PHP-Serialisierung: Vollständiger Leitfaden zum Serialisieren, Desialisieren und Konvertieren Ihrer Daten

PHP-Serialisierung: Vollständiger Leitfaden zum Serialisieren, Desialisieren und Konvertieren Ihrer Daten

Master-PHP-Serialisierung: Serialisieren, Deserialisieren, JSON↔PHP-Konvertierung. Praxisratgeber mit konkreten Beispielen und Best Practices im Bereich Sicherheit.

13.04.2026
9 Min. gelesen
Teilen Sie diesen Artikel:
PHP
Serialisierung
Unserialisieren
JSON
Entwicklung
Sicherheit
Anleitung

Was ist PHP-Serialisierung?

Die PHP-Serialisierung wandelt Strukturen (Arrays, Objekte, Skalare) in einen binärsicheren Textstring um, den Sie in einer Datenbank speichern, auf die Festplatte schreiben oder zwischen Prozessen verschieben können – dann erstellt unserialize() den Wert neu. Dies ermöglicht native PHP-Sitzungen, viele App-Caches und Metadaten im WordPress-Stil. Um serialisiertes PHP zu konvertieren oder zu überprüfen, ohne Erweiterungen zu installieren, verwenden Sie unser Online-PHP-Serialisierungstool. Dieser Leitfaden behandelt das Wire-Format, seinen Vergleich mit JSON, warum unserialize() bei nicht vertrauenswürdigen Eingaben gefährlich ist, und praktische Hinweise (WordPress, sicherere Alternativen). Informationen zu Payloads im API-Stil finden Sie in unserem vollständigen Leitfaden zur JSON-Minifizierung; Wenn Sie kompaktes JS ausliefern, hilft ein Online-JavaScript-Minifier, und für die Lesbarkeit unterstützt ein JavaScript-Unminifier das Debuggen.

Sitzungen und Caches: kompakte Darstellung, nativ für PHP-Stacks
Debuggen Sie serialisierte Blobs aus WordPress oder älteren Exporten direkt im Browser
Klare JSON- vs. PHP-Anleitung für öffentliche APIs vs. internen PHP-Speicher
Explizite Berichterstattung über Objektinjektionsrisiken und -minderungen
Bidirektionale JSON ↔ PHP-Konvertierung für Frontends und REST-Backends

Wo PHP-Serialisierung tatsächlich wichtig ist

Sitzungen, Caches und Plugins

PHP-Sitzungen behalten häufig den serialisierten serverseitigen Status bei; Frameworks und CMS serialisieren Optionen, Job-Payloads oder Objekt-Snapshots für eine spätere Hydratation. Das Verständnis des Formats hilft Ihnen, beschädigte Zeilen zu reparieren oder sicher zu JSON zu migrieren.

Konzeptionelle Darstellung von PHP-Datenflüssen und Serialisierung

Before optimization

File size:Undurchsichtiger Fleck
Load time:Schwer zu debuggen

After optimization

File size:Strukturierte Ansicht
Load time:Schnelle Inspektion per Tool
Häufige Fälle aus der Praxis

In Produktionsumgebungen wie den folgenden werden Sie regelmäßig auf serialisiertes PHP stoßen:

WordPress-Optionen und Metadaten (Transienten, Postmeta) werden oft serialisiert gespeichert
Die Anwendung speichert Zuordnungsschlüssel zu serialisierten Werten im Cache, um die Neuerstellung schwerer Objekte zu vermeiden
Warteschlangen oder interne Protokolle, die Array-Snapshots einbetten
Interop: Exportieren einer PHP-Struktur in einen String vor der JSON-Konvertierung an der API-Grenze
Format auf einen Blick

Bevor Sie SQL-Such-/Ersetzungsmigrationen ausführen, ordnen Sie verschachtelte Typen und Zeichenfolgenlängensegmente zu, damit s:n:"…"-Deklarationen nicht beschädigt werden.

