PHP什么是变量序列化_PHP变量序列化概念【概念】

5次阅读

PHP什么是变量序列化_PHP变量序列化概念【概念】

什么是 serialize()?它到底在干啥

它把 php 里的变量(数组、对象字符串、数字甚至 NULL)变成一串带结构标记的字符串,目的是让数据能存进数据库、写入文件、或者通过网络传出去——因为内存里的变量没法直接“搬走”,必须打包。

比如一个对象 $cat = new Animal("mini", 12)serialize($cat) 输出的是:O:6:"Animal":2:{s:4:"name";s:4:"mini";s:3:"age";i:12;}。这串字符里藏着类名、属性个数、每个属性的类型和长度,不是随便拼的。

  • 只序列化属性值,不保存方法(函数)本身
  • 类名、属性可见性(public/protected/private)都会被编码进去
  • 如果属性是私有(private),字段名前会补上 "className",反序列化时必须类定义存在且一致,否则还原失败或属性丢失

unserialize() 不是万能还原器,它很挑环境

反序列化不是“解压”那么简单——它会尝试重建对象,并触发 __wakeup() 魔术方法(如果存在)。但前提是:目标类的代码必须已加载(require 或自动加载),否则返回 false 或抛出致命错误 Class not found

常见错误现象:unserialize() 返回 false 却没报错(默认静默),或者还原后调用方法报 Fatal Error: Call to undefined method

立即学习PHP免费学习笔记(深入)”;

  • 务必确保反序列化前已引入对应类文件,尤其在 CLI 或跨请求场景下容易漏掉自动加载
  • 如果数据来自不可信来源(如用户输入、日志、缓存),绝对不要直接 unserialize() ——这是反序列化漏洞的根源
  • PHP 7.4+ 支持 unserialize($data, ['allowed_classes' => false]) 来禁用对象反序列化,仅允许数组/字符串等基础类型

什么时候该用序列化?别为了“高级感”硬套

序列化不是日常变量操作工具,它是为「持久化」和「跨边界传输」服务的。用错场景反而埋坑。

  • ✅ 合理场景:把配置数组存进数据库字段;将 session 数据写入 redis;临时缓存计算结果(含对象状态)
  • ❌ 错误场景:在 API 接口里把 $_POST 数据先 serialize() 再存库——完全多余,直接存 json 或结构化字段更安全清晰
  • ⚠️ 替代建议:纯数据交换优先用 json_encode()/json_decode(),它不依赖 PHP 类定义、无执行风险、跨语言友好

序列化字符串长这样,看懂它才能 debug

理解格式能快速定位问题。例如:O:4:"info":2:{s:4:"name";s:4:"jack";s:3:"age";i:25;}

  • O 表示 Object4 是类名长度,"info" 是类名,2 是属性数量
  • s:4:"name" 表示字符串类型、长度 4、值为 "name"i:25 表示整型值 25
  • 如果看到 s:0:"" 是空字符串,b:1; 是布尔 true,N;null
  • 手动拼或修改这类字符串极易出错——永远用 serialize() 生成,用 unserialize() 解析,别手写

实际项目里最常被忽略的,是反序列化时类定义缺失和来源不可信这两点。前者导致线上静默失败,后者可能直接让服务器被接管。

text=ZqhQzanResources