziiert werden soll, wird diese Funktion aufgerufen. Um dieses Feature abzuschalten, muss die Einstellung nur ungefüllt sein.

options

Optionen, die unserialize() als assoziatives Array zur Verfügung gestellt werden sollen.

**Gültige Optionen**
Name	Typ	Beschreibung
`allowed_classes`	mixed	Entweder ein Array von Klassennamen, die akzeptiert werden sollen, oder `false` um keine Klassen oder `true` um alle Klassen zu akzeptieren. Ist diese Option angegeben und unserialize() trifft auf ein Objekt einer Klasse, die nicht akzeptierbar ist, wird das Objekt statt dessen als __PHP_Incomplete_Class instanziiert. Das Auslassen dieser Option hat die gleiche Wirkung wie sie als `true` anzugeben: PHP wird versuchen Objekte beliebiger Klassen zu instanziieren.
`max_depth`	int	Die maximale Tiefe von Strukturen, die während der Deserialisierung erlaubt ist. Diese Option soll Stack-Überläufe verhindern. Die Standardtiefe ist `4096` und kann durch Setzen von `max_depth` auf `0` deaktiviert werden.

Rückgabewerte

Der konvertierte Wert wird zurückgegeben und kann vom Typ bool, int, float, string, array oder object sein.

Falls der übergebene String nicht deserialisierbar ist, wird false zurückgegeben und E_WARNING produziert.

Fehler/Exceptions

Objekte können Throwables in ihren Deserialisierungs-Routinen ausführen.

Changelog

Version	Beschreibung
8.3.0	Gibt nun einen Fehler der Stufe `E_WARNING` aus, wenn der übergebene String nicht unserialisierbar ist; zuvor wurde ein `E_NOTICE` ausgegeben.
7.4.0	Zu `options` wurde das Element `max_depth` hinzugefügt, um die maximale Tiefe von Strukturen festzulegen, die während der Deserialisierung erlaubt ist.
7.1.0	Das `allowed_classes`-Element von `options`) ist nun strikt typisiert, d. h. wird etwas anderes als ein Array oder ein bool übergeben, liefert unserialize()`false` zurück und löst ein `E_WARNING` aus.

Beispiele

Beispiel #1 unserialize()-Beispiel

<?php
// Als Beispiel benutzen wir unserialize(), um Daten aus einer Datenbank in das
// $session_data-Array zu laden. Das Beispiel vervollständigt das unter
// serialize() beschriebene.

$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
// wenn execute oder fetch fehlschlägt, initialisiere ein leeres Array
$session_data = array();
} else {
// die serialisierten Daten sollten nun in $tmp[0] stehen.
$session_data = unserialize($tmp[0]);
 if (!is_array($session_data)) {
// etwas ging schief, also wieder ein leeres Array initialisieren
$session_data = array();
 }
}
?>

Beispiel #2 unserialize_callback_func-Beispiel

<?php
$serialized_object='O:1:"a":1:{s:5:"value";s:3:"100";}';

ini_set('unserialize_callback_func', 'mycallback'); // Festlegen der callback_function

function mycallback($classname)
{
// einfach eine Datei einbinden, dass die Klassendefinitionen enthält

`Anmerkungen`

Warnungfalse wird sowohl im Fehlerfall als auch bei einem serialisierten false-Wert zurückgegeben. Es ist möglich, diesen speziellen Fall abzufangen, indem man data mit serialize(false) vergleicht oder prüft, ob ein E_NOTICE produziert wurde.

`Siehe auch`

json_encode() - Liefert die JSON-Darstellung eines Wertes
json_decode() - Dekodiert eine JSON-Zeichenkette
hash_hmac() - Berechnet einen Hash mit Schlüssel unter Verwendung von HMAC
serialize() - Erzeugt eine speicherbare Repräsentation eines Wertes
Automatisches Laden von Klassen
unserialize_callback_func
unserialize_max_depth
__wakeup()
__serialize()
__unserialize()