Questo è il contesto in cui la stringa viene deserializzata
Codice PHP:
private function read($key){
   $resultset mysql_query("SELECT vars FROM sessions WHERE id='{$this->id}'");
   $result mysql_fetch_array($resultset);
   if(empty($result['vars'])) return false;
   $arrayVars = array();
   $arrayVars unserialize($result['vars']);
   if(!isset($arrayVars["{$key}"]) || empty($arrayVars["{$key}"])) return false;
   return $arrayVars["{$key}"]; 

sul database la stringa viene serializzata in modo corretto