Python pickle模块使用注意事项

使用pickle需注意安全、兼容性和性能问题：1. 不要反序列化不可信数据，因可能执行恶意代码；2. 类定义变化或Python版本差异会导致加载失败，长期存储建议用JSON等格式；3. 文件句柄、lambda函数等对象无法直接序列化，需自定义__getstate__和__setstate__；4. 应选择合适协议版本并以二进制模式操作文件。pickle适用于可信环境下的临时数据交换，不推荐用于持久化或跨语言场景。

在Python中使用pickle模块进行对象序列化时，虽然操作简单，但有几个关键点必须注意，否则容易引发安全、兼容性和性能问题。

1. 不要反序列化不可信的数据

pickle模块在反序列化时会执行对象的构造代码，这意味着如果数据来自不可信源，可能执行恶意代码，造成严重安全漏洞。

• pickle.loads() 或 pickle.load() 可能触发任意代码执行
• 避免对网络传输、用户上传或外部文件直接使用pickle反序列化
• 若需跨系统通信，建议使用JSON、msgpack等更安全的格式

2. 兼容性问题需要注意

pickle保存的是对象的具体状态，依赖当前类的定义。一旦类结构变化，可能无法正确加载。

• 修改类名、模块路径或删除属性后，原有pickle文件可能无法读取
• 不同Python版本之间（特别是2和3）可能存在不兼容
• 长期存储建议用结构化格式如JSON、HDF5或数据库

3. 并非所有对象都能被pickle

一些对象类型天生不支持序列化，尝试pickle会抛出异常。

• 文件句柄、网络连接、线程锁等系统资源无法被pickle
• lambda函数、嵌套函数、局部类也无法正确序列化
• 含有这些对象的实例需要自定义__getstate__和__setstate__方法处理

4. 使用正确的协议版本

pickle支持多个协议版本，新版效率更高，但旧版Python可能不支持。

• 默认协议较保守，可显式指定protocol=pickle.HIGHEST_PROTOCOL提升性能
• 跨版本兼容时建议使用较低协议（如protocol=2）
• 文本模式只适用于低版本协议，推荐始终以二进制模式打开文件

基本上就这些。pickle适合临时保存或可信环境下的数据交换，不适合持久化存储或跨语言场景。安全永远是第一位的。