array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'fr', ), 'this' => array ( 0 => 'function.unserialize.php', 1 => 'unserialize', ), 'up' => array ( 0 => 'ref.var.php', 1 => 'Fonctions de gestion des variables', ), 'prev' => array ( 0 => 'function.strval.php', 1 => 'strval', ), 'next' => array ( 0 => 'function.unset.php', 1 => 'unset', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'fr', 'path' => 'reference/var/functions/unserialize.xml', ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); ?>
(PHP 4, PHP 5, PHP 7, PHP 8)
unserialize — Crée une variable PHP à partir d'une valeur sérialisée
unserialize() prend une variable sérialisée (voir serialize()) et la convertit en variable PHP.
Ne passez pas d'entrée utilisateur non fiable à la fonction
unserialize() quelle que soit la valeur de
allowed_classes
dans options
.
La désérialisation peut résulter
en une exécution de code chargé et exécuté lors de l'instanciation
et l'autochargement d'objet, et ainsi, un utilisateur mal intentionné
peut être capable d'exploiter ce comportement. Utilisez un standard d'échange
sûr, comme JSON (via les fonctions json_decode()
et json_encode()) si vous devez passer des données sérialisées
à l'utilisateur.
Si vous avez besoin de désérialiser des données sérialisées enregistré à l'extérieur, considérez l'utilisation de hash_hmac() pour valider les données. Assurez-vous que les données n'ont été modifiées par personne d'autre que vous.
data
La chaîne sérialisée.
Si la variable désérialisée est un objet, après avoir réussi à le reconstruire, PHP tentera automatiquement d'appeller les méthodes __unserialize() ou __wakeup (si l'une d'elles existent).
Note: unserialize_callback_func directive
Il est possible de définir une fonction de rappel qui sera appelée si une classe indéfinie est utilisée lors de la désérialisation (ce qui évitera de recevoir un object "
__PHP_Incomplete_Class
"). Utilisez votre php.ini ou le fichier .htaccess pour définir unserialize_callback_func. Chaque fois qu'une classe non-définie sera instanciée, cette fonction sera appelée. Pour désactiver cette fonctionnalité, laissez simplement la chaîne de caractère vide.
options
Toute option à fournir à unserialize(), sous la forme d'un tableau associatif.
Nom | Type | Description |
---|---|---|
allowed_classes |
mixed |
Soit un tableau de noms de classes qui doivent être acceptées, false
pour accepter aucune classe, ou true pour accepter toutes les
classes. Si cette option est définie, et
unserialize() rencontre un objet d'une classe
qui n'est pas accepté, alors l'objet sera instancié plutôt comme
__PHP_Incomplete_Class.
Le fait d'ommettre cette option revient à le définir comme true :
PHP va tenter d'instancier les objets de n'importe quelle classe.
|
max_depth |
int |
La profondeur maximale autorisée des structures lors de la désérialisation,
qui est destinée à empêcher les débordements de pile. La limite de profondeur
par défaut est de 4096 et peut être désactivée en définissant
max_depth à 0 .
|
La valeur convertie est retournée par la fonction, et peut être de type booléen, entier, nombre décimal, chaîne de caractères, tableau ou objet.
Si la chaîne passée ne peut être désérialisée, cette fonction retourne
false
et une erreur E_WARNING
est émise.
Les objets peuvent lancer Throwables dans leur gestionnaire de désérialisation.
Version | Description |
---|---|
8.3.0 |
Émet désormais un E_WARNING lorsque la chaîne fournie n'est pas désérialisable ;
précédemment, un E_NOTICE était émis.
|
7.4.0 |
Ajout de l'élément max_depth aux
options pour définir la profondeur
maximale autorisée des structures lors de la désérialisation.
|
7.1.0 |
L'élément allowed_classes de
options ) est maintenant strictement typé, c'est à dire si
quelque chose autre qu'un tableau array ou un bool
est donné unserialize() retourne false et émet une
E_WARNING .
|
Exemple #1 Exemple avec unserialize()
<?php
// Ici, on utilise <function>unserialize</function> pour charger les données de sessions
// depuis la base de données, dans $session_data. Cet exemple complète
// celui fourni avec <function>serialize</function>.
$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
// si la préparation ou la lecture échouent, on crée un tableau vide
$session_data = array();
} else {
// les données sauvées sont dans $tmp[0].
$session_data = unserialize($tmp[0]);
if (!is_array($session_data)) {
// Erreur... initialisation d'un tableau vide
$session_data = array();
}
}
?>
Exemple #2 Exemple avec la directive unserialize_callback_func
<?php
$serialized_object='O:1:"a":1:{s:5:"value";s:3:"100";}';
ini_set('unserialize_callback_func', 'mycallback');
function mycallback($classname)
{
// Incluez simplement un fichier contenant votre définition de classe
// vous saurez quelle classe grâce à $classname
}
?>