序列化与反序列化
考虑到可读性,数据往往不是以最有效的方式编写,但为了存储或传递数据时更加高效,同时不丢失其类型和结构,可以利用序列化和反序列化函数对数据进行处理。
序列化
将特定格式数据转换为可以恢复的字节串序列
什么时候进行序列化?
1)数据在网络上传输时
2)数据保存到文件中时
(由于序列化返回的是字符串,方便存储于任何地方!)
反序列化
顾名思义,将序列化得出的字符串恢复为原有格式数据的过程
什么时候进行反序列化?
1)程序读取数据的时候
序列化和反序列化的目的是在不影响数据有效性情况下,更高效地存储和传输数据,使程序更具维护性。
以前流行的序列化方式是生成XML字符串,目前几乎都是生成JSON格式字符串。除了一般数据的序列化外,很多语言都支持对object的序列化和反序列化。
PHP中的序列化与反序列化
函数:
serialize/unserialize
json_encode/json_decode
序列化
serialize函数
serialize函数是标准的序列化函数,会完整地序列化数据,其中可以修改一个子函数__sleep(),只序列化部分数据,忽略其他数据
__sleep():是一个钩子函数,默认序列化全部属性,可以修改至只序列化部分属性,没有序列化的属性会被忽略。
示例:
1.NULL
NULL被序列化为N!
2.boolean
boolean类型数据被序列化为b:
true序列化为b:1false序列化为b:0
3.integer
i:123 // 123的序列化
4.double
d:1.5
5.string
s:4:”test” // test序列化,4:字符串长度!
6.数组(array)
array(“tony”,”wenxin”)
a:2:{i:0;s:4:”tony”;i=1;s:6:”wenxin”;}// 解释
a:array2:数组元素个数0,1:数组的下标
序列化示例
<?php
class Person
{
var $name;
var $sex;
var $age;
function __construct($name = "", $sex = "", $age = "") {
$this->name = $name;
$this->sex = $sex;
$this->age = $age;
}
function say() {
echo "我的名字叫:" . $this->name . " 性别:" . $this->sex . " 我的年龄是:" . $this->age . "<br>";
}
}
$p1 = new Person("张三", "男", 20);
$p1_string = serialize($p1); //把一个对象串行化,返一个字符串
echo $p1_string . "<br>"; //串行化的字符串我们通常不去解析
//将$p1_string存储到文件file.txt中
file_put_contents('./file.txt', $p1_string);
$p2 = unserialize($p1_string); //把一个串行化的字符串反串行化形成对象$p2
$p2->say();
//下面的做法和上面效果一样
$p3_file = file_get_contents('./file.txt'); //读取文件
$p3 = unserialize($p3_file); //反序列化
$p3->say();
?>
上例输出结果:
O:6:”Person”:3:{s:4:”name”;s:4:”张三”;s:3:”sex”;s:2:”男”;s:3:”age”;i:20;}
我的名字叫:张三 性别:男 我的年龄是:20
反序列化
unserialize是反序列化函数
若被序列化的变量是一个对象,在重新构造对象之后,会自动调用wakeup成员函数(如果存在!) wakeup():
unserialize函数会检查是否存在__wakeup函数,如果存在,会先调用预先准备的函数!
<?
class Person
{
var $name;
var $sex;
var $age;
function __construct($name = "", $sex = "", $age = "") {
$this->name = $name;
$this->sex = $sex;
$this->age = $age;
}
function say() {
echo "我的名字叫:" . $this->name . " 性别:" . $this->sex . " 我的年龄是:" . $this->age . "<br>";
}
//指定串行化时把返回的数组中$name和$age值串行化,忽略没在数组中的属性$sex
function __sleep() {
$arr = array("name", "age"); // 此时,属性$sex将被删除!!!
return($arr);
}
//重新生成对象时,并重新赋值$age为40
function __wakeup() {
$this->age = 40;
}
}
$p1 = new Person("张三", "男", 20);
//把一个对象串行化,返一个字符串,调用了__sleep()方法,忽略没在数组中的属性$sex
$p1_string = serialize($p1);
echo $p1_string . "<br>"; //串行化的字符串我们通常不去解析
$p2 = unserialize($p1_string); //反串行化形成对象$p2重新赋值$age为40
$p2->say();
?>
上例输出为:
O:6:”Person”:2:{s:4:”name”;s:4:”张三”;s:3:”age”;i:20;}
我的名字叫:张三 性别: 我的年龄是:40
最后
序列化与反序列化是一种常见的数据处理方式,也是容易出现安全漏洞的步骤,认识序列化对于任何一个开发人员都是一件必要的知识。