推荐使用 serialize() 或 json_encode() 将 php 数组转为字符串存储:前者保留完整类型和引用,后者跨语言兼容且可读性强;均需配合 pdo 预处理安全写入,并根据数据规模选择 TEXT 等合适字段类型,同时注意反序列化与 json 解码的安全防护。
如果您需要将 PHP 数组保存到数据库中,但数据库字段不支持原生数组类型,则必须将数组转换为可存储的字符串格式。以下是两种常用且兼容性良好的存储方法:
一、使用 serialize() 序列化存储
PHP 的 serialize() 函数可将数组(包括嵌套数组、对象、布尔值、NULL 等)转换为可存储的字符串格式,读取时通过 unserialize() 还原为原始结构,适用于需完整保留 PHP 类型和引用关系的场景。
1、在 PHP 脚本中定义待存储的数组,例如:$data = [‘name’ => ‘张三’, ‘scores’ => [85, 92, 78], ‘active’ => true];
2、调用 serialize($data) 得到字符串,如:‘a:3:{s:4:”name”;s:6:”张三”;s:6:”scores”;a:3:{i:0;i:85;i:1;i:92;i:2;i:78;}s:6:”active”;b:1;}’
立即学习“PHP免费学习笔记(深入)”;
3、将该字符串插入数据库 VARCHAR 或 TEXT 字段,确保字段长度足够容纳序列化结果(建议 TEXT 类型)。
4、从数据库读取后,使用 unserialize($stored_string) 恢复为原始数组。
二、使用 json_encode() JSON 格式存储
json_encode() 将 PHP 数组转换为标准 JSON 字符串,具有跨语言兼容性高、可读性强、数据库索引友好等优势,但会丢失 PHP 特有类型(如资源、资源句柄、部分对象),且关联键名仅支持字符串或数字。
1、定义数组,例如:$data = [‘user_id’ => 1001, ‘tags’ => [‘php‘, ‘mysql‘, ‘html‘], ‘created_at’ => date(‘c’)];
2、执行 json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES) 生成 UTF-8 安全的 JSON 字符串。
3、将结果存入数据库 TEXT 字段;若需后续在 sql 中部分查询(如 mysql 5.7+),可配合 JSON 类型字段使用。
4、读取后调用 json_decode($json_string, true) 转回关联数组(第二个参数设为 true)。
三、使用 PDO 预处理语句安全写入
无论采用序列化还是 JSON 方式,都应避免直接拼接 SQL 字符串,防止注入风险。PDO 预处理可确保数据被正确转义并绑定为字符串参数。
1、建立 PDO 连接并设置错误模式为异常:$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
2、准备插入语句,如:$stmt = $pdo->prepare(“INSERT INTO config_table (key_name, value_data) VALUES (?, ?)”);
3、对数组执行序列化或 JSON 编码后,绑定为字符串参数:$stmt->bindValue(2, $encoded_string, PDO::PARAM_STR);
4、执行插入:$stmt->execute();
四、选择字段类型的注意事项
MySQL 中应根据数据规模选择合适字段类型:短数组可用 VARCHAR(1024),中长数组推荐 TEXT,超大结构(如含大量日志或嵌套)建议用 MEDIUMTEXT。若使用 JSON 类型字段,须确认 MySQL 版本 ≥ 5.7.8 且已启用 JSON 支持。
1、建表时声明 JSON 字段:value_data JSON
2、插入前验证 JSON 合法性:if (json_last_error() !== JSON_ERROR_NONE) { /* 报错处理 */ }
3、避免在 JSON 字段上使用 LIKE 查询,应改用 MySQL 内置 JSON 函数如 JSON_CONTAINS() 或 JSON_EXTRACT()。
五、反序列化与 JSON 解码的安全防护
从数据库读取并还原数据时,必须防范恶意构造的序列化字符串或非法 JSON,尤其当数据来源不可信或含用户输入时。
1、对 unserialize() 使用白名单类机制,传入第二个参数 [‘allowed_classes’ => [‘MyDataClass’]](PHP 7.0+)。
2、对 json_decode() 检查返回值是否为 null 并验证错误:if (json_last_error() !== JSON_ERROR_NONE) { throw new Exception(‘Invalid JSON’); }
3、禁止将未过滤的数据库字段内容直接传入 unserialize(),除非该字段由可信代码写入且无外部修改通道。