unserialize
(PHP 4, PHP 5, PHP 7, PHP 8)
unserialize — Erzeugt aus einem gespeicherten Datenformat einen Wert in PHP
Beschreibung
unserialize() nimmt eine einzelne Variable aus einer serialisierten Datenmenge und wandelt sie in einen PHP-Wert zurück.
Unvertrauenswürdige Benutzereingaben sollten nicht an
unserialize() übergeben werden, unabhängig vom
options-Wert von
allowed_classes. Die Deserialisierung kann durch
Objektinstanziierung und Autoloading dazu führen, dass Code geladen und
ausgeführt wird, und ein böswilliger Anwender kann in der Lage sein, das
auszunutzen. Es ist ein sicheres, standardisiertes Austauschformat wie JSON
(per json_decode() und json_encode())
zu verwenden, wenn serialisierte Daten an den Nutzer übergeben werden müssen.
Müssen extern gespeicherte serialisierte Daten deserialisiert werden, ist zu erwägen hash_hmac() zur Datenvalidierung zu verwenden. Es ist sicherzustellen, dass die Daten von niemandem außer einem selbst modifiziert wurden.
Parameter-Liste
-
data -
Der serialisierte String.
Wenn die zu deserialisierende Variable ein Objekt ist, wird PHP nach der erfolgreichen Wiederherstellung des Objekts automatisch versuchen, die __unserialize()- oder __wakeup-Methode aufzurufen (sofern eine von diesen existiert).
Hinweis: Die unserialize_callback_func-Direktive
Es ist möglich, eine Callback-Funktion anzugeben, die aufgerufen wird, wenn eine undefinierte Klasse während des Deserialisierens instanziiert werden soll (um dem Erhalt des unvollständigen Objekts "__PHP_Incomplete_Class" vorzubeugen). Nutzen Sie Ihre php.ini, ini_set() oder .htaccess, um unserialize_callback_func festzulegen. Jedesmal, wenn eine undefinierte Klasse instanziiert werden soll, wird diese Funktion aufgerufen. Um dieses Feature abzuschalten, muss die Einstellung nur ungefüllt sein.
-
options -
Optionen, die unserialize() als assoziatives Array zur Verfügung gestellt werden sollen.
Gültige Optionen Name Typ Beschreibung allowed_classesmixed Entweder ein Array von Klassennamen, die akzeptiert werden sollen, oder falseum keine Klassen odertrueum alle Klassen zu akzeptieren. Ist diese Option angegeben und unserialize() trifft auf ein Objekt einer Klasse, die nicht akzeptierbar ist, wird das Objekt statt dessen als __PHP_Incomplete_Class instanziiert. Das Auslassen dieser Option hat die gleiche Wirkung wie sie alstrueanzugeben: PHP wird versuchen Objekte beliebiger Klassen zu instanziieren.
Rückgabewerte
Der konvertierte Wert wird zurückgegeben und kann vom Typ bool, int, float, string, array oder object sein.
Falls der übergebene String nicht deserialisierbar ist, wird false
zurückgegeben und E_NOTICE produziert.
Fehler/Exceptions
Objekte können Throwables in ihren Deserialisierungs-Routinen ausführen.
Changelog
| Version | Beschreibung |
|---|---|
| 7.1.0 |
Das allowed_classes-Element von
options) ist nun strikt typisiert, d. h. wird
etwas anderes als ein Array oder ein bool
übergeben, liefert unserialize() false zurück und
löst ein E_WARNING aus.
|
Beispiele
Beispiel #1 unserialize()-Beispiel
<?php
// Als Beispiel benutzen wir unserialize(), um Daten aus einer Datenbank in das
// $session_data-Array zu laden. Das Beispiel vervollständigt das unter
// serialize() beschriebene.
$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
// wenn execute oder fetch fehlschlägt, initialisiere ein leeres Array
$session_data = array();
} else {
// die serialisierten Daten sollten nun in $tmp[0] stehen.
$session_data = unserialize($tmp[0]);
if (!is_array($session_data)) {
// etwas ging schief, also wieder ein leeres Array initialisieren
$session_data = array();
}
}
?>
Beispiel #2 unserialize_callback_func-Beispiel
<?php
$serialized_object='O:1:"a":1:5:"value";s:3:"100";';
ini_set('unserialize_callback_func', 'mycallback'); // Festlegen der callback_function
function mycallback($classname)
{
// einfach eine Datei einbinden, dass die Klassendefinitionen enthält
// Sie erhalten $classname, womit Sie herausfinden können, welche
// Klassendefinition benötigt wird
}
?>
Anmerkungen
false wird sowohl im Fehlerfall als auch bei einem serialisierten
false-Wert zurückgegeben. Es ist möglich, diesen speziellen Fall
abzufangen, indem man data mit
serialize(false) vergleicht oder prüft, ob ein
E_NOTICE produziert wurde.
Siehe auch
- json_encode() - Liefert die JSON-Darstellung eines Wertes
- json_decode() - Dekodiert eine JSON-Zeichenkette
- hash_hmac() - Berechnet einen Hash mit Schlüssel unter Verwendung von HMAC
- serialize() - Erzeugt eine speicherbare Repräsentation eines Wertes
- Autoloading von Klassen
- unserialize_callback_func
- __wakeup
- __serialize()
- __unserialize()
