直擊PHP序列化與反序列化原理-php教程-PHP中文網

首頁

後端開發

php教程

直擊PHP序列化與反序列化原理

coldplay.xixi

Jul 20, 2020 pm 05:23 PM

php反序列化序列化

0.前言

物件的序列化和反序列化作用就不再贅述,php中序列化的結果是一個php自訂的字串格式,有點類似json.

我們在任何語言中設計物件的序列化和反序列化都需要解決幾個問題

#把某個物件序列化之後,序列化的結果有自描述的功能(從序列化的結果中知道這個物件的具體類型,

##知道類型還不夠,當然還需要知道這個類型所對應具體的值).

序列化時的權限控制,可以自訂序列化欄位等,例如golang中的做的就非常方便.

時間性能問題:在某些性能敏感的場景下,對象序列化就不能拖後腿,例如:高性能服務(我經常使用protobuf來序列化).

空間性能問題:序列化之後的結果不能太長,比如記憶體中一個int物件,序列化之後資料長度變成了10倍int的長度,那這個序列化演算法是有問題的.

本文僅僅從php程式碼角度來解釋php中序列化和反序列化的過程.,記住一點序列化和反序列化操作的僅僅是對象的數據,這一點有面向對象開發經驗的都應該容易理解.

相關學習推薦：
PHP程式設計從入門到精通

#1.序列化serialize與反序列化方法unserialize
##1.序列化serialize與反序列化方法unserialize

#php原生提供了物件序列化功能,不像c …^_^. 用起來也非常簡單,就兩個介面.

class fobnn
{
 public $hack_id;
 private $hack_name;
 public function __construct($name,$id)
 {
  $this->hack_name = $name;
  $this->hack_id = $id;
 }
 public function print()
 {
  echo $this->hack_name.PHP_EOL;
 }
}
$obj = new fobnn(&#39;fobnn&#39;,1);
$obj->print();
$serializedstr = serialize($obj); //通过serialize接口序列化
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);//通过unserialize反序列化
$toobj->print();

fobnn
O:5:"fobnn":2:{s:7:"hack_id";i:1;s:16:"fobnnhack_name";s:5:"fobnn";}
fobnn

看到第二行的輸出,這個字串就是序列化的結果,這個結構其實很容讀懂,可以發現是透過物件名稱/成員名稱來映射的,當然不同存取權限的成員序列化之後的標籤名稱略有不同.

根據我上面講到的3個問題,那麼我們可以來看看

1.自描述功能

O:5:"fobnn":2 其中o就表示了object類型,且型別名稱為fobnn, 採用這種格式,後面的2表示了有2個成員對象.

關於成員對象,其實也是同一套子描述,這是一個遞歸的定義.

自描述的功能主要是透過字串記錄物件和成員的名稱來實現.

2.效能問題

php序列化的時間效能本文就不分析了,詳見後面,但序列化結果其實類似json/bson定義的協議,有協議頭,協議頭說明了類型,協議體則說明了類型所對應的值,並不會對序列化結果進行壓縮.
2.反序列化中的魔術方法

對應上述說的第二個問題,其實php中也有解決方法,一種是透過魔術方法,第二種則是自訂序列化函數.先來介紹下魔術方法__sleep和__wakeup<pre class='brush:php;toolbar:false;'>class fobnn { public $hack_id; private $hack_name; public function __construct($name,$id) { $this->hack_name = $name; $this->hack_id = $id; } public function print() { echo $this->hack_name.PHP_EOL; } public function __sleep() { return array("hack_name"); } public function __wakeup() { $this->hack_name = &#39;haha&#39;; } } $obj = new fobnn(&#39;fobnn&#39;,1); $obj->print(); $serializedstr = serialize($obj); echo $serializedstr.PHP_EOL;; $toobj = unserialize($serializedstr); $toobj->print();</pre><pre class='brush:php;toolbar:false;'>fobnn O:5:"fobnn":1:{s:16:"fobnnhack_name";s:5:"fobnn";} haha</pre>在序列化之前會先調用__sleep返回的是一個需要序列化的成員名稱數組,透過這樣我們就可以控制需要序列化的資料,案例中我只回傳了

hack_name

,可以看到結果中只序列化了hack_name成員.在序列化完成之後,會跳用

__wakeup

在這裡我們可以做一些後續工作,例如重連資料庫之類的.

3.自訂Serializable介面

interface Serializable {
abstract public string serialize ( void )
abstract public void unserialize ( string $serialized )
}

透過這個介面我們可以自訂序列化和反序列化的行為,這個功能主要可以用來自訂我們的序列化格式.

