unserialize
(PHP 4, PHP 5, PHP 7)
unserialize — Crée une variable PHP à partir d'une valeur linéarisée
Description
unserialize() prend une variable linéarisée (voir serialize()) et la convertit en variable PHP.
Ne passez pas d'entrée utilisateur non fiable à la fonction unserialize(). La délinéarisation peut résulter en une exécution de code chargé et exécuté lors de l'instanciation et l'auto-chargement d'objet, et ainsi, un utilisateur mal intentionné peut être capable d'exploiter ce comportement. Utilisez un standard d'échange sûr, comme JSON (via les fonctions json_decode() et json_encode()) si vous devez passer des données linéarisées à l'utilisateur.
Si vous avez besoin de délinéariser des données linéarisées dans un magasin externe, vous devriez utiliser la fonction hash_hmac() pour valider les données. Assurez-vous que les données n'ont été modifiées par personne d'autre que vous.
Liste de paramètres
-
str
-
La chaîne linéarisée.
Si la variable délinéarisée est un objet, après avoir réussi à le reconstruire, PHP appellera automatiquement la méthode __wakeup si elle existe.
Note: unserialize_callback_func directive
Il est possible de définir une fonction de rappel qui sera appelée si une classe indéfinie est utilisée lors de la délinéarisation (ce qui évitera de voir l'objet recevoir le type d'objet incomplet object "__PHP_Incomplete_Class"). Utilisez dans votre fichier php.ini ou le fichier .htaccess, ou encore avec la fonction ini_set(), pour définir une fonction unserialize_callback_func(). Chaque fois qu'une classe non-définie sera instanciée, cette fonction sera appelée. Pour désactiver cette fonctionnalité, laissez la simplement vide.
-
options
-
Toute option à fournir à unserialize(), sous la forme d'un tableau associatif.
Options valides Nom Type Description allowed_classes mixed Soit un tableau de noms de classes qui doivent être acceptées, FALSE
pour accepter aucune classe, ouTRUE
pour accepter toutes les classes. Si cette option est définie, et unserialize() rencontre un objet d'une classe qui n'est pas accepté, alors l'objet sera instancié plutôt comme __PHP_Incomplete_Class. Le fait d'ommettre cette option revient à le définir commeTRUE
: PHP va tenter d'instancier les objets de n'importe quelle classe.
Valeurs de retour
La valeur convertie est retournée par la fonction, et peut être de type booléen, entier, nombre décimal, chaîne de caractères, tableau ou objet.
Si la chaîne passée ne peut être délinéarisée, cette fonction retourne
FALSE
et une erreur E_NOTICE
est émise.
Historique
Version | Description |
---|---|
7.0.0 |
Le paramètre options a été ajouté.
|
5.6.0 | La manipulation des données linéarisées en remplaçant C: avec O: pour forcer l'instanciation d'objet sans appeler le constructeur échoue dorénavant. |
Exemples
Exemple #1 Exemple avec unserialize()
<?php
// Ici, on utilise <function>unserialize</function> pour charger les données de sessions
// depuis la base de données, dans $session_data. Cet exemple complète
// celui fourni avec <function>serialize</function>.
$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
// si la préparation ou la lecture échouent, on crée un tableau vide
$session_data = array();
} else {
// les données sauvées sont dans $tmp[0].
$session_data = unserialize($tmp[0]);
if (!is_array($session_data)) {
// Erreur... initialisation d'un tableau vide
$session_data = array();
}
}
?>
Exemple #2 Exemple avec la directive unserialize_callback_func
<?php
$serialized_object='O:1:"a":1:{s:5:"value";s:3:"100";}';
ini_set('unserialize_callback_func', 'mycallback');
function mycallback($classname)
{
// Incluez simplement un fichier contenant votre définition de classe
// vous saurez quelle classe grâce à $classname
}
?>
Notes
FALSE
est retourné dans les cas où une erreur survient et si vous
tentez de délinéariser une valeur linéarisé égale à FALSE
. Il est
possible d'intercepter ce cas spécial en comparant
str
avec serialize(false)
ou en attrapant l'erreur E_NOTICE
émise.
Voir aussi
- json_encode() - Retourne la représentation JSON d'une valeur
- json_decode() - Décode une chaîne JSON
- hash_hmac() - Génère une valeur de clé de hachage en utilisant la méthode HMAC
- serialize() - Génère une représentation stockable d'une valeur
- Auto-chargement des classes
- unserialize_callback_func
- __wakeup
Version en cache
05/01/2025 17:15:07 Cette version de la page est en cache (à la date du 05/01/2025 17:15:07) afin d'accélérer le traitement. Vous pouvez activer le mode utilisateur dans le menu en haut pour afficher la dernère version de la page.Document créé le 30/01/2003, dernière modification le 26/10/2018
Source du document imprimé : https://www.gaudry.be/php-rf-unserialize.html
L'infobrol est un site personnel dont le contenu n'engage que moi. Le texte est mis à disposition sous licence CreativeCommons(BY-NC-SA). Plus d'info sur les conditions d'utilisation et sur l'auteur.
Références
Ces références et liens indiquent des documents consultés lors de la rédaction de cette page, ou qui peuvent apporter un complément d'information, mais les auteurs de ces sources ne peuvent être tenus responsables du contenu de cette page.
L'auteur de ce site est seul responsable de la manière dont sont présentés ici les différents concepts, et des libertés qui sont prises avec les ouvrages de référence. N'oubliez pas que vous devez croiser les informations de sources multiples afin de diminuer les risques d'erreurs.