PHP: unserialize 教程手册使用说明 PHP手册中文版

说明

unserialize(string $data, array $options = []): mixed

unserialize() 对单一的已序列化的变量进行操作，将其转换回 PHP 的值。

警告

无论 allowed_classes 的 options 值如何，都不要将不受信任的用户输入传递给 unserialize()。由于对象实例化和自动加载，反序列化可能会导致加载代码并执行，恶意用户可能会利用这一点。如果需要将序列化数据传递给用户，请使用安全、标准的数据交换格式，例如 JSON（通过 json_decode() 和 json_encode()）。

如果需要反序列化外部存储的序列化数据，请考虑使用 hash_hmac() 做数据验证。确保数据不会被任何人修改。

参数

data

序列化后的字符串。

若被反序列化的变量是一个对象，在成功地重新构造对象之后，PHP 会试图自动调用 __unserialize() 或 __wakeup() 方法（如果存在）。

注意: unserialize_callback_func 指令

如果在反序列化时需要实例化未定义类，则可以设置回调函数以供调用（以免得到的是不完整的 object “__PHP_Incomplete_Class”）。可通过 php.ini、ini_set() 或 .htaccess 定义 unserialize_callback_func。每次实例化未定义类时它都会被调用。若要禁止这个特性，只需置空此设定。

options

使用关联数组提供给 unserialize() 的任何选项。

**可用选项**
名称	类型	说明
`allowed_classes`	mixed	应该接受的类名数组，`false` 表示不接受任何类，或者 `true` 表示接受所有类。如果定义此选项且 unserialize() 遇到不接受的类的对象，则该对象将会实例化为 __PHP_Incomplete_Class。省略此选项等同于定义为 `true`：PHP 将会尝试实例化任何类的对象。
`max_depth`	int	反序列时允许的最大结构深度，主要为了防止栈溢出。默认深度限制为 `4096`，可以通过将 `max_depth` 设置为 `0` 来禁用。

返回值

返回的是转换之后的值，可为 bool、int、float、string、array 或 object。

如果传递的字符串不可反序列化，则返回 false，并产生 E_NOTICE。

错误／异常

对象可能会在反序列化处理程序中抛出 Throwable。

更新日志

版本	说明
7.4.0	新增 `options` 的 `max_depth` 元素，设置反序列化时允许的最大结构深度。
7.1.0	`options` 的 `allowed_classes` 元素现在是严格类型，即如果给出 array 或 bool 以外的任何内容，则 unserialize() 返回 `false` 并发出 `E_WARNING`。

范例

示例 #1 unserialize() 例子


<?php
// 这里，我们使用 unserialize() 装载来自数据库的 $session_data 数组中的会话数据。
// 此例是描述 serialize() 的那个例子的补充。

$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
    // 如果执行出错或返回错误，则初始化为空数组
    $session_data = array();
} else {
    // 现在我们需要的是 $tmp[0] 中已序列化的数据。
    $session_data = unserialize($tmp[0]);
    if (!is_array($session_data)) {
        // 出错，初始化为空数组
        $session_data = array();
    }
}
?>

示例 #2 unserialize_callback_func 例子


<?php
$serialized_object='O:1:"a":1:{s:5:"value";s:3:"100";}';

ini_set('unserialize_callback_func', 'mycallback'); // 设置您的回调函数

function mycallback($classname) 
{
   // 只需包含含有类定义的文件
   // $classname 指出需要的是哪一个类
}
?>

注释

警告

如果发生了错误或反序列化了已序列化的 false 值，则会返回 false。可以通过 data 和 serialize(false) 进行比较，或者捕捉 E_NOTICE 错误来判断这种特殊情况。

参见

json_encode() - 对变量进行 JSON 编码
json_decode() - 对 JSON 格式的字符串进行解码
hash_hmac() - 使用 HMAC 方法生成带有密钥的散列值
serialize() - 生成值的可存储表示
自动加载类
unserialize_callback_func
unserialize_max_depth
__wakeup()
__serialize()
__unserialize()

unserialize

说明

参数

返回值

错误／异常

更新日志

范例

注释

参见

Hello！需要输入验证码