Crée une variable PHP à partir d'une valeur linéarisée

Description

unserialize(string $data, array $options = []): mixed

unserialize() prend une variable linéarisée (voir serialize()) et la convertit en variable PHP.

Avertissement

Ne passez pas d'entrée utilisateur non fiable à la fonction unserialize() quelle que soit la valeur de allowed_classes dans options. La délinéarisation peut résulter en une exécution de code chargé et exécuté lors de l'instanciation et l'autochargement d'objet, et ainsi, un utilisateur mal intentionné peut être capable d'exploiter ce comportement. Utilisez un standard d'échange sûr, comme JSON (via les fonctions json_decode() et json_encode()) si vous devez passer des données linéarisées à l'utilisateur.

Si vous avez besoin de délinéariser des données linéarisées enregistré à l'extérieur, considérez l'utilisation de hash_hmac() pour valider les données. Assurez-vous que les données n'ont été modifiées par personne d'autre que vous.

Liste de paramètres

data

La chaîne linéarisée.

Si la variable délinéarisée est un objet, après avoir réussi à le reconstruire, PHP tentera automatiquement d'appeller les méthodes __unserialize() ou __wakeup (si l'une d'elles existent).

Note: unserialize_callback_func directive

Il est possible de définir une fonction de rappel qui sera appelée si une classe indéfinie est utilisée lors de la délinéarisation (ce qui évitera de recevoir un object "__PHP_Incomplete_Class"). Utilisez votre php.ini ou le fichier .htaccess pour définir unserialize_callback_func. Chaque fois qu'une classe non-définie sera instanciée, cette fonction sera appelée. Pour désactiver cette fonctionnalité, laissez simplement la chaîne de caractère vide.

options

Toute option à fournir à unserialize(), sous la forme d'un tableau associatif.

**Options valides**
Nom	Type	Description
`allowed_classes`	mixed	Soit un tableau de noms de classes qui doivent être acceptées, `false` pour accepter aucune classe, ou `true` pour accepter toutes les classes. Si cette option est définie, et unserialize() rencontre un objet d'une classe qui n'est pas accepté, alors l'objet sera instancié plutôt comme __PHP_Incomplete_Class. Le fait d'ommettre cette option revient à le définir comme `true` : PHP va tenter d'instancier les objets de n'importe quelle classe.
`max_depth`	int	La profondeur maximale autorisée des structures lors de la désérialisation, qui est destinée à empêcher les débordements de pile. La limite de profondeur par défaut est de `4096` et peut être désactivée en définissant `max_depth` à `0`.

Valeurs de retour

La valeur convertie est retournée par la fonction, et peut être de type booléen, entier, nombre décimal, chaîne de caractères, tableau ou objet.

Si la chaîne passée ne peut être délinéarisée, cette fonction retourne false et une erreur E_NOTICE est émise.

Erreurs / Exceptions

Les objets peuvent lancer Throwables dans leur gestionnaire de délinéarisation.

Historique

Version	Description
7.4.0	Ajout de l'élément `max_depth` aux `options` pour définir la profondeur maximale autorisée des structures lors de la désérialisation.
7.1.0	L'élément `allowed_classes` de `options`) est maintenant strictement typé, c'est à dire si quelque chose autre qu'un tableau array ou un bool est donné unserialize() retourne `false` et émet une `E_WARNING`.

Exemples

Exemple #1 Exemple avec unserialize()


<?php
// Ici, on utilise <function>unserialize</function> pour charger les données de sessions
// depuis la base de données, dans $session_data. Cet exemple complète
// celui fourni avec <function>serialize</function>.

$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
    // si la préparation ou la lecture échouent, on crée un tableau vide
    $session_data = array();
} else {
    // les données sauvées sont dans $tmp[0].
    $session_data = unserialize($tmp[0]);
    if (!is_array($session_data)) {
        // Erreur... initialisation d'un tableau vide
        $session_data = array();
    }
}
?>

Exemple #2 Exemple avec la directive unserialize_callback_func


<?php
$serialized_object='O:1:"a":1:{s:5:"value";s:3:"100";}';

ini_set('unserialize_callback_func', 'mycallback');

function mycallback($classname) 
{
    // Incluez simplement un fichier contenant votre définition de classe
    // vous saurez quelle classe grâce à $classname
}
?>

Notes

Avertissement

false est retourné dans les cas où une erreur survient et si vous tentez de délinéariser une valeur linéarisé égale à false. Il est possible d'intercepter ce cas spécial en comparant data avec serialize(false) ou en attrapant l'erreur E_NOTICE émise.

Voir aussi

json_encode() - Retourne la représentation JSON d'une valeur
json_decode() - Décode une chaîne JSON
hash_hmac() - Génère une valeur de clé de hachage en utilisant la méthode HMAC
serialize() - Génère une représentation stockable d'une valeur
Autoloading Classes
unserialize_callback_func
unserialize_max_depth
__wakeup()
__serialize()
__unserialize()