Diagramm der PHP-Serialisierungstypen und Verschachtelung

WordPress, Migrationen und Hygiene

WordPress: Optionen, Transienten, Meta

Viele Metawerte werden serialisiert gespeichert. Deserialisieren und reserialisieren Sie vor Massen-SQL-Ersetzungen (z. B. Domänenänderungen) ordnungsgemäß – andernfalls unterbrechen Sie die Zeichenfolgenlängenpräfixe in s:n:"...". Verwenden Sie dedizierte Tools oder PHP-Skripte und validieren Sie Kopien mit FastMinify.

Testen Sie das Staging immer mit einem Datenbank-Snapshot
Bevorzugen Sie WordPress-APIs (update_option, Metadaten-Helfer) gegenüber reinen SQL-Hacks
Wenn Sie eine REST-API verfügbar machen, serialisieren Sie die Antworten als JSON – nicht als öffentliche PHP-Serialisierung
Checkliste für Sicherheit und Wartung

Halten Sie sich an die OWASP-Richtlinien: Keine Deserialisierung beliebiger, von Angreifern kontrollierter Blobs, Protokollanomalien, Rotieren von Geheimnissen, wenn Cache-Poisoning möglich wäre.

Signieren oder verschlüsseln Sie vertrauliche Blobs, die außerhalb serverseitiger Sitzungen gespeichert sind
Koppeln Sie Frontend-JSON mit Schemavalidierung. Verwenden Sie /de/minify-json für die Hygiene der Produktionsnutzlast
Dokumentfelder werden immer noch mithilfe von PHP serialisiert, um ihre Außerbetriebnahme zu planen
Trainieren Sie Teams: Das Format allein stellt keine Sicherheitsgrenze dar

serialize(), unserialize() und das Lesen des Formats

Von PHP-Werten zu einem serialisierten String

serialize() gibt eine typisierte Textdarstellung aus; unserialize() stellt den Wert wieder her. Minimal associative array example:

Before

<?php $user = ['id' => 42, 'name' => 'Ada', 'roles' => ['editor', 'reviewer']]; echo serialize($user);

After

a:3:{s:2:"id";i:42;s:4:"name";s:3:"Ada";s:5:"roles";a:2:{i:0;s:6:"editor";i:1;s:8:"reviewer";}}
Typencodes sicher lesen

Jedes Fragment beginnt mit einem Typbuchstaben und Doppelpunkten. Das Lesen des Formats erleichtert das Debuggen, ohne vom Angreifer kontrollierte Nutzlasten auszuführen.

a:N:{...} : Array mit N Einträgen (Schlüssel/Wert-Paare für assoziative Arrays)
i:123 ; d:3,14 ; b:0|1 : integer, float, boolean
s:n:"...": Byte-Länge n String (UTF-8-Byteanzahl beachten)
O:8:"ClassName" : Objekt – hier wird unvorsichtiges unserialize() kritisch
Fügen Sie unbekannte Blobs lieber in einen Online-Viewer ein, anstatt sie in der Produktion auszuwerten

Mit FastMinify serialisieren, deserialisieren und konvertieren

Schneller Workflow im Browser

Fügen Sie serialisiertes PHP oder JSON ein und wählen Sie den Vorgang aus (verschönern, verkleinern, JSON ↔ PHP). Die Verarbeitung erfolgt weiterhin clientseitig – praktisch für WordPress-Exporte oder Legacy-APIs, die PHP-serialisierte Zeichenfolgen zurückgeben.

FastMinify-Schnittstelle für PHP-Serialisierung und -Konvertierungen
1

Fügen Sie die Nutzlast ein

Bringen Sie die Zeichenfolge zur Konvertierung aus der Datenbank (Postmeta, Optionszeile, Cache) oder JSON.

2

Wählen Sie die Aktion

Serialisieren, deserialisieren oder in/von JSON für die jeweilige Aufgabe konvertieren.

3

Validieren Sie die Produktion

Vergleichen Sie die Ausgabe mit den Anwendungserwartungen. niemals unserialize() nicht vertrauenswürdige Eingabe.

