unserialize

(PHP 4, PHP 5, PHP 7, PHP 8)

unserializeErzeugt aus einem gespeicherten Datenformat einen Wert in PHP

Beschreibung

unserialize(string $data, array $options = []): mixed

unserialize() nimmt eine einzelne Variable aus einer serialisierten Datenmenge und wandelt sie in einen PHP-Wert zurück.

Warnung

Unvertrauenswürdige Benutzereingaben sollten nicht an unserialize() übergeben werden, unabhängig vom options-Wert von allowed_classes. Die Deserialisierung kann durch Objektinstanziierung und Autoloading dazu führen, dass Code geladen und ausgeführt wird, und ein böswilliger Anwender kann in der Lage sein, das auszunutzen. Es ist ein sicheres, standardisiertes Austauschformat wie JSON (per json_decode() und json_encode()) zu verwenden, wenn serialisierte Daten an den Nutzer übergeben werden müssen.

Müssen extern gespeicherte serialisierte Daten deserialisiert werden, ist zu erwägen hash_hmac() zur Datenvalidierung zu verwenden. Es ist sicherzustellen, dass die Daten von niemandem außer einem selbst modifiziert wurden.

Parameter-Liste

data

Der serialisierte String.

Wenn die zu deserialisierende Variable ein Objekt ist, wird PHP nach der erfolgreichen Wiederherstellung des Objekts automatisch versuchen, die __unserialize()- oder __wakeup-Methode aufzurufen (sofern eine von diesen existiert).

Hinweis: Die unserialize_callback_func-Direktive

Es ist möglich, eine Callback-Funktion anzugeben, die aufgerufen wird, wenn eine undefinierte Klasse während des Deserialisierens instanziiert werden soll (um dem Erhalt des unvollständigen Objekts "__PHP_Incomplete_Class" vorzubeugen). Nutzen Sie Ihre php.ini, ini_set() oder .htaccess, um unserialize_callback_func festzulegen. Jedesmal, wenn eine undefinierte Klasse instanziiert werden soll, wird diese Funktion aufgerufen. Um dieses Feature abzuschalten, muss die Einstellung nur ungefüllt sein.

options

Optionen, die unserialize() als assoziatives Array zur Verfügung gestellt werden sollen.

Gültige Optionen
Name Typ Beschreibung
allowed_classes mixed Entweder ein Array von Klassennamen, die akzeptiert werden sollen, oder false um keine Klassen oder true um alle Klassen zu akzeptieren. Ist diese Option angegeben und unserialize() trifft auf ein Objekt einer Klasse, die nicht akzeptierbar ist, wird das Objekt statt dessen als __PHP_Incomplete_Class instanziiert. Das Auslassen dieser Option hat die gleiche Wirkung wie sie als true anzugeben: PHP wird versuchen Objekte beliebiger Klassen zu instanziieren.

Rückgabewerte

Der konvertierte Wert wird zurückgegeben und kann vom Typ bool, int, float, string, array oder object sein.

Falls der übergebene String nicht deserialisierbar ist, wird false zurückgegeben und E_NOTICE produziert.

Fehler/Exceptions

Objekte können Throwables in ihren Deserialisierungs-Routinen ausführen.

Changelog

Version Beschreibung
7.1.0 Das allowed_classes-Element von options) ist nun strikt typisiert, d. h. wird etwas anderes als ein Array oder ein bool übergeben, liefert unserialize() false zurück und löst ein E_WARNING aus.

Beispiele

Beispiel #1 unserialize()-Beispiel

<?php
// Als Beispiel benutzen wir unserialize(), um Daten aus einer Datenbank in das
// $session_data-Array zu laden. Das Beispiel vervollständigt das unter
// serialize() beschriebene.

