• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    PHP序列化和反序列化深度剖析实例讲解

    序列化

    序列化格式

    在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。

    序列化函数原型如下:

    string serialize ( mixed $value )

    先看下面的例子:

    class CC {
    	public $data;
    	private $pass;
    	public function __construct($data, $pass) {
    		$this->data = $data;
    		$this->pass = $pass;
    	}
    }
    $number = 34;
    $str = 'uusama';
    $bool = true;
    $null = NULL;
    $arr = array('a' => 1, 'b' => 2);
    $cc = new CC('uu', true);
    var_dump(serialize($number));
    var_dump(serialize($str));
    var_dump(serialize($bool));
    var_dump(serialize($null));
    var_dump(serialize($arr));
    var_dump(serialize($cc));

    输出结果为:

    string(5) "i:34;"
    string(13) "s:6:"uusama";"
    string(4) "b:1;"
    string(2) "N;"
    string(30) "a:2:{s:1:"a";i:1;s:1:"b";i:2;}"
    string(52) "O:2:"CC":2:{s:4:"data";s:2:"uu";s:8:" CC pass";b:1;}"

    所以序列化对于不同类型得到的字符串格式为:

    序列化对象

    从上面的例子中我们可以看出序列化对象的时候,只会保存属性值。

    class CB {
    	public $CB_data = 'cb';
    }
    class CC extends CB {
    	const SECOND = 60;
    	public $data;
    	private $pass;
    	public function __construct($data, $pass) {
    		$this->data = $data;
    		$this->pass = $pass;
    	}
    	public function setPass($pass) {
    		$this->pass = $pass;
    	}
    }
    $cc = new CC('uu', true);
    var_dump(serialize($cc));

    输出结果为:

    string(75) "O:2:"CC":3:{s:4:"data";s:2:"uu";s:8:" CC pass";b:1;s:7:"CB_data";s:2:"cb";}"

    显然,序列化对象时,不会保存常量的值。对于父类中的变量,则会保留。

    对象序列化自定义

    在序列化对象的时候,对于对象中的一些敏感属性,我们不需要保存,这又该如何处理呢?

    当调用serialize()函数序列化对象时,该函数会检查类中是否存在一个魔术方法__sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。可以通过重载这个方法,从而自定义序列化行为。该方法原型如下:

    public array __sleep ( void )

    该方法返回一个包含对象中所有应被序列化的变量名称的数组

    看下面的例子:

    class User{
    	const SITE = 'uusama';
    
    	public $username;
    	public $nickname;
    	private $password;
    
    	public function __construct($username, $nickname, $password)
    	{
    		$this->username = $username;
    		$this->nickname = $nickname;
    		$this->password = $password;
    	}
    
    	// 重载序列化调用的方法
    	public function __sleep()
    	{
    		// 返回需要序列化的变量名,过滤掉password变量
    		return array('username', 'nickname');
    	}
    }
    $user = new User('uusama', 'uu', '123456');
    var_dump(serialize($user));

    返回结果如下,显然序列化的时候忽略了 password 字段的值。

    string(67) "O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}"

    序列化对象存储

    通过上面的介绍,我们可以把一个复制的对象或者数据序列化成一个序列字符串,保存值的同事还保存了他们的结构。

    我们可以把序列化之后的值保存起来,存在文件或者缓存里面。不推荐存在数据库里面,可读性查,而且不便于迁移维护,不便于查询。

    $user = new User('uusama', 'uu', '123456');
    $ser = serialize($user);
    // 保存在本地
    file_put_contents('user.ser', $ser);

    反序列化

    使用方法

    通过上面的讲解,我们可以将对象序列化为字符串并保存起来,那么如何把这些序列化后的字符串恢复成原样呢?PHP提供了反序列函数:

    mixed unserialize ( string $str )

    unserialize()反序列化函数用于将单一的已序列化的变量转换回 PHP 的值。

    看下面的例子:

    class User{
    	const SITE = 'uusama';
    
    	public $username;
    	public $nickname;
    	private $password;
    	private $order;
    
    	public function __construct($username, $nickname, $password)
    	{
    		$this->username = $username;
    		$this->nickname = $nickname;
    		$this->password = $password;
    	}
    
    	// 定义反序列化后调用的方法
    	public function __wakeup()
    	{
    		$this->password = $this->username;
    	}
    }
    $user_ser = 'O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}';
    var_dump(unserialize($user_ser));

    输出结果为:

    object(User)#1 (4) {
     ["username"]=>
     string(6) "uusama"
     ["nickname"]=>
     string(2) "uu"
     ["password":"User":private]=>
     string(6) "uusama"
     ["order":"User":private]=>
     NULL
    }

    可以得出以下结论:

    未定义类的处理

    在上面的例子中,我们在调用反序列化函数unserialize()之前,提前定义了User类,如果我们没有定义会怎么样呢?

