(PHP 4, PHP 5, PHP 7)
unserialize — Crée une variable PHP à partir d'une valeur linéarisée
unserialize() prend une variable linéarisée (voir serialize()) et la convertit en variable PHP.
Ne passez pas d'entrée utilisateur non fiable à la fonction
unserialize() quelle que soit la valeur de
allowed_classes dans options.
La délinéarisation peut résulter
en une exécution de code chargé et exécuté lors de l'instanciation
et l'auto-chargement d'objet, et ainsi, un utilisateur mal intentionné
peut être capable d'exploiter ce comportement. Utilisez un standard d'échange
sûr, comme JSON (via les fonctions json_decode()
et json_encode()) si vous devez passer des données linéarisées
à l'utilisateur.
Si vous avez besoin de délinéariser des données linéarisées enregistré à l'extérieur, considérez l'utilisation de hash_hmac() pour valider les données. Assurez-vous que les données n'ont été modifiées par personne d'autre que vous.
strLa chaîne linéarisée.
Si la variable délinéarisée est un objet, après avoir réussi à le reconstruire, PHP appellera automatiquement la méthode __wakeup si elle existe.
Note: unserialize_callback_func directive
Il est possible de définir une fonction de rappel qui sera appelée si une classe indéfinie est utilisée lors de la délinéarisation (ce qui évitera de recevoir un object "__PHP_Incomplete_Class"). Utilisez votre php.ini ou le fichier .htaccess pour définir unserialize_callback_func. Chaque fois qu'une classe non-définie sera instanciée, cette fonction sera appelée. Pour désactiver cette fonctionnalité, laissez simplement la chaîne de charactère vide.
optionsToute option à fournir à unserialize(), sous la forme d'un tableau associatif.
| Nom | Type | Description |
|---|---|---|
| allowed_classes | mixed |
Soit un tableau de noms de classes qui doivent être acceptées, FALSE
pour accepter aucune classe, ou TRUE pour accepter toutes les
classes. Si cette option est définie, et
unserialize() rencontre un objet d'une classe
qui n'est pas accepté, alors l'objet sera instancié plutôt comme
__PHP_Incomplete_Class.
Le fait d'ommettre cette option revient à le définir comme TRUE :
PHP va tenter d'instancier les objets de n'importe quelle classe.
|
La valeur convertie est retournée par la fonction, et peut être de type booléen, entier, nombre décimal, chaîne de caractères, tableau ou objet.
Si la chaîne passée ne peut être délinéarisée, cette fonction retourne
FALSE et une erreur E_NOTICE est émise.
| Version | Description |
|---|---|
| 7.1.0 |
L'élément allowed_classes de
options) est maintenant strictement typé, c'est à dire si
quelque chose autre qu'un tableau array ou un booléan boolean
est donné unserialize() retourne FALSE et émet une
E_WARNING.
|
| 7.0.0 |
Le paramètre options a été ajouté.
|
| 5.6.0 | La manipulation des données linéarisées en remplaçant C: avec O: pour forcer l'instanciation d'objet sans appeler le constructeur échoue dorénavant. |
Exemple #1 Exemple avec unserialize()
<?php
// Ici, on utilise <function>unserialize</function> pour charger les données de sessions
// depuis la base de données, dans $session_data. Cet exemple complète
// celui fourni avec <function>serialize</function>.
$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
// si la préparation ou la lecture échouent, on crée un tableau vide
$session_data = array();
} else {
// les données sauvées sont dans $tmp[0].
$session_data = unserialize($tmp[0]);
if (!is_array($session_data)) {
// Erreur... initialisation d'un tableau vide
$session_data = array();
}
}
?>
Exemple #2 Exemple avec la directive unserialize_callback_func
<?php
$serialized_object='O:1:"a":1:{s:5:"value";s:3:"100";}';
ini_set('unserialize_callback_func', 'mycallback');
function mycallback($classname)
{
// Incluez simplement un fichier contenant votre définition de classe
// vous saurez quelle classe grâce à $classname
}
?>
FALSE est retourné dans les cas où une erreur survient et si vous
tentez de délinéariser une valeur linéarisé égale à FALSE. Il est
possible d'intercepter ce cas spécial en comparant
str avec serialize(false)
ou en attrapant l'erreur E_NOTICE émise.