PHP序列化与反序列化全面解析

本文深入解析了PHP中五种核心数据序列化与反序列化方法——从原生的serialize/unserialize、跨语言通用的json_encode/decode，到高性能二进制方案igbinary和msgpack，再到可精细控制对象行为的Serializable接口实现，全面覆盖兼容性、性能、安全性及使用场景差异，并强调了反序列化过程中的潜在风险（如魔术方法触发）与关键注意事项（如扩展依赖、编码规范、类型限制），为开发者在数据持久化、API交互、缓存设计及安全编码中提供实用、可靠的技术选型指南。

PHP中实现数据序列化是将变量转换为可存储或传输的字符串格式的过程，反序列化则是将该字符串还原为原始变量结构。以下是几种常用且互不兼容的序列化方法及其具体操作步骤：

一、使用serialize()和unserialize()函数

这是PHP原生提供的最基础的序列化机制，支持所有PHP数据类型（除资源外），生成的字符串包含类型标识与结构信息，仅适用于PHP环境内部使用。

1、定义一个包含数组、对象和整数的变量：
　　$data = ['name' => 'Alice', 'age' => 30, 'hobbies' => ['reading', 'coding']];

2、调用serialize()函数将其转换为字符串：
　　$serialized = serialize($data);

3、输出结果可见类似“a:3:{s:4:"name";s:5:"Alice";s:3:"age";i:30;s:7:"hobbies";a:2:{i:0;s:7:"reading";i:1;s:6:"coding";}}”的格式化字符串。

4、使用unserialize()还原数据：
　　$restored = unserialize($serialized);

5、验证还原结果：
　　必须确保反序列化前未被篡改，否则可能触发危险的__wakeup()或__destruct()魔术方法。

二、使用json_encode()和json_decode()函数

该方法生成标准JSON格式字符串，具备跨语言兼容性，但不支持资源、闭包、部分对象（需实现JsonSerializable接口）及私有/受保护属性的直接导出。

1、准备一个关联数组或简单对象：
　　$data = ['id' => 123, 'active' => true, 'tags' => ['php', 'web']];

2、调用json_encode()进行编码：
　　$json_str = json_encode($data);

3、输出结果为标准JSON字符串，如{"id":123,"active":true,"tags":["php","web"]}。

4、使用json_decode()还原为关联数组：
　　$decoded = json_decode($json_str, true);

5、若需还原为对象，省略第二个参数或设为false：
　　$obj = json_decode($json_str);

6、注意：json_encode()对非UTF-8编码字符串会返回null，需提前转码。

三、使用igbinary扩展序列化

igbinary是一种替代PHP默认序列化的二进制序列化扩展，体积更小、性能更高，且保持类型精度，需预先安装扩展并启用。

1、确认已启用igbinary扩展：
　　if (!extension_loaded('igbinary')) { throw new Exception('igbinary extension not loaded'); }

2、使用igbinary_serialize()替代serialize()：
　　$ib_serialized = igbinary_serialize($data);

3、生成的是二进制字符串，不可读，长度通常比serialize()输出短30%–50%。

4、使用igbinary_unserialize()还原：
　　$ib_restored = igbinary_unserialize($ib_serialized);

5、反序列化时必须保证运行环境中加载了相同版本的igbinary扩展。

四、使用msgpack扩展序列化

MessagePack是一种高效的二进制序列化格式，支持多种语言，PHP需通过msgpack扩展实现，其压缩率与解析速度优于JSON和serialize()。

1、检查msgpack扩展是否可用：
　　if (!class_exists('MessagePack')) { die('msgpack extension required'); }

2、实例化MessagePack对象：
　　$mp = new MessagePack();

3、执行序列化：
　　$mp_serialized = $mp->pack($data);

4、执行反序列化：
　　$mp_restored = $mp->unpack($mp_serialized);

5、msgpack不保留PHP特有类型（如resource、callable），且默认不处理循环引用。

五、自定义类实现Serializable接口

当需要精确控制对象序列化行为时，可让类实现Serializable接口，定义writeSerialize()和readSerialize()方法，绕过默认序列化逻辑。

1、声明类并实现Serializable接口：
　　class User implements Serializable { private $name; private $token;

2、在serialize()方法中返回自定义字符串（如JSON）：
　　public function serialize() { return json_encode(['name' => $this->name, 'token' => $this->token]); }

3、在unserialize()方法中解析该字符串并赋值：
　　public function unserialize($data) { $arr = json_decode($data, true); $this->name = $arr['name']; $this->token = $arr['token']; }

4、实例化对象后调用serialize()将使用该类定义的方法：
　　$user = new User(); $user->name = 'Bob'; $s = serialize($user);

5、实现Serializable后，__sleep()和__wakeup()将不再被调用。

好了，本文到此结束，带大家了解了《PHP序列化与反序列化全面解析》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！