array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'de', ), 'this' => array ( 0 => 'function.unserialize.php', 1 => 'unserialize', 2 => 'Erzeugt aus einem gespeicherten Datenformat einen Wert in PHP', ), 'up' => array ( 0 => 'ref.var.php', 1 => 'Funktionen zur Behandlung von Variablen', ), 'prev' => array ( 0 => 'function.strval.php', 1 => 'strval', ), 'next' => array ( 0 => 'function.unset.php', 1 => 'unset', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'de', 'path' => 'reference/var/functions/unserialize.xml', ), 'history' => array ( ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); contributors($setup); ?>

unserialize

(PHP 4, PHP 5, PHP 7, PHP 8)

unserializeErzeugt aus einem gespeicherten Datenformat einen Wert in PHP

Beschreibung

unserialize(string $data, array $options = []): mixed

unserialize() nimmt eine einzelne Variable aus einer serialisierten Datenmenge und wandelt sie in einen PHP-Wert zurück.

Warnung

Unvertrauenswürdige Benutzereingaben sollten nicht an unserialize() übergeben werden, unabhängig vom options-Wert von allowed_classes. Die Deserialisierung kann durch Objektinstanziierung und Autoloading dazu führen, dass Code geladen und ausgeführt wird, und ein böswilliger Anwender kann in der Lage sein, das auszunutzen. Es ist ein sicheres, standardisiertes Austauschformat wie JSON (per json_decode() und json_encode()) zu verwenden, wenn serialisierte Daten an den Nutzer übergeben werden müssen.

Müssen extern gespeicherte serialisierte Daten deserialisiert werden, ist zu erwägen hash_hmac() zur Datenvalidierung zu verwenden. Es ist sicherzustellen, dass die Daten von niemandem außer einem selbst modifiziert wurden.

Parameter-Liste

data

Der serialisierte String.

Wenn die zu deserialisierende Variable ein Objekt ist, wird PHP nach der erfolgreichen Wiederherstellung des Objekts automatisch versuchen, die __unserialize()- oder __wakeup-Methode aufzurufen (sofern eine von diesen existiert).

Hinweis: Die Direktive unserialize_callback_func

Der in der Direktive unserialize_callback_func angegebene Callback wird aufgerufen, wenn eine undefinierte Klasse deserialisiert wird. Wenn kein Callback angegeben wird, wird das Objekt als __PHP_Incomplete_Class instanziiert.

options

Optionen, die unserialize() als assoziatives Array zur Verfügung gestellt werden sollen.

Gültige Optionen
Name Typ Beschreibung
allowed_classes array|bool Entweder ein Array von Klassennamen, die akzeptiert werden sollen, oder false um keine Klassen oder true um alle Klassen zu akzeptieren. Ist diese Option angegeben und unserialize() trifft auf ein Objekt einer Klasse, die nicht akzeptierbar ist, wird das Objekt statt dessen als __PHP_Incomplete_Class instanziiert. Das Auslassen dieser Option hat die gleiche Wirkung wie sie als true anzugeben: PHP wird versuchen Objekte beliebiger Klassen zu instanziieren.
max_depth int Die maximale Tiefe von Strukturen, die während der Deserialisierung erlaubt ist. Diese Option soll Stack-Überläufe verhindern. Die Standardtiefe ist 4096 und kann durch Setzen von max_depth auf 0 deaktiviert werden.

Rückgabewerte

Der konvertierte Wert wird zurückgegeben und kann vom Typ bool, int, float, string, array oder object sein.

Falls der übergebene String nicht deserialisierbar ist, wird false zurückgegeben und E_WARNING produziert.

Fehler/Exceptions

Objekte können Throwables in ihren Deserialisierungs-Routinen ausführen.

Wenn das Element allowed_classes von options kein array von Klassennamen ist, löst unserialize() seit PHP 8.4.0 TypeErrors und ValueErrors aus.

Changelog

Version Beschreibung
8.4.0 Löst nun TypeErrors und ValueErrors aus, wenn das Element allowed_classes von options kein array von Klassennamen ist.
8.3.0 Gibt nun ein E_WARNING aus, wenn die Eingabezeichenkette nicht verwendete Daten enthält.
8.3.0 Gibt nun einen Fehler der Stufe E_WARNING aus, wenn der übergebene String nicht unserialisierbar ist; zuvor wurde ein E_NOTICE ausgegeben.
7.4.0 Zu options wurde das Element max_depth hinzugefügt, um die maximale Tiefe von Strukturen festzulegen, die während der Deserialisierung erlaubt ist.
7.1.0 Das allowed_classes-Element von options ist nun strikt typisiert, d. h. wird etwas anderes als ein Array oder ein bool übergeben, liefert unserialize() false zurück und löst ein E_WARNING aus.

Beispiele

Beispiel #1 unserialize()-Beispiel

<?php
// Als Beispiel benutzen wir unserialize(), um Daten aus einer Datenbank in das
// $session_data-Array zu laden. Das Beispiel vervollständigt das unter
// serialize() beschriebene.

$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
// wenn execute oder fetch fehlschlägt, initialisiere ein leeres Array
$session_data = array();
} else {
// die serialisierten Daten sollten nun in $tmp[0] stehen.
$session_data = unserialize($tmp[0]);
if (!is_array($session_data)) {
// etwas ging schief, also wieder ein leeres Array initialisieren
$session_data = array();
}
}
?>

Beispiel #2 unserialize_callback_func-Beispiel

<?php
$serialized_object='O:1:"a":1:{s:5:"value";s:3:"100";}';

ini_set('unserialize_callback_func', 'mycallback'); // Festlegen der callback_function

function mycallback($classname)
{
// einfach eine Datei einbinden, dass die Klassendefinitionen enthält
// Sie erhalten $classname, womit Sie herausfinden können, welche
// Klassendefinition benötigt wird
var_dump($classname);
}

unserialize($serialized_object);
?>

Anmerkungen

Warnung

false wird sowohl im Fehlerfall als auch bei einem serialisierten false-Wert zurückgegeben. Es ist möglich, diesen speziellen Fall abzufangen, indem man data mit serialize(false) vergleicht oder prüft, ob ein E_WARNING produziert wurde.

Siehe auch