Beyond JSON: Memahami Serialization String Asli PHP

Serialization asli PHP lebih sesuai untuk penyimpanan dan penghantaran data dalaman PHP daripada JSON, 1. Kerana ia dapat mengekalkan jenis data lengkap (seperti int, float, bool, dll.); 2. Menyokong sifat objek swasta dan dilindungi; 3. Boleh mengendalikan rujukan rekursif dengan selamat; 4. Tidak ada keperluan untuk penukaran jenis manual apabila deserializing; 5. Ia biasanya lebih baik daripada JSON dalam prestasi; Tetapi ia tidak boleh digunakan dalam senario silang bahasa, dan unserialize () tidak boleh dipanggil untuk input yang tidak dipercayai untuk mengelakkan pencetus serangan pelaksanaan kod jauh. Adalah disyorkan untuk menggunakannya apabila ia terhad kepada persekitaran PHP dan memerlukan data kesetiaan tinggi.

Apabila bekerja dengan penyimpanan atau penghantaran data di PHP, pemaju sering mencapai JSON sebagai format lalai. Ia boleh dibaca manusia, disokong secara meluas, dan bahasa-agnostik. Tetapi PHP mempunyai mekanisme bersiri asalnya sendiri yang sudah lebih lama dan menawarkan kelebihan yang unik-terutama ketika berurusan dengan jenis data khusus PHP yang kompleks. Mari kita lihat di luar JSON dan meneroka serialisasi rentetan asli PHP.

Apakah Serialization Native PHP?

Fungsi serialize() dan unserialize() PHP menukar pembolehubah PHP - termasuk tatasusunan, objek, sumber (dengan batasan), dan juga penutupan (dengan penyelesaian) - ke dalam format rentetan penyimpanan. Tidak seperti JSON, yang terhad kepada jenis asas (rentetan, nombor, tatasusunan, objek), Serialization PHP mengekalkan jenis maklumat dan struktur objek.

Contohnya:

 $ data = [
    'Nama' => 'Alice',
    'umur' => 30,
    'tags' => ['pemaju', 'php'],
    'aktif' => benar,
    'Baki' => 99.99
];

$ bersiri = bersiri ($ data);
echo $ bersiri;

Output:

 A: 4: {S: 4: "Nama"; S: 5: "Alice"; S: 3: "Umur"; i: 30;

Rentetan ini tidak hanya struktur, tetapi jenis - rentetan, integer ( s i , boolean ( b ), beregu ( d ), dan tatasusunan ( a ). JSON akan kehilangan beberapa kesetiaan ini, terutamanya dengan terapung vs INTS atau struktur bersarang kompleks.

Kelebihan utama ke atas JSON

• Memelihara Jenis PHP : JSON merawat segala -galanya sebagai nombor, rentetan, boolean, dan lain -lain, tanpa membezakan antara int dan float. Serialization PHP tidak.
• Menyokong sifat objek swasta dan dilindungi : Apabila bersiri objek, PHP menyimpan maklumat penglihatan utuh.
• Mengendalikan rekursi dengan selamat : Jika rujukan array atau objek itu sendiri, serialize() mengendalikannya dengan anggun (menandakannya sebagai rekursif), manakala json_encode() akan gagal.
• Tiada jenis pemutus manual pada decode : dengan json_decode() , anda sering perlu secara manual membuang nilai kerana semuanya kembali sebagai rentetan atau terapung. Unserialization asli mengembalikan jenis asal secara automatik.

Contoh rekursi:

 $ arr = [1, 2];
$ arr [] = & $ arr; // Rujukan diri
echo bersiri ($ arr);
// output: a: 3: {i: 0; i: 1; i: 1; i: 1; i: 2; i: 2; r: 2;}

r:2 bermaksud "merujuk kepada pembolehubah pada kedudukan 2" - sesuatu yang tidak dapat diwakili oleh JSON.

Bagaimana ia berfungsi di bawah tudung

Rentetan bersiri menggunakan format padat di mana setiap nilai diawali dengan:

• Pengenalpastian jenis ( a = array, s = string, i = int, b = bool, d = double, O = objek, dll.)
• Panjang/jenis metadata
• Nilai sebenar

Kerosakan Struktur:

 A: 2: {s: 3: "foo"; s: 3: "bar"; s: 3: "baz"; s: 5: "quux";}

→ pelbagai 2 elemen:
"foo" => "bar"
"baz" => "quux"

Format ini tidak mesra manusia , tetapi ia tepat dan cekap untuk komunikasi PHP-to-PHP.

Bila Menggunakan Serialization Native (dan ketika tidak)

Gunakan Serialization PHP ketika:

• Menyimpan data dalam persekitaran PHP sahaja (misalnya, penyimpanan sesi, backend cache seperti APCU atau REDIS digunakan secara dalaman)
• Anda perlu mengekalkan keadaan objek, sifat peribadi, atau kesetiaan jenis yang tepat
• Bekerja dengan struktur data rekursif
• Perkara Prestasi- serialize() sering lebih cepat daripada json_encode() / json_decode() untuk data php-native kompleks

Elakkan ketika:

• Berkongsi data dengan bahasa lain atau API - JSON adalah standard dan beroperasi
• Keselamatan adalah kebimbangan - unserialize() boleh berbahaya jika digunakan pada input yang tidak dipercayai (membawa kepada serangan suntikan objek)
• Anda memerlukan kebolehbacaan atau kemudahan debugging

⚠️ Jangan sekali -kali menggunakan unserialize() pada input pengguna. Beban yang berniat jahat boleh meneliti objek sewenang -wenang dan mencetuskan pemusnah, yang membawa kepada RCE (pelaksanaan kod jauh) dalam tetapan terdedah.

Alternatif dan amalan terbaik

Sekiranya anda memerlukan lebih banyak kawalan atau keselamatan, pertimbangkan:

• JSON - Untuk Interoperability and Safety
• Igbinary -Serializer binari (alternatif untuk serialize ) yang lebih padat dan lebih cepat, tetapi masih php sahaja
• MessagePack -Format binari yang cepat dan padat dengan sokongan silang bahasa
• DTOS tersuai dengan pengekodan/penyahkodan eksplisit - untuk sistem kritikal di mana masalah ramalan

Untuk penyimpanan yang selamat, sentiasa mengesahkan dan membersihkan sebelum bersiri, dan tidak pernah mempercayai data yang tidak disahkan dari sumber luaran.

Pada asasnya, serialisasi asli PHP adalah kuat dan kurang dihargai - terutamanya apabila anda mendalam dalam ekosistem PHP. Walaupun JSON menang untuk mudah alih, serialize() memberi anda kesetiaan jenis yang lebih kaya dan mengendalikan kes kelebihan yang tidak boleh dilakukan oleh JSON. Ingatlah: Kekuatan yang hebat datang dengan tanggungjawab yang besar, terutamanya di sekitar unserialize() .

Atas ialah kandungan terperinci Beyond JSON: Memahami Serialization String Asli PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!