Hi,

Ein serialisierter Array speichert generell einmal die Daten in Form eines Strings, der - falls es sich bei dem zu speichernden Wert um einen String handelt - auch von Anführungszeichen begrenzt wird. Daher läge es doch nahe, dass Anführungszeichen in einem Wert Probleme machen könnten.

Daher liegt es wohl ebenso nahe anzunehmen, dass sich die Leute, die serialize/unserialize implementiert haben, darueber auch selbst bereits Gedanken gemacht haben ...

Haben sie auch. Schau's dir doch einfach selber an - nimm ein Array mit ein paar Strings drin, in den Strings moeglicherweise selber wieder Anfuehrungszeichen/Hochkommata, und schau dir an, was serialize daraus macht.

unserialize soll allerdings wohl durchaus unsicher sein koennen [1], wenn die Daten, auf die man es anwendet, nicht aus vertrauenswuerdiger Quelle stammen - also bspw. aus einem Cookie oder GET-/POST-Parametern stammende Daten zu unserialisieren, sollte man sich gut ueberlegen - die koennten so manipuliert sein, dass sie irgendwelche Unzulaenglichkeiten von unserialze ausnutzen. Aber die Daten in einer Session-Datei sind vertrauenswuerdig, da sie in aller Regel auch von deinem Script selber dort hineingeschrieben worden, und das auf dem "normalen" Wege ohne Manipulation geschehen sein duerfte.

[1] Nichts genaues weiss man (ich) da, hab's nur mal gehoert. Bei Interesse ggf. selber nach Quellen/Belegen suchen gehen.

MfG ChrisB