PHP serialize完全指南：从基础使用到安全避坑的序列化与反序列化详解

PHP serialize进行序列化工作的完全指南

在PHP开发中，我们经常需要将复杂的数据结构（如数组或对象）保存到数据库、文件或缓存系统中，或者在网络中进行传输。由于这些存储和传输媒介通常只支持字符串格式，我们需要一种机制将复杂数据转换为可存储的字符串，这个过程称为“序列化”。PHP提供了原生的serialize()函数来完成这项工作，而对应的反序列化函数则是unserialize()。

一、序列化基础：serialize() 与 unserialize()

serialize()函数可以处理任何除了资源（resource）之外的PHP类型，包括字符串、整数、浮点数、数组甚至对象。它会将数据的值和类型信息一并保存，以便在反序列化时能够精确还原数据的原始结构。

 'PHP Guide',
    'version' => 8.2,
    'features' => ['JIT', 'Fibers']
];

$serialized = serialize($data);
echo $serialized;
// 输出类似: a:3:{s:4:"name";s:8:"PHP Guide";s:7:"version";d:8.2;s:8:"features";a:2:{i:0;s:3:"JIT";i:1;s:6:"Fibers";}}

// 反序列化还原数据
$unserialized = unserialize($serialized);
print_r($unserialized);
?>

从输出结果可以看出，序列化后的字符串包含了类型标识符：a代表数组，s代表字符串，i代表整数，d代表浮点数。这种自描述格式确保了数据还原的准确性。

二、对象序列化与魔术方法

当序列化对象时，PHP不仅会保存对象的属性值，还会保存其所属类的名称。反序列化时，PHP会尝试查找该类并重新创建实例。如果类中定义了__sleep()和__wakeup()魔术方法，序列化和反序列化的过程将会被拦截，从而允许开发者执行额外的逻辑。

1. __sleep()

当调用serialize()序列化对象时，会优先检查是否定义了__sleep()方法。该方法必须返回一个包含需要序列化的属性名的数组。这常用于清理资源（如数据库连接、文件句柄）或只保存部分关键数据。

2. __wakeup()

当调用unserialize()反序列化对象时，会检查是否定义了__wakeup()方法。它常用于重新建立数据库连接、初始化资源或执行状态的校验。

username = $username;
        $this->token = $token;
        $this->dbConnection = 'Connected to www.ipipp.com';
    }

    public function __sleep() {
        // 只序列化 username 和 token，忽略数据库连接资源
        return ['username', 'token'];
    }

    public function __wakeup() {
        // 反序列化时重新建立连接
        $this->dbConnection = 'Reconnected to www.ipipp.com';
    }
}

$user = new User('admin', 'secret_key');
$serializedUser = serialize($user);
$restoredUser = unserialize($serializedUser);
?>

三、安全风险与防范

PHP的反序列化机制一直是一个潜在的安全风险点。如果将不可信的用户输入直接传递给unserialize()，攻击者可能通过精心构造的序列化字符串触发“PHP对象注入”，从而执行恶意代码。这类漏洞在历史上曾多次导致严重的安全事件。

防范建议：

• 尽量避免反序列化不可信的数据。如果仅需传递简单的数据结构，优先使用json_encode()和json_decode()。

• 如果必须使用unserialize()，在PHP 7.0及以上版本中，可以利用allowed_classes选项来严格限制允许被实例化的类，防止任意对象注入。

 false]);

// 仅允许特定的类进行反序列化
$strictData = unserialize($input, ['allowed_classes' => ['User', 'Order']]);
?>

四、序列化与JSON的对比

开发者在选择数据交换格式时，常在serialize()和json_encode()之间纠结。它们各有优劣：

• 序列化：支持所有PHP数据类型（包括对象、私有属性等），是PHP专属格式。无法跨语言使用，且存在安全隐患。体积通常略大。

• JSON (json_encode/json_decode)：通用标准格式，支持跨语言交互。只支持基本数据类型（字符串、数字、布尔值、数组/对象）。安全性更高，因为不会自动实例化对象。在前后端交互或API接口设计中，应首选JSON。

五、总结

PHP的serialize()是处理复杂数据持久化和缓存的强大工具。理解其工作原理、熟练运用__sleep()与__wakeup()进行对象生命周期管理，并时刻警惕反序列化带来的安全隐患，是每位PHP开发者的必备技能。在实际开发中，遵循“最小权限原则”，优先使用JSON，并在必须使用序列化时严格限制allowed_classes，将使你的应用更加健壮与安全。

serializeunserializesleepwakeup反序列化漏洞