什么是 serialize()?它到底在干啥
它把 php 里的变量(数组、对象、字符串、数字甚至 NULL)变成一串带结构标记的字符串,目的是让数据能存进数据库、写入文件、或者通过网络传出去——因为内存里的变量没法直接“搬走”,必须打包。
比如一个对象 $cat = new Animal("mini", 12),serialize($cat) 输出的是:O:6:"Animal":2:{s:4:"name";s:4:"mini";s:3:"age";i:12;}。这串字符里藏着类名、属性个数、每个属性的类型和长度,不是随便拼的。
- 只序列化属性值,不保存方法(函数)本身
- 类名、属性可见性(
public/protected/private)都会被编码进去 - 如果属性是私有(
private),字段名前会补上"�className�",反序列化时必须类定义存在且一致,否则还原失败或属性丢失
unserialize() 不是万能还原器,它很挑环境
反序列化不是“解压”那么简单——它会尝试重建对象,并触发 __wakeup() 魔术方法(如果存在)。但前提是:目标类的代码必须已加载(require 或自动加载),否则返回 false 或抛出致命错误 Class not found。
常见错误现象:unserialize() 返回 false 却没报错(默认静默),或者还原后调用方法报 Fatal Error: Call to undefined method。
立即学习“PHP免费学习笔记(深入)”;
- 务必确保反序列化前已引入对应类文件,尤其在 CLI 或跨请求场景下容易漏掉自动加载
- 如果数据来自不可信来源(如用户输入、日志、缓存),绝对不要直接
unserialize()——这是反序列化漏洞的根源 - PHP 7.4+ 支持
unserialize($data, ['allowed_classes' => false])来禁用对象反序列化,仅允许数组/字符串等基础类型
什么时候该用序列化?别为了“高级感”硬套
序列化不是日常变量操作工具,它是为「持久化」和「跨边界传输」服务的。用错场景反而埋坑。
- ✅ 合理场景:把配置数组存进数据库字段;将 session 数据写入 redis;临时缓存计算结果(含对象状态)
- ❌ 错误场景:在 API 接口里把
$_POST数据先serialize()再存库——完全多余,直接存 json 或结构化字段更安全清晰 - ⚠️ 替代建议:纯数据交换优先用
json_encode()/json_decode(),它不依赖 PHP 类定义、无执行风险、跨语言友好
序列化字符串长这样,看懂它才能 debug
理解格式能快速定位问题。例如:O:4:"info":2:{s:4:"name";s:4:"jack";s:3:"age";i:25;}
-
O表示 Object,4是类名长度,"info"是类名,2是属性数量 -
s:4:"name"表示字符串类型、长度 4、值为"name";i:25表示整型值 25 - 如果看到
s:0:""是空字符串,b:1;是布尔 true,N;是null - 手动拼或修改这类字符串极易出错——永远用
serialize()生成,用unserialize()解析,别手写
实际项目里最常被忽略的,是反序列化时类定义缺失和来源不可信这两点。前者导致线上静默失败,后者可能直接让服务器被接管。