Warum hier ein Online-Tool nutzen?

Gemischte PHP- und Frontend-Teams sparen Zeit bei der Inspektion eines Blobs, ohne einen vollständigen Stapel zu booten.

Ideal für Einzelfälle: Es ist kein Composer/npm erforderlich, nur um einen Wert zu lesen
Wird bei der Normalisierung von Nutzlasten mit dem JSON-Minifier unter /de/minify-json gekoppelt
Nützlich im Kundensupport, um Metadatenprobleme visuell zu erklären
Kostenlos und datenschutzorientiert: Ihre eingefügten Daten werden nicht an einen Server gesendet

JSON, PHP-Serialisierung und Sicherheit

JSON vs. PHP-Serialisierung: Wählen Sie die richtige Standardeinstellung

JSON ist universell für HTTP-APIs und Browser; Die PHP-Serialisierung ist eine Idiomatik für umfangreichen internen PHP-Speicher. Bevorzugen Sie JSON an Netzwerkgrenzen; serialize kann für vertrauenswürdigen Nur-PHP-Speicher gültig bleiben.

Basic example

<?php $data = ['ok' => true, 'count' => 3]; $json = json_encode($data, JSON_THROW_ON_ERROR); // {"ok":true,"count":3}

Configuration

<?php $same = ['ok' => true, 'count' => 3]; $php = serialize($same); // a:2:{s:2:"ok";b:1;s:5:"count";i:3;}

Usage

// Interop: json_decode für API-Eingabe; NUR für signierte/kontrollierte Daten deserialisieren.
unserialize() für nicht vertrauenswürdige Daten

Niemals rohe Benutzereingaben unserialize(): Objektinjektion und Gadget-Ketten mit magischen Methoden sind ein echtes Risiko. Bevorzugen Sie JSON + Schemavalidierung, signierte Formate (HMAC) oder strenge Klassenzulassungslisten, wenn Sie deserialisieren müssen.

Basic example

<?php // Gefährlich – tun Sie dies nicht bei HTTP-Eingaben // $obj = unserialize($_POST['payload']);

Usage

<?php $payload = $_POST['json'] ?? '{}'; $safe = json_decode($payload, true, 512, JSON_THROW_ON_ERROR); // Assoziatives Array: keine beliebige Objektinstanziierung
Speicherseitige Alternativen

Für großen binäreffizienten Speicher reduzieren igbinary oder msgpack die Nutzlasten und bleiben gleichzeitig innerhalb der von Ihnen kontrollierten Infrastruktur – ergänzend zu öffentlichen JSON-APIs.

Configuration

// Konzeptionell (erfordert igbinary-Erweiterung) // $packed = igbinary_serialize($data);

Usage

// Rollout: Legacy-Blobs inkrementell auf JSON + Schemavalidierung migrieren

Abschluss

Die PHP-Serialisierung bleibt für den internen Speicher und Ökosysteme wie WordPress von zentraler Bedeutung, erfordert jedoch strenge Disziplin bei unserialize(). Für schnelles Debugging und JSON-Konvertierung beschleunigt ein zuverlässiges Online-Tool die Triage, ohne die Produktion zu beeinträchtigen. Halten Sie JSON an den Netzwerkrändern, serialisieren Sie PHP in Vertrauenszonen und messen Sie die Auswirkungen vor jeder Migration.

Serialisieren, deserialisieren oder konvertieren Sie Ihre PHP-Daten mit wenigen Klicks

Wiederholen Sie Konvertierungen für kopierte Daten vor der Einführung
Decken Sie kritische Pfade mit Tests ab, die das Verhalten von json_encode/json_decode bestätigen
Verknüpfen Sie den JSON-Leitfaden und die zugehörigen Minimierungstools aus anderen Artikeln
Beachten Sie Sicherheitshinweise für Objekt-Gadget-Ketten in Abhängigkeiten
Teilen Sie diesen Artikel
Teilen Sie diesen Artikel: