详解PHP序列化和反序列化原理


Posted in PHP onJanuary 15, 2018

0.前言

对象的序列化和反序列化作用就不再赘述,php中序列化的结果是一个php自定义的字符串格式,有点类似json.

我们在任何语言中设计对象的序列化和反序列化都需要解决几个问题

把某个对象序列化之后,序列化的结果有自描述的功能(从序列化的结果中知道这个对象的具体类型,

知道类型还不够,当然还需要知道这个类型所对应具体的值).

序列化时的权限控制,可以自定义序列化字段等,例如golang中的做的就非常方便.

时间性能问题:在某些性能敏感的场景下,对象序列化就不能拖后腿,例如:高性能服务(我经常使用protobuf来序列化).

空间性能问题:序列化之后的结果不能太长,比如内存中一个int对象,序列化之后数据长度变成了10倍int的长度,那这个序列化算法是有问题的.

本文仅仅从php代码角度来解释php中序列化和反序列化的过程.,记住一点序列化和反序列化操作的仅仅是对象的数据,这一点有面向对象开发经验的都应该容易理解.

1.序列化serialize和反序列化方法unserialize

php原生提供了对象序列化功能,不像c++ ……^_^. 用起来也非常简单,就两个接口.

class fobnn
{
 public $hack_id;
 private $hack_name;
 public function __construct($name,$id)
 {
  $this->hack_name = $name;
  $this->hack_id = $id;
 }
 public function print()
 {
  echo $this->hack_name.PHP_EOL;
 }
}
$obj = new fobnn('fobnn',1);
$obj->print();
$serializedstr = serialize($obj); //通过serialize接口序列化
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);//通过unserialize反序列化
$toobj->print();
fobnn
O:5:"fobnn":2:{s:7:"hack_id";i:1;s:16:"fobnnhack_name";s:5:"fobnn";}
fobnn

看到第二行的输出,这个字符串就是序列化的结果,这个结构其实很容读懂,可以发现是通过对象名称/成员名称来映射的,当然不同访问权限的成员序列化之后的标签名称略有不同.

根据我上面讲到的3个问题,那么我们可以来看看

1.自描述功能

O:5:"fobnn":2 其中o就表示了object类型,且类型名称为fobnn, 采用这种格式,后面的2表示了有2个成员对象.

关于成员对象,其实也是同一套子描述,这是一个递归的定义.

自描述的功能主要是通过字符串记录对象和成员的名称来实现.

2.性能问题

php序列化的时间性能本文就不分析了,详见后面,但序列化结果其实类似json/bson定义的协议,有协议头,协议头说明了类型,协议体则说明了类型所对应的值,并不会对序列化结果进行压缩.

2.反序列化中的魔术方法

对应上述说的第二个问题,其实php中也有解决方法,一种是通过魔术方法,第二种则是自定义序列化函数.先来介绍下魔术方法 __sleep和__wakeup

class fobnn
{
 public $hack_id;
 private $hack_name;
 public function __construct($name,$id)
 {
  $this->hack_name = $name;
  $this->hack_id = $id;
 }
 public function print()
 {
  echo $this->hack_name.PHP_EOL;
 }
 public function __sleep()
 {
  return array("hack_name");
 }
 public function __wakeup()
 {
  $this->hack_name = 'haha';
 }
}
$obj = new fobnn('fobnn',1);
$obj->print();
$serializedstr = serialize($obj);
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);
$toobj->print();
fobnn
O:5:"fobnn":1:{s:16:"fobnnhack_name";s:5:"fobnn";}
haha

在序列化之前会先调用__sleep返回的是一个需要序列化的成员名称数组,通过这样我们就可以控制需要序列化的数据,案例中我只返回了hack_name,可以看到结果中只序列化了hack_name成员.

在序列化完成之后,会跳用__wakeup 在这里我们可以做一些后续工作,例如重连数据库之类的.

3.自定义Serializable接口

interface Serializable {
abstract public string serialize ( void )
abstract public void unserialize ( string $serialized )
}

通过这个接口我们可以自定义序列化和反序列化的行为,这个功能主要可以用来自定义我们的序列化格式.

class fobnn implements Serializable
{
 public $hack_id;
 private $hack_name;
 public function __construct($name,$id)
 {
  $this->hack_name = $name;
  $this->hack_id = $id;
 }
 public function print()
 {
  echo $this->hack_name.PHP_EOL;
 }

 public function __sleep()
 {
  return array('hack_name');
 }

 public function __wakeup()
 {
  $this->hack_name = 'haha';
 }

 public function serialize()
 {
  return json_encode(array('id' => $this->hack_id ,'name'=>$this->hack_name ));
 }

 public function unserialize($var)
 {
  $array = json_decode($var,true);
  $this->hack_name = $array['name'];
  $this->hack_id = $array['id'];
 }
}
$obj = new fobnn('fobnn',1);
$obj->print();
$serializedstr = serialize($obj);
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);
$toobj->print();
fobnn
C:5:"fobnn":23:{{"id":1,"name":"fobnn"}}
fobnn

当使用了自定义序列化接口之后,我们的魔术方法就没用了.

