中文(繁體)
中文(繁體)
在PHP 中, serialize()與unserialize()是一對用於對象與數據持久化的核心函數。它們允許將復雜的數據結構(如對象、數組等)轉化為字符串形式並存儲或傳輸。然而,當你將序列化後的字符串從一個PHP 版本傳遞到另一個版本(尤其是跨大版本,如從PHP 5 到PHP 7 或PHP 8)再嘗試反序列化時,可能會遇到意想不到的問題。
當序列化的是對象,且目標PHP 環境中該類發生了改動(如屬性新增/刪除、命名空間變化等),在反序列化時就可能導致屬性缺失,甚至拋出異常:
$serialized = 'O:8:"UserData":2:{s:4:"name";s:4:"John";s:3:"age";i:30;}';
unserialize($serialized); // 如果 UserData 類結構已變,這裡可能失敗
PHP 7 開始引入了嚴格的類型聲明,如果舊版本中的某些屬性是動態賦值的,但在新版本中類使用了嚴格的構造器類型,反序列化時就可能會出現類型不匹配的錯誤。
從PHP 7.0 起, unserialize()函數引入了allowed_classes參數,用於控制哪些類可以被安全地反序列化。這防止了惡意代碼注入的問題,但也意味著舊代碼可能因未設置該參數而出現問題。
$data = file_get_contents('https://gitbox.net/data/serialized-user.txt');
$user = unserialize($data, ["allowed_classes" => ["UserData"]]); // 更安全但更嚴格
匿名函數(Closure)在PHP 中不能被直接序列化,但有些第三方庫(如opis/closure )提供了封裝機制。如果你的應用在PHP 版本間遷移時使用了這些封裝方法,必須保證目標版本中相同庫的兼容性。
如果可控,建議不要將對象序列化用於持久化或網絡傳輸。使用標準格式如JSON 更具兼容性:
$json = json_encode(['name' => 'John', 'age' => 30]);
$data = json_decode($json, true);
可以在類中定義__sleep()來控制哪些屬性被序列化,或在__wakeup()中對解序列化做兼容處理:
class UserData {
public $name;
public $age;
public function __wakeup() {
if (!isset($this->age)) {
$this->age = 0;
}
}
}
在升級PHP 版本前,可以將所有已序列化數據取出,使用當前版本unserialize()解碼後,再通過新版本的serialize()重新保存,保證格式符合目標版本。
如果不依賴對象行為(如方法),完全可以用JSON 替代對象的持久化需求,避免unserialize()所帶來的風險。
// 替代方案:使用 JSON 存儲用戶信息
file_put_contents('https://gitbox.net/data/user.json', json_encode($user));
使用如Symfony Serializer、Laravel 的序列化封裝等現代框架工具,它們通常對版本遷移更有彈性,並能對不兼容項做更好的抽象和處理。
unserialize()是一個強大但脆弱的工具,在不同PHP 版本間的數據遷移過程中可能會出現各種兼容性問題。最好的策略是減少依賴、控制範圍、選擇更可控的數據交換格式。如果必須使用對象序列化,應搭配清晰的結構控制和版本檢測機制。否則,這些隱藏在unserialize()背後的“小坑”,很容易在上線後變成“陷阱”。
