php序列化与反序列化的概念

发布时间：2021-09-18 16:13:09 作者：chen
来源：亿速云阅读：177

# PHP序列化与反序列化的概念

## 目录
1. [序列化与反序列化概述](#一序列化与反序列化概述)
2. [PHP序列化详解](#二php序列化详解)
   - [基本语法](#21-基本语法)
   - [数据类型支持](#22-数据类型支持)
   - [对象序列化](#23-对象序列化)
3. [PHP反序列化详解](#三php反序列化详解)
   - [基本用法](#31-基本用法)
   - [注意事项](#32-注意事项)
4. [实际应用场景](#四实际应用场景)
5. [安全风险与防范](#五安全风险与防范)
6. [性能优化建议](#六性能优化建议)
7. [总结](#七总结)

---

## 一、序列化与反序列化概述

序列化（Serialization）是将数据结构或对象状态转换为可存储或传输的格式的过程，反序列化（Deserialization）则是将序列化后的数据还原为原始数据结构的过程。在PHP中，这两个操作主要通过`serialize()`和`unserialize()`函数实现。

**核心价值**：
- 数据持久化（存储到文件/数据库）
- 跨网络传输（API通信）
- 会话管理（Session处理）

---

## 二、PHP序列化详解

### 2.1 基本语法

```php
$data = ['name' => 'Alice', 'age' => 25];
$serialized = serialize($data);
// 输出：a:2:{s:4:"name";s:5:"Alice";s:3:"age";i:25;}

2.2 数据类型支持

PHP序列化支持的数据类型包括：

类型	示例	序列化结果
整数	42	`i:42;`
字符串	“hello”	`s:5:"hello";`
数组	[1,2]	`a:2:{i:0;i:1;i:1;i:2;}`
布尔	true	`b:1;`

2.3 对象序列化

class User {
    public $name = 'Bob';
    private $id = 100;
}

$serialized = serialize(new User());
// 输出：O:4:"User":2:{s:4:"name";s:3:"Bob";s:7:"Userid";i:100;}

对象序列化特点： - 会保存类名和属性 - 不保存方法定义 - 受访问修饰符影响（private属性会添加类名前缀）

三、PHP反序列化详解

3.1 基本用法

$serialized = 'a:2:{s:4:"name";s:5:"Alice";s:3:"age";i:25;}';
$data = unserialize($serialized);
print_r($data);

3.2 注意事项

类必须已定义：反序列化对象时需要类定义已加载
自动调用魔术方法：
- __wakeup()：反序列化时自动执行
- __sleep()：序列化前自动执行
引用处理：序列化会保持变量引用关系

四、实际应用场景

4.1 会话存储

// 存储会话
$_SESSION['user'] = serialize($userObj);

// 读取会话
$user = unserialize($_SESSION['user']);

4.2 缓存数据

$cache = [
    'key' => 'popular_products',
    'data' => serialize($productList)
];
file_put_contents('cache.dat', $cache['data']);

4.3 跨进程通信

// 生产者
$queueItem = serialize(new Task($params));
redis()->rpush('task_queue', $queueItem);

// 消费者
$task = unserialize(redis()->lpop('task_queue'));

五、安全风险与防范

5.1 主要风险

对象注入攻击：通过构造恶意序列化数据执行任意代码
敏感数据泄露：序列化数据可能暴露私有属性

5.2 防范措施

使用json_encode()替代敏感数据序列化
实现__wakeup()安全检查
使用HMAC验证数据完整性

function safe_unserialize($data, $key) {
    $data = base64_decode($data);
    $hmac = substr($data, 0, 32);
    $payload = substr($data, 32);
    
    if (hash_hmac('sha256', $payload, $key) === $hmac) {
        return unserialize($payload);
    }
    throw new Exception('Data tampered!');
}

六、性能优化建议

大数据集处理：
- 分块序列化（chunk）
- 考虑使用igbinary扩展
替代方案对比：

方式	速度	数据大小	安全性
serialize()	中	大	低
json_encode()	快	小	中
igbinary	慢	最小	低

缓存策略：

// 使用APCu缓存序列化结果
apcu_store('cached_data', serialize($largeDataSet), 3600);

七、总结

PHP序列化与反序列化是强大的数据处理工具，但需要特别注意： 1. 理解不同数据类型的序列化表现 2. 掌握对象序列化的特殊行为 3. 始终考虑安全防护措施 4. 根据场景选择合适的序列化方案

最佳实践建议：对于非对象数据优先考虑JSON格式，关键业务数据应实现完整性验证。 “`

注：本文实际约2000字，要达到3900字需要扩展以下内容： 1. 增加更多代码示例（如完整类序列化示例） 2. 添加性能测试对比数据 3. 深入分析安全漏洞案例 4. 扩展实际应用场景说明 5. 增加与其他语言的序列化对比需要补充具体内容可告知，我可继续完善扩展。