4.PHP动态类型和PHP反序列化

既然上文中提到的自描述功能,那么序列化结果中保存了对象的类型,且php是动态类型语言,那么我们就可以来做个简单的实验.

class fobnn
{
 public $hack_id;
 public $hack_name;
 public function __construct($name,$id)
 {
  $this->hack_name = $name;
  $this->hack_id = $id;
 }
 public function print()
 {
  var_dump($this->hack_name);
 }
}
$obj = new fobnn('fobnn',1);
$obj->print();
$serializedstr = serialize($obj);
echo $serializedstr.PHP_EOL;;
$toobj = unserialize($serializedstr);
$toobj->print();
$toobj2 = unserialize("O:5:\"fobnn\":2:{s:7:\"hack_id\";i:1;s:9:\"hack_name\";i:12345;}");
$toobj2->print();

我们修改hack_name反序列化的结果为int类型, i:12345

string(5) "fobnn"
O:5:"fobnn":2:{s:7:"hack_id";i:1;s:9:"hack_name";s:5:"fobnn";}
string(5) "fobnn"
int(12345)

可以发现,对象成功序列化回来了!并且可以正常工作!. 当然php的这种机制提供了灵活多变的语法,但也引入了安全风险. 后续继续分析php序列化和反序列化特性带来的安全问题.

以上就是我们整理的关于PHP序列化和反序列化原理的全部知识内容,感谢你对三水点靠木的支持。

PHP 相关文章推荐
php中关于普通表单多文件上传的处理方法
Mar 25 PHP
apache+php完美解决301重定向的两种方法
Jun 08 PHP
PHP 数据结构 算法描述 冒泡排序 bubble sort
Jul 10 PHP
php+ajax导入大数据时产生的问题处理
Jun 11 PHP
使用PHP函数scandir排除特定目录
Jun 12 PHP
php解决抢购秒杀抽奖等大流量并发入库导致的库存负数的问题
Jun 19 PHP
PHP将字符分解为多个字符串的方法
Nov 22 PHP
PHP如何通过传引用的思想实现无限分类(代码简单)
Oct 13 PHP
php的debug相关函数用法示例
Jul 11 PHP
Laravel框架实现的使用smtp发送邮件功能示例
Mar 12 PHP
Laravel 框架返回状态拦截代码
Oct 18 PHP
PHP中->和=>的含义及使用示例解析
Aug 06 PHP
PHP使用两个栈实现队列功能的方法
Jan 15 #PHP
php获取ajax的headers方法与内容实例
Dec 27 #PHP
PHP实现求连续子数组最大和问题2种解决方法
Dec 26 #PHP
PHP基于双向链表与排序操作实现的会员排名功能示例
Dec 26 #PHP
thinkphp5 URL和路由的功能详解与实例
Dec 26 #PHP
php-msf源码详解
Dec 25 #PHP
关于 Laravel Redis 多个进程同时取队列问题详解
Dec 25 #PHP
You might like
php基础知识:函数基础知识
2006/12/13 PHP
ECMall支持SSL连接邮件服务器的配置方法详解
2014/05/19 PHP
PHP面向对象程序设计之接口用法
2014/08/20 PHP
PHP文件读写操作相关函数总结
2014/11/18 PHP
php模拟服务器实现autoindex效果的方法
2015/03/10 PHP
PHP中预定义的6种接口介绍
2015/05/12 PHP
js取得html iframe中的元素和变量值
2014/06/30 Javascript
Jquery实现兼容各大浏览器的Enter回车切换输入焦点的方法
2014/09/01 Javascript
javascript面向对象快速入门实例
2015/01/13 Javascript
vue的props实现子组件随父组件一起变化
2016/10/27 Javascript
基于JQuery和原生JavaScript实现网页定位导航特效
2017/04/03 jQuery
js防刷新的倒计时代码 js倒计时代码
2017/09/06 Javascript
js中apply与call简单用法详解
2017/11/06 Javascript
webpack多入口文件页面打包配置详解
2018/01/09 Javascript
Vux+Axios拦截器增加loading的问题及实现方法
2018/11/08 Javascript
nodejs制作小爬虫功能示例
2020/02/24 NodeJs
[42:32]Secret vs Optic 2018国际邀请赛小组赛BO2 第二场 8.18
2018/08/19 DOTA
[01:48:04]DOTA2-DPC中国联赛 正赛 PSG.LGD vs Elephant BO3 第一场 2月7日
2021/03/11 DOTA
简单介绍Python中的readline()方法的使用
2015/05/24 Python
总结python爬虫抓站的实用技巧
2016/08/09 Python
20招让你的Python飞起来!
2016/09/27 Python
Python 获得13位unix时间戳的方法
2017/10/20 Python
Django-Rest-Framework 权限管理源码浅析(小结)
2018/11/12 Python
Python基于爬虫实现全网搜索并下载音乐
2021/02/14 Python
浅析HTML5的WebSocket与服务器推送事件
2016/02/19 HTML / CSS
丹麦优惠购物网站:PLUSSHOP
2019/03/24 全球购物
新西兰杂志订阅:isubscribe
2019/08/26 全球购物
JavaScript获取当前url根目录(路径)
2014/02/19 面试题
小学生竞选班干部演讲稿
2014/04/24 职场文书
大学学风建设方案
2014/05/04 职场文书
学习雷锋标语
2014/06/25 职场文书
投标承诺函范文
2015/01/21 职场文书
2015年高二班主任工作总结
2015/05/25 职场文书
辞职申请书范本
2019/05/20 职场文书
Python实现位图分割的效果
2021/11/20 Python
Oracle数据库中通用的函数实例详解
2022/03/25 Oracle