$conn odbc_connect("webdb""php""chicken");
$stmt odbc_prepare($conn"SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!
odbc_execute($stmt$sqldata) || !odbc_fetch_into($stmt$tmp)) {
    
// wenn execute oder fetch fehlschlägt, initialisiere ein leeres Array
    
$session_data = array();
} else {
    
// die serialisierten Daten sollten nun in $tmp[0] stehen.
    
$session_data unserialize($tmp[0]);
    if (!
is_array($session_data)) {
        
// etwas ging schief, also wieder ein leeres Array initialisieren
        
$session_data = array();
    }
}
?>

Beispiel #2 unserialize_callback_func-Beispiel

<?php
$serialized_object
='O:1:"a":1:5:"value";s:3:"100";';

ini_set('unserialize_callback_func''mycallback'); // Festlegen der callback_function

function mycallback($classname)
{
    
// einfach eine Datei einbinden, dass die Klassendefinitionen enthält
    // Sie erhalten $classname, womit Sie herausfinden können, welche
    // Klassendefinition benötigt wird
}
?>

Anmerkungen

Warnung

false wird sowohl im Fehlerfall als auch bei einem serialisierten false-Wert zurückgegeben. Es ist möglich, diesen speziellen Fall abzufangen, indem man data mit serialize(false) vergleicht oder prüft, ob ein E_NOTICE produziert wurde.

Siehe auch

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe
Es sind noch keine Kommentare vorhanden.

Neuigkeiten für PHP-Entwickler: Laravel 11 Veröffentlichung

Am 12. März 2024 wurde die lang erwartete Version 11 des Laravel-Frameworks veröffentlicht, die eine Reihe von spannenden Neuerungen und Verbesserungen für die PHP-Entwicklungsgemeinschaft mit sich bringt. ...

Mike94

Autor : Mike94
Kategorie: PHP Magazin

Technisches SEO bleibt relevant

Technisches SEO – Was ist das überhaupt? Technisches SEO bezieht sich auf die Optimierung der technischen Aspekte deiner Webseite. Das Ziel ist klar! ...

admin

Autor : admin
Kategorie: SEO & Online-Marketing

Was ist neu in der PHP 8.2.10

PHP 8.2.10 ist eine der neuesten Versionen von PHP, die eine Reihe von Verbesserungen und neuen Funktionen mit sich bringt. In diesem Artikel werden wir einige der herausragenden Neuerungen und Verbesserungen dieser Version diskutieren. ...

admin

Autor : admin
Kategorie: Software-Updates

Tutorial veröffentlichen

Tutorial veröffentlichen

Teile Dein Wissen mit anderen Entwicklern weltweit

Du bist Profi in deinem Bereich und möchtest dein Wissen teilen, dann melde dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Tutorial veröffentlichen

Seltsames Verhalten von execute() oder Fehler meinerseits

Hallo liebe Community, ich habe ein kleines Problem und vielleicht kann mir ja jemand helfen, würde ich mich sehr drüber freuen. Unten steht e ...

Geschrieben von garibaldiwz am 22.03.2024 13:03:12
Forum: SQL / Datenbanken
Google reCAPTCHA in Kontaktformular einbinden

Überprüfen Sie den E-Mail-Versand: Stellen Sie sicher, dass die E-Mail-Funktion mail() ordnungsgemäß funktioniert und dass keine Fehler beim V ...

Geschrieben von Gast am 18.03.2024 04:54:16
Forum: PHP Developer Forum
`count.php`

Hallo cober93327, und Danke fuer deine Antwort! :-) Naja, so einen "Besucherzähler" auf der Webseite anzuzeigen ist schon eher etwas, das man a ...

Geschrieben von kekse1 am 17.03.2024 15:56:38
Forum: Projekthilfe
`count.php`

Es gibt dazu natuerlich auch eine recht ausfuehrliche Dokumentation in meinem GitHub-Repository Es würde meiner Ansicht nach enorm helfen, wenn D ...

Geschrieben von cober93327 am 14.03.2024 15:49:28
Forum: Projekthilfe