PHP serializeの基本的な使い方と注意点について解説

2025-02-19更新日: 2025-02-19

PHPのserializeは、変数を文字列に変換して保存や転送を行う機能です。

これを利用すると、セッション情報の管理やデータのキャッシュ、一時保存が容易になります。

今回は、serializeの基本的な使い方と注意点についてシンプルに説明します。

目次から探す

PHP serializeの基本情報
- serializeの概要
- unserializeとの連携
基本的な使い方
- serializeを利用したデータ変換
- unserializeによるデータ復元
注意点
- セキュリティ上の留意事項
- エラー処理とデバッグ
実際の利用例
- セッション管理での活用
- ファイル保存での利用
まとめ

PHP serializeの基本情報

serializeの概要

serializeは、PHP変数(配列やオブジェクトなど)を保存や転送に適した文字列に変換する組み込み関数です。

たとえば、構造化されたデータをファイルやデータベースに保存する際に、データの状態をそのまま保持しておくことができます。

以下は、基本的な使用例です。

<?php
// PHP配列をシリアライズするサンプルコード
$data = array("key" => "value", "number" => 123);
$serializedData = serialize($data); // データを文字列に変換
echo $serializedData; // 結果を表示
?>

a:2:{s:3:"key";s:5:"value";s:6:"number";i:123;}

unserializeとの連携

unserializeは、serializeで変換された文字列を元のPHP変数に戻す関数です。

これにより、文字列で保存されたデータがそのまま再利用できるようになります。

連携することで、データの永続化やセッション管理が容易になります。

次の例では、シリアライズされた文字列から元の配列に戻し、内容を確認しています。

<?php
// シリアライズされた文字列を元に戻すサンプルコード
$serializedData = 'a:2:{s:3:"key";s:5:"value";s:6:"number";i:123;}';
$unserializedData = unserialize($serializedData); // データを復元
print_r($unserializedData); // 復元された配列を表示
?>

Array
(
    [key] => value
    [number] => 123
)

基本的な使い方

serializeを利用したデータ変換

基本構文とシンプルなコード例

serializeを使うと、配列やオブジェクトなどの複雑なデータ構造を簡単に文字列化することができます。

以下は、基本的なシリアライズの実例です。

<?php
// PHPデータをシリアライズするサンプルコード
$sampleArray = array("name" => "Alice", "age" => 30);  // データ配列
$serializedData = serialize($sampleArray); // serialize関数を使用してシリアライズ
echo $serializedData; // 結果を表示
?>

a:2:{s:4:"name";s:5:"Alice";s:3:"age";i:30;}

unserializeによるデータ復元

実行例と確認ポイント

シリアライズされているデータは、unserializeを利用して元の状態に復元することができます。

下記のコードでは、シリアライズされた文字列から配列を復元し、正しい構造になっているかを確認しています。

<?php
// serializeで変換されたデータを元に戻すサンプルコード
$serializedData = 'a:2:{s:4:"name";s:5:"Alice";s:3:"age";i:30;}';
$unserializedData = unserialize($serializedData); // unserializeでデータを復元
print_r($unserializedData); // 復元された配列を表示
?>

Array
(
    [name] => Alice
    [age] => 30
)

注意点

セキュリティ上の留意事項

不正なデータ操作のリスク

unserializeを利用する際は、外部から渡されたシリアライズ済みデータに注意する必要があります。

不正なデータを元に戻すと、予期しない動作やセキュリティホールにつながる可能性があります。

信頼できるデータのみを対象にするか、使用前にデータの検証を行うことが重要です。

また、PHPのバージョンによってはシリアライズデータの取り扱いに脆弱性が存在する場合もあるため、最新情報の確認が求められます。

エラー処理とデバッグ

エラー発生時の対処方法

unserializeが不正な文字列を受け取った場合、エラーや警告が発生することがあります。

これを防ぐため、エラー抑制演算子や条件分岐を用いてエラー処理を実装することが有効です。

以下の例では、シリアライズされたデータの復元に失敗した場合の対処方法を示しています。

<?php
// 不正なシリアライズデータでエラー処理を行うサンプルコード
$badSerializedData = 'not-a-serialized-string';
$data = @unserialize($badSerializedData); // エラー抑制演算子を使用
if ($data === false && $badSerializedData !== serialize(false)) {
    echo "シリアライズされたデータの復元に失敗しました。";
} else {
    print_r($data);
}
?>

シリアライズされたデータの復元に失敗しました。

実際の利用例

セッション管理での活用

実践的なコード例

セッション管理において、ユーザ情報などのデータをそのまま保持するために、serializeとunserializeを活用することができます。

以下のコードでは、ユーザ情報の配列をシリアライズしてセッションに保存し、再度復元する方法を示しています。

<?php
session_start();  // セッション開始
// ユーザ情報を配列に格納
$userData = array("username" => "Bob", "role" => "editor");
// セッションに保存するためシリアライズ
$_SESSION['user'] = serialize($userData);
// セッションからデータを取得してunserialize
$retrievedUserData = unserialize($_SESSION['user']);
print_r($retrievedUserData);  // 復元されたデータを表示
?>

Array
(
    [username] => Bob
    [role] => editor
)

ファイル保存での利用

出力結果の確認ポイント

シリアライズを利用すれば、配列やオブジェクトの状態をファイルに保存し、後で容易に復元することが可能です。

以下の例では、設定データをシリアライズしてファイルに書き込み、再び読み込んで復元するプロセスを示しています。

<?php
// 配列データをファイルに保存するサンプルコード
$config = array("site_name" => "MyWebsite", "version" => "1.0.0");
$serializedConfig = serialize($config);
file_put_contents('config.txt', $serializedConfig);  // ファイルに書き込み
// ファイルからデータを読み込み
$readData = file_get_contents('config.txt');
$configData = unserialize($readData);
print_r($configData);  // 復元されたデータを表示
?>

Array
(
    [site_name] => MyWebsite
    [version] => 1.0.0
)

まとめ

この記事では、PHPのserializeとunserializeの基本的な使い方や注意点を、実例を交えて分かりやすく解説しましたでした。

全体として、データを文字列に変換・復元する方法と、それに伴うセキュリティ対策やエラー処理のポイントが整理されています。

ぜひ実際の開発に取り入れて、より堅実なシステム構築に役立ててください。