    $user_ser = 'O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}';
    var_dump(unserialize($user_ser));

    这个例子中,我们没有定义任何的User类,反序列化正常执行,并没有报错,得到的结果如下:

    object(__PHP_Incomplete_Class)#1 (3) {
     ["__PHP_Incomplete_Class_Name"]=>
     string(4) "User"
     ["username"]=>
     string(6) "uusama"
     ["nickname"]=>
     string(2) "uu"
    }

    注意对比之前定义了User类的结果,这儿反序列化得到的对象是__PHP_Incomplete_Class,并指定了未定义类的类名。

    如果这个时候我们去使用这个反序列化后的不明对象,则会抛出E_NOTICE。这么看着不能用也不是办法,那么如何处理呢?有两种方案。

    以上两种方案的实现如下:

    // unserialize_callback_func 从 PHP 4.2.0 起可用
    ini_set('unserialize_callback_func', 'mycallback'); // 设置您的回调函数
    function mycallback($classname) 
    {
     // 只需包含含有类定义的文件
     // $classname 指出需要的是哪一个类
    }
    
    
    // 建议使用下面的函数,代替__autoload()
    spl_autoload_register(function ($class_name) {
    	// 动态加载未定义类的定义文件
     require_once $class_name . '.php';
    });

    PHP预定义序列化接口Serializable

    还记得上面在将序列化过程中遇到的:无法在__sleep()方法中返回父类对象的问题吗,方法就是实现序列化接口Serializable

    该接口的原型如下:

    Serializable {
    	abstract public string serialize ( void )
    	abstract public mixed unserialize ( string $serialized )
    }

    需要注意的是,如果定义的类实现了Serializable接口,那么序列化和反序列化的时候,PHP就不会再去调用__sleep()方法和__wakeup()方法。

    class CB implements Serializable{
    	public $CB_data = '';
    	private $CB_password = 'ttt';
    
    	public function setCBPassword($password)
    	{
    		$this->CB_password = $password;
    	}
    
    	public function serialize()
    	{
    		echo __METHOD__ . "\n";
    		return serialize($this->CB_password);
    	}
    
    	public function unserialize($serialized)
    	{
    		echo __METHOD__ . "\n";
    	}
    }
    
    class CC extends CB {
    	const SECOND = 60;
    
    	public $data;
    	private $pass;
    
    	public function __construct($data, $pass)
    	{
    		$this->data = $data;
    		$this->pass = $pass;
    	}
    
    	public function __sleep()
    	{
    		// 输出调用了该方法名
    		echo __METHOD__ . "\n";
    	}
    
    	public function __wakeup()
    	{
    		// 输出调用了该方法名
    		echo __METHOD__ . "\n";
    	}
    }
    $cc = new CC('uu', true);
    $ser = serialize($cc);
    var_dump($ser);
    $un_cc = unserialize($ser);
    var_dump($un_cc);

    运行结果为:

    CB::serialize
    string(24) "C:2:"CC":10:{s:3:"ttt";}"
    CB::unserialize
    object(CC)#2 (4) {
     ["data"]=>
     NULL
     ["pass":"CC":private]=>
     NULL
     ["CB_data"]=>
     string(0) ""
     ["CB_password":"CB":private]=>
     string(3) "ttt"
    }

    可以完全定义serialize()方法,该方法返回的值就是序列化后大括号内的值,只要保证自定义序列化和反序列化的规则一致即可。

    到此这篇关于PHP序列化和反序列化深度剖析实例讲解的文章就介绍到这了,更多相关PHP序列化和反序列化内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

    您可能感兴趣的文章:
    • 详解php反序列化
    • php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
    • 浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
    • PHP常见的序列化与反序列化操作实例分析
    • JSON PHP中,Json字符串反序列化成对象/数组的方法
    • 详解PHP序列化和反序列化原理
    上一篇:PHP实现简单注册登录系统
    下一篇:Thinkphp5+Redis实现商品秒杀代码实例讲解
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    PHP序列化和反序列化深度剖析实例讲解 PHP,序列化,和,反,深度,剖析,