Hi,

da faellt mir gerade noch ein huebsches Beispiel ein.

Du kennst doch sicher diese "Springteufel", die in einer kleinen Box stecken, und per Feder rausspringen, wenn man die Box oeffnet ...?

Nehmen wir an,
a) die Box waere unsere Session-Datei,
b) das Rausspringen eines Springteufels aus dieser waere gefaehrlich, weil es dich zu Tode erschreckt,
c) Serialisierung waere der Vorgang des Plattklopfens eines Springteufels mit dem Hammer, bevor er in die Box gesteckt wird, und
d) De-Serialisierung waere das Oeffnen der Box, um zu schauen, was schoenes drin ist.

Wenn sich jetzt jemand, dem du vertrauen kannst (PHP), um die Serialisierung - Platthaemmern des Teufelchens - gekuemmert hat, kannst du die Box auch immer gefahrlos oeffnen; dich wird nichts anspringen, du findest schlimmstensfalls die zertruemmerten, und deswegen harmlosen, Einzelteile eines Teufelchens vor.

Wenn dir jetzt aber jemand *anderes* eine Box in die Hand drueckt - sagen wir, er nenne sich Cookiex, GErT oder POSTmann - dann solltest du die nicht bedenkenlos oeffnen (de-serialisieren); denn dieser jemand koennte lediglich *behaupten*, er habe serialisiert/alles gefaehrliche plattgehaemmert, dies in Wirklichkeit aber gar nicht getan haben - so dass dich beim Oeffnen der Box doch ein Teufelchen anspringt, du tot umfaellst ... und wir die Scherereien mit der Leiche haben.

MfG ChrisB