PHP变量序列化是什么

什么是 serialize()？它到底在干啥

它把 PHP 里的变量（数组、对象、字符串、数字甚至 null）变成一串带结构标记的字符串，目的是让数据能存进数据库、写入文件、或者通过网络传出去——因为内存里的变量没法直接“搬走”，必须打包。

比如一个对象 $cat = new Animal("mini", 12)，serialize($cat) 输出的是：O:6:"Animal":2:{s:4:"name";s:4:"mini";s:3:"age";i:12;}。这串字符里藏着类名、属性个数、每个属性的类型和长度，不是随便拼的。

• 只序列化属性值，不保存方法（函数）本身
• 类名、属性可见性（public/protected/private）都会被编码进去
• 如果属性是私有（private），字段名前会补上 "\0ClassName\0"，反序列化时必须类定义存在且一致，否则还原失败或属性丢失

unserialize() 不是万能还原器，它很挑环境

反序列化不是“解压”那么简单——它会尝试重建对象，并触发 __wakeup() 魔术方法（如果存在）。但前提是：目标类的代码必须已加载（require 或自动加载），否则返回 false 或抛出致命错误 Class not found。

常见错误现象：unserialize() 返回 false 却没报错（默认静默），或者还原后调用方法报 Fatal error: Call to undefined method。

• 务必确保反序列化前已引入对应类文件，尤其在 CLI 或跨请求场景下容易漏掉自动加载
• 如果数据来自不可信来源（如用户输入、日志、缓存），绝对不要直接 unserialize() ——这是反序列化漏洞的根源
• PHP 7.4+ 支持 unserialize($data, ['allowed_classes' => false]) 来禁用对象反序列化，仅允许数组/字符串等基础类型

什么时候该用序列化？别为了“高级感”硬套

序列化不是日常变量操作工具，它是为「持久化」和「跨边界传输」服务的。用错场景反而埋坑。

• ✅ 合理场景：把配置数组存进数据库字段；将 session 数据写入 Redis；临时缓存计算结果（含对象状态）
• ❌ 错误场景：在 API 接口里把 $_POST 数据先 serialize() 再存库——完全多余，直接存 JSON 或结构化字段更安全清晰
• ⚠️ 替代建议：纯数据交换优先用 json_encode()/json_decode()，它不依赖 PHP 类定义、无执行风险、跨语言友好

序列化字符串长这样，看懂它才能 debug

理解格式能快速定位问题。例如：O:4:"info":2:{s:4:"name";s:4:"jack";s:3:"age";i:25;}

• O 表示 object，4 是类名长度，"info" 是类名，2 是属性数量
• s:4:"name" 表示字符串类型、长度 4、值为 "name"；i:25 表示整型值 25
• 如果看到 s:0:"" 是空字符串，b:1; 是布尔 true，N; 是 null
• 手动拼或修改这类字符串极易出错——永远用 serialize() 生成，用 unserialize() 解析，别手写

实际项目里最常被忽略的，是反序列化时类定义缺失和来源不可信这两点。前者导致线上静默失败，后者可能直接让服务器被接管。