unserialize

(PHP 4, PHP 5, PHP 7, PHP 8)

unserialize 从已存储的表示中创建 PHP 的值

说明

unserialize(string $data, array $options = []): mixed

unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。

警告

无论 allowed_classesoptions 值如何,都不要将不受信任的用户输入传递给 unserialize()。由于对象实例化和自动加载,反序列化可能会导致加载代码并执行,恶意用户可能会利用这一点。如果需要将序列化数据传递给用户,请使用安全、标准的数据交换格式,例如 JSON(通过 json_decode()json_encode())。

如果需要反序列化外部存储的序列化数据,请考虑使用 hash_hmac() 做数据验证。确保数据不会被任何人修改。

参数

data

序列化后的字符串。

若被反序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会试图自动调用 __unserialize()__wakeup() 方法(如果存在)。

注意: unserialize_callback_func 指令

如果在反序列化时需要实例化未定义类,则可以设置回调函数以供调用(以免得到的是不完整的 object “__PHP_Incomplete_Class”)。可通过 php.iniini_set().htaccess 定义 unserialize_callback_func。每次实例化未定义类时它都会被调用。若要禁止这个特性,只需置空此设定。

options

使用关联数组提供给 unserialize() 的任何选项。

可用选项
名称 类型 说明
allowed_classes mixed 应该接受的类名数组,false 表示不接受任何类,或者 true 表示接受所有类。如果定义此选项且 unserialize() 遇到不接受的类的对象,则该对象将会实例化为 __PHP_Incomplete_Class 省略此选项等同于定义为 true:PHP 将会尝试实例化任何类的对象。
max_depth int 反序列时允许的最大结构深度,主要为了防止栈溢出。默认深度限制为 4096,可以通过将 max_depth 设置为 0 来禁用。

返回值

返回的是转换之后的值,可为 boolintfloatstringarrayobject

如果传递的字符串不可反序列化,则返回 false,并产生 E_WARNING

错误/异常

对象可能会在反序列化处理程序中抛出 Throwable

更新日志

版本 说明
8.3.0 当传递的字符串不可序列化时,现在抛出 E_WARNING; 之前是抛出 E_NOTICE
7.4.0 新增 optionsmax_depth 元素,设置反序列化时允许的最大结构深度。
7.1.0 optionsallowed_classes 元素现在是严格类型,即如果给出 arraybool 以外的任何内容,则 unserialize() 返回 false 并发出 E_WARNING

示例

示例 #1 unserialize() 例子

<?php
// 这里,我们使用 unserialize() 装载来自数据库的 $session_data 数组中的会话数据。
// 此例是描述 serialize() 的那个例子的补充。

$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!
odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
// 如果执行出错或返回错误,则初始化为空数组
$session_data = array();
} else {
// 现在我们需要的是 $tmp[0] 中已序列化的数据。
$session_data = unserialize($tmp[0]);
if (!
is_array($session_data)) {
// 出错,初始化为空数组
$session_data = array();
}
}
?>

示例 #2 unserialize_callback_func 例子

<?php
$serialized_object
='O:1:"a":1:{s:5:"value";s:3:"100";}';

ini_set('unserialize_callback_func', 'mycallback'); // 设置您的回调函数

function mycallback($classname)
{
// 只需包含含有类定义的文件
// $classname 指出需要的是哪一个类
}
?>

注释

警告

如果发生了错误或反序列化了已序列化的 false 值,则会返回 false。可以通过 dataserialize(false) 进行比较,或者捕捉 E_NOTICE 错误来判断这种特殊情况。

参见