(PECL igbinary >= 1.1.1)
igbinary_unserialize — 从 igbinary_serialize() 创建一个 PHP 值,用于存储表示形式
igbinary_unserialize() 从 igbinary_serialize() 获取单个序列化变量,并将其转换回 PHP 值。
不可信任的用户输入不能传递给 igbinary_unserialize()。由于对象实例化和自动加载,反序列化可能会导致代码被加载和执行,恶意用户可能会利用此漏洞。相反,应该使用安全的标准数据交换格式,例如 JSON(通过 json_decode() 和 json_encode()),如果需要将序列化数据传递给客户端。
如果需要反序列化外部存储的序列化数据,可以使用 hash_hmac() 进行数据验证。确保没有人篡改数据非常重要。
igbinary 序列化格式无法区分相同值的不同引用组。当反序列化时,对给定值的任何 PHP 引用都被视为同一引用组的一部分,即使它们在序列化时是不同引用组的一部分。
str由 igbinary_serialize() 生成的序列化字符串。
如果要反序列化的值是 object,igbinary 在成功重建对象后将自动尝试调用 __unserialize() 或 __wakeup() 方法(如果存在)。
注意: unserialize_callback_func 指令
可以设置一个回调函数,如果在反序列化期间应该实例化一个未定义的类,则会调用该函数。(以防止获得不完整的 object __PHP_Incomplete_Class。)可以使用 php.ini、ini_set() 或 .htaccess 来定义 unserialize_callback_func。每次应该实例化一个未定义的类时,都会调用它。要禁用此功能,应清空此设置。
对象可能会在它们的反序列化处理程序中抛出 Throwable。