PHP对象序列化技巧：\_\_serialize与\_\_unserialize详解

PHP 8.1 引入的 `__serialize` 和 `__unserialize` 是替代老旧 `__sleep`/`__wakeup` 的现代序列化机制，但它们并非简单升级——必须严格满足“仅 PHP 8.1+、类中未定义 `__sleep`/`__wakeup`”两大前提才会生效；`__serialize` 必须返回键值对数组（而非字段名列表），`__unserialize` 需显式、安全地赋值并校验字段，随意 `foreach` 赋值将绕过属性可见性保护、引发安全隐患；敏感字段应显式置空并在反序列化时彻底忽略，而非依赖 `unset`；混用新旧方法会导致静默降级至旧逻辑，极易造成调试失效与线上隐患——掌握这些细节，才能真正写出安全、可靠、跨版本可控的序列化代码。

PHP 8.1+ 中 __serialize 和 __unserialize 怎么写才有效

这两个方法只在 PHP 8.1 及以上版本生效，且仅当类未定义 __sleep/__wakeup 时才会被调用。它们不是“可选增强”，而是替代旧序列化机制的底层钩子——一旦定义，PHP 就完全绕过默认字段遍历逻辑。

典型错误是照搬 __sleep 写法，比如返回字段名数组：return ['id', 'name'];。这会直接报致命错误：Fatal error: __serialize() must return an array，因为 __serialize 要求返回键值对数组（即 ['id' => 123, 'name' => 'foo']），而非字段名列表。

• __serialize 必须返回 array，每个键是属性名，值是对应序列化后的数据（可含处理，如脱敏、类型转换）
• __unserialize 接收这个数组，需手动赋值给属性（$this->id = $data['id'];），不自动映射
• 若同时存在 __sleep，__serialize 将被忽略——PHP 优先向后兼容

为什么 __unserialize 里不能直接用 foreach ($data as $k => $v) { $this->$k = $v; }

看似省事，但隐患极大：攻击者可在反序列化时注入非法属性（如私有属性名拼写错误、动态生成的属性），或触发魔术方法（如 __set）。PHP 默认序列化会严格校验属性可见性，而手写循环会绕过这层保护。

更安全的做法是显式声明允许恢复的字段，并过滤掉未知键：

public function __unserialize(array $data): void
{
    $allowed = ['id', 'name', 'created_at'];
    foreach ($allowed as $field) {
        if (isset($data[$field])) {
            $this->$field = $data[$field];
        }
    }
}

如果类有大量属性，建议用 get_object_vars($this) 初始化默认值再覆盖，避免遗漏初始化导致的 Notice。

__serialize 中如何安全处理敏感字段（如密码、token）

不能依赖 unset() 或跳过字段——因为 __serialize 返回的是纯数组，后续 serialize() 仍会将其编码进字符串，只是值为空。真正安全的方式是明确设为 null 或占位符，并在 __unserialize 中彻底忽略它：

public function __serialize(): array
{
    $data = [
        'id' => $this->id,
        'name' => $this->name,
        // 敏感字段不参与序列化逻辑
        'auth_token' => null, // 显式置空，比 unset 更清晰
    ];
    return $data;
}

public function __unserialize(array $data): void
{
    $this->id = $data['id'] ?? 0;
    $this->name = $data['name'] ?? '';
    // $data['auth_token'] 被忽略，绝不恢复
}

注意：若该字段是 private，即使没在 __serialize 中出现，也不该在 __unserialize 中尝试赋值，否则可能破坏封装。

与 __sleep/__wakeup 混用时的实际表现

只要类中定义了 __sleep，无论是否定义 __serialize，PHP 都会走老流程。这意味着你可能以为自己在用新 API，实际代码根本没执行——调试时看不到 var_dump 输出就是最常见信号。

• 检查是否误留了 __sleep：搜索整个类文件，删掉或重命名（如改为 legacySleep）
• 确认 PHP 版本：php -v 输出必须 ≥ 8.1，且非 CLI 模式下注意 SAPI 版本（如 Apache 模块可能用旧版）
• 序列化目标必须是对象实例，对 null、数组、资源等调用无效

跨版本兼容最难缠的点在于：新代码在旧环境直接 fatal，而旧代码在新环境行为不变——没有警告，只有静默降级。上线前务必在目标环境中验证序列化/反序列化全流程。

今天关于《PHP对象序列化技巧：\_\_serialize与\_\_unserialize详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！