class fobnn implements Serializable
{
 public $hack_id;
 private $hack_name;
 public function __construct($name,$id)
 {
  $this->hack_name = $name;
  $this->hack_id = $id;
 }
 public function print()
 {
  echo $this->hack_name.PHP_EOL;
 }

 public function __sleep()
 {
  return array(&#39;hack_name&#39;);
 }

 public function __wakeup()
 {
  $this->hack_name = &#39;haha&#39;;
 }

 public function serialize()
 {
  return json_encode(array(&#39;id&#39; => $this->hack_id ,&#39;name&#39;=>$this->hack_name ));
 }

 public function unserialize($var)
 {
  $array = json_decode($var,true);
  $this->hack_name = $array[&#39;name&#39;];
  $this->hack_id = $array[&#39;id&#39;];
 }
}
$obj = new fobnn(&#39;fobnn&#39;,1);
$obj->print();
$serializedstr = serialize($obj);
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);
$toobj->print();

fobnn
C:5:"fobnn":23:{{"id":1,"name":"fobnn"}}
fobnn

當使用了自訂序列化介面之後,我們的魔術方法就沒用了.
4.PHP動態型別和PHP反序列化

既然上文中提到的自描述功能,那麼序列化結果中保存了物件的類型,且php是動態類型語言,那麼我們就可以來做個簡單的實驗.<pre class='brush:php;toolbar:false;'>class fobnn { public $hack_id; public $hack_name; public function __construct($name,$id) { $this->hack_name = $name; $this->hack_id = $id; } public function print() { var_dump($this->hack_name); } } $obj = new fobnn(&#39;fobnn&#39;,1); $obj->print(); $serializedstr = serialize($obj); echo $serializedstr.PHP_EOL;; $toobj = unserialize($serializedstr); $toobj->print(); $toobj2 = unserialize("O:5:\"fobnn\":2:{s:7:\"hack_id\";i:1;s:9:\"hack_name\";i:12345;}"); $toobj2->print();</pre>我們修改hack_name反序列化的結果為int型別,

i:12345

string(5) "fobnn"
O:5:"fobnn":2:{s:7:"hack_id";i:1;s:9:"hack_name";s:5:"fobnn";}
string(5) "fobnn"
int(12345)

###可以發現,物件成功序列化回來了!並且可以正常工作!. 當然php的這個機制提供了靈活多變的語法,但也引入了安全風險. 後續繼續分析php序列化和反序列化特性帶來的安全問題.###

以上是直擊PHP序列化與反序列化原理的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：jb51。如有侵權，請聯絡admin@php.cn刪除

PHP行動：現實世界中的示例和應用程序Apr 14, 2025 am 12:19 AM

PHP在電子商務、內容管理系統和API開發中廣泛應用。 1)電子商務：用於購物車功能和支付處理。 2)內容管理系統：用於動態內容生成和用戶管理。 3)API開發：用於RESTfulAPI開發和API安全性。通過性能優化和最佳實踐，PHP應用的效率和可維護性得以提升。

PHP：輕鬆創建交互式Web內容Apr 14, 2025 am 12:15 AM

PHP可以輕鬆創建互動網頁內容。 1)通過嵌入HTML動態生成內容，根據用戶輸入或數據庫數據實時展示。 2)處理表單提交並生成動態輸出，確保使用htmlspecialchars防XSS。 3)結合MySQL創建用戶註冊系統，使用password_hash和預處理語句增強安全性。掌握這些技巧將提升Web開發效率。

PHP和Python：比較兩種流行的編程語言Apr 14, 2025 am 12:13 AM

PHP和Python各有優勢，選擇依據項目需求。 1.PHP適合web開發，尤其快速開發和維護網站。 2.Python適用於數據科學、機器學習和人工智能，語法簡潔，適合初學者。

PHP的持久相關性：它還活著嗎？Apr 14, 2025 am 12:12 AM

PHP仍然具有活力，其在現代編程領域中依然佔據重要地位。 1)PHP的簡單易學和強大社區支持使其在Web開發中廣泛應用；2)其靈活性和穩定性使其在處理Web表單、數據庫操作和文件處理等方面表現出色；3)PHP不斷進化和優化，適用於初學者和經驗豐富的開發者。

PHP的當前狀態：查看網絡開發趨勢Apr 13, 2025 am 12:20 AM

PHP在現代Web開發中仍然重要，尤其在內容管理和電子商務平台。 1)PHP擁有豐富的生態系統和強大框架支持，如Laravel和Symfony。 2)性能優化可通過OPcache和Nginx實現。 3)PHP8.0引入JIT編譯器，提升性能。 4)雲原生應用通過Docker和Kubernetes部署，提高靈活性和可擴展性。

PHP與其他語言：比較Apr 13, 2025 am 12:19 AM

PHP適合web開發，特別是在快速開發和處理動態內容方面表現出色，但不擅長數據科學和企業級應用。與Python相比，PHP在web開發中更具優勢，但在數據科學領域不如Python；與Java相比，PHP在企業級應用中表現較差，但在web開發中更靈活；與JavaScript相比，PHP在後端開發中更簡潔，但在前端開發中不如JavaScript。

PHP與Python：核心功能Apr 13, 2025 am 12:16 AM

PHP和Python各有優勢，適合不同場景。 1.PHP適用於web開發，提供內置web服務器和豐富函數庫。 2.Python適合數據科學和機器學習，語法簡潔且有強大標準庫。選擇時應根據項目需求決定。

PHP：網絡開發的關鍵語言Apr 13, 2025 am 12:08 AM

PHP是一種廣泛應用於服務器端的腳本語言，特別適合web開發。 1.PHP可以嵌入HTML，處理HTTP請求和響應，支持多種數據庫。 2.PHP用於生成動態網頁內容，處理表單數據，訪問數據庫等，具有強大的社區支持和開源資源。 3.PHP是解釋型語言，執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時，可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7

See all articles