序列化是将PHP对象转为字符串以便存储或传输,反序列化则是将其还原为对象。使用serialize()和unserialize()函数可实现该过程,常用于会话、缓存等场景。通过__sleep()和__wakeup()可自定义序列化行为,前者控制需序列化的属性,后者在反序列化后重建资源。主要风险在于不可信数据的反序列化可能导致代码执行,应避免直接反序列化用户输入,推荐使用JSON替代以提升安全性。正确使用自动加载并确保类定义存在也是关键。
PHP对象序列化是将对象转换为可存储或传输的字符串格式的过程,反序列化则是将字符串还原为对象。这个机制在会话存储、缓存和数据传递中非常常见。
什么是序列化与反序列化
序列化(Serialization)是指把一个PHP对象变成字符串,以便可以保存到文件、数据库或通过网络传输。反序列化(Unserialization)则是把这个字符串重新恢复成原始的对象结构。
PHP提供了两个内置函数来实现这一过程:
- serialize():将对象转换为序列化字符串
- unserialize():将序列化字符串还原为对象
基本使用方法
下面是一个简单的例子,展示如何对一个对象进行序列化和反序列化:
立即学习“PHP免费学习笔记(深入)”;
class User {
public $name;
public $email;
public function __construct($name, $email) {
$this->name = $name;
$this->email = $email;
}
public function getInfo() {
return "姓名:{$this->name},邮箱:{$this->email}";
}
}
// 创建对象
$user = new User("张三", "zhangsan@example.com");
// 序列化对象
$serialized = serialize($user);
echo $serialized;
// 输出类似:O:4:"User":2:{s:4:"name";s:6:"张三";s:5:"email";s:19:"zhangsan@example.com";}
// 反序列化
$unserialized = unserialize($serialized);
echo $unserialized->getInfo(); // 输出:姓名:张三,邮箱:zhangsan@example.com
自定义序列化行为
如果类中实现了__sleep()和__wakeup()魔术方法,可以在序列化和反序列化过程中执行自定义逻辑。
- __sleep():在序列化前调用,通常用于清理敏感数据或只保留必要属性
- __wakeup():在反序列化后调用,可用于重建资源或初始化状态
class DatabaseConnection {
public $host;
private $connection;
public function __construct($host) {
$this->host = $host;
$this->connect();
}
private function connect() {
// 模拟建立连接
$this->connection = "connected";
}
public function __sleep() {
// 序列化前关闭连接资源
$this->connection = null;
return ['host']; // 只序列化 host 属性
}
public function __wakeup() {
// 反序列化后重新建立连接
$this->connect();
}
}
注意事项与安全问题
反序列化操作存在安全风险,特别是当输入来源不可信时。攻击者可能构造恶意序列化字符串触发任意代码执行。
- 避免对用户提交的数据直接使用
unserialize() - 考虑使用JSON替代(
json_encode/json_decode)更安全 - 确保反序列化的类已加载(使用自动加载机制)
- 注意魔术方法
__destruct()和__wakeup()可能被利用
基本上就这些。只要理解了serialize()和unserialize()的工作方式,并合理使用__sleep()和__wakeup(),就能安全有效地处理对象的持久化。关键是注意数据来源的安全性,防止反序列化漏洞。不复杂但容易忽略细节。
