unserialize

    (PHP 4, PHP 5, PHP 7, PHP 8)

    unserializeCrée une variable PHP à partir d'une valeur sérialisée

    Description

    unserialize(string$data, array$options = []): mixed

    unserialize() prend une variable sérialisée (voir serialize()) et la convertit en variable PHP.

    Avertissement

    Ne passez pas d'entrée utilisateur non fiable à la fonction unserialize() quelle que soit la valeur de allowed_classes dans options. La désérialisation peut résulter en une exécution de code chargé et exécuté lors de l'instanciation et l'autochargement d'objet, et ainsi, un utilisateur mal intentionné peut être capable d'exploiter ce comportement. Utilisez un standard d'échange sûr, comme JSON (via les fonctions json_decode() et json_encode()) si vous devez passer des données sérialisées à l'utilisateur.

    Si vous avez besoin de désérialiser des données sérialisées enregistré à l'extérieur, considérez l'utilisation de hash_hmac() pour valider les données. Assurez-vous que les données n'ont été modifiées par personne d'autre que vous.

    Liste de paramètres

    data

    La chaîne sérialisée.

    Si la variable désérialisée est un objet, après avoir réussi à le reconstruire, PHP tentera automatiquement d'appeller les méthodes __unserialize() ou __wakeup (si l'une d'elles existent).

    Note: unserialize_callback_func directive

    Il est possible de définir une fonction de rappel qui sera appelée si une classe indéfinie est utilisée lors de la désérialisation (ce qui évitera de recevoir un object "__PHP_Incomplete_Class"). Utilisez votre php.ini ou le fichier .htaccess pour définir unserialize_callback_func. Chaque fois qu'une classe non-définie sera instanciée, cette fonction sera appelée. Pour désactiver cette fonctionnalité, laissez simplement la chaîne de caractère vide.

    options

    Toute option à fournir à unserialize(), sous la forme d'un tableau associatif.

    Options valides
    NomTypeDescription
    allowed_classesmixed Soit un tableau de noms de classes qui doivent être acceptées, false pour accepter aucune classe, ou true pour accepter toutes les classes. Si cette option est définie, et unserialize() rencontre un objet d'une classe qui n'est pas accepté, alors l'objet sera instancié plutôt comme __PHP_Incomplete_Class. Le fait d'ommettre cette option revient à le définir comme true : PHP va tenter d'instancier les objets de n'importe quelle classe.
    max_depthint La profondeur maximale autorisée des structures lors de la désérialisation, qui est destinée à empêcher les débordements de pile. La limite de profondeur par défaut est de 4096 et peut être désactivée en définissant max_depth à 0.

    Valeurs de retour

    La valeur convertie est retournée par la fonction, et peut être de type booléen, entier, nombre décimal, chaîne de caractères, tableau ou objet.

    Si la chaîne passée ne peut être désérialisée, cette fonction retourne false et une erreur E_WARNING est émise.

    Erreurs / Exceptions

    Les objets peuvent lancer Throwables dans leur gestionnaire de désérialisation.

    Historique

    VersionDescription
    8.3.0 Émet désormais un E_WARNING lorsque la chaîne fournie n'est pas désérialisable ; précédemment, un E_NOTICE était émis.
    7.4.0 Ajout de l'élément max_depth aux options pour définir la profondeur maximale autorisée des structures lors de la désérialisation.
    7.1.0 L'élément allowed_classes de options) est maintenant strictement typé, c'est à dire si quelque chose autre qu'un tableau array ou un bool est donné unserialize() retourne false et émet une E_WARNING.

    Exemples

    Exemple #1 Exemple avec unserialize()

    <?php
    // Ici, on utilise <function>unserialize</function> pour charger les données de sessions
    // depuis la base de données, dans $session_data. Cet exemple complète
    // celui fourni avec <function>serialize</function>.

    $conn = odbc_connect("webdb", "php", "chicken");
    $stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
    $sqldata = array($_SERVER['PHP_AUTH_USER']);
    if (!    odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
    // si la préparation ou la lecture échouent, on crée un tableau vide
    $session_data = array();
    } else {
    // les données sauvées sont dans $tmp[0].
    $session_data = unserialize($tmp[0]);
    if (!    is_array($session_data)) {
    // Erreur... initialisation d'un tableau vide
    $session_data = array();
    }
    }
    ?>

    Exemple #2 Exemple avec la directive unserialize_callback_func

    <?php
    $serialized_object    ='O:1:"a":1:{s:5:"value";s:3:"100";}';

    ini_set('unserialize_callback_func', 'mycallback');

    function     mycallback($classname)
    {
    // Incluez simplement un fichier contenant votre définition de classe

    Notes

    Avertissement

    false est retourné dans les cas où une erreur survient et si vous tentez de désérialiser une valeur sérialisée égale à false. Il est possible d'intercepter ce cas spécial en comparant data avec serialize(false) ou en attrapant l'erreur E_NOTICE émise.

    Voir aussi

    To Top