Python基础教程(五十)序列化:Python序列化,高效与安全的陷阱,开发者必读!

原创 于 2025-08-12 08:11:51 发布 · 354 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #安全 #开发语言

深入 Python 序列化:机制、陷阱与最佳实践

何为序列化?

序列化将内存中的对象状态转换为可存储(文件、数据库)或传输(网络)的格式(字节流/文本),反序列化则是其逆过程。Python 通过多个模块提供此能力,各有侧重。

核心方案深度解析
  1. pickle:Python 原生之力与致命弱点
    • 机制:使用 Python 特定的二进制协议,深度序列化几乎所有内置和自定义类实例(递归处理对象引用)。
    • 优势:极简 API(dump/dumps, load/loads),支持复杂对象图、循环引用。
    • 致命陷阱反序列化等同于代码执行!攻击者可构造恶意 pickle 数据在目标系统执行任意命令。绝对禁止处理来自不可信来源的数据。
    • 适用仅限完全可信环境(如进程间通信、临时缓存)。
  1. json:Web 时代的通用桥梁
    • 机制:将对象转换为 JSON 标准字符串(UTF-8)。核心类型(dict, list, str, int/float, bool, None)直接支持。
    • 优势安全(纯数据结构解析)、跨语言通用、人类可读。
    • 局限不支持 Python 特有类型datetime, set, 自定义类)。需通过 defaultobject_hook 参数手动进行复杂转换。
    • 性能:标准库 json 够用,ujsonorjson(Rust 驱动)可大幅提升速度。
  1. marshal:解释器的底层工具
    • 机制:处理 Python 字节码(.pyc 文件)。支持部分基础类型。
    • 关键限制无版本兼容性保证,不同 Python 版本生成的 marshal 数据可能不互通。官方明确不建议用于通用序列化
    • 适用:Python 解释器内部使用。
  1. yaml:人性化的数据表达
    • 机制:生成/解析 YAML 格式文本(超集)。
    • 优势:极高的可读性,支持丰富数据类型(时间戳等)。
    • 陷阱PyYAMLyaml.load() 同样存在反序列化漏洞风险(类似 pickle),必须使用 yaml.safe_load()性能通常较慢
    • 适用:配置文件、需人工编辑的数据。
  1. 二进制高效协议:msgpack & protobuf
    • msgpack:类似二进制 JSON,高效紧凑,跨语言支持良好。API 类似 json
    • protobuf (Google):需预先定义严格模式(.proto 文件),生成代码。提供极强的版本兼容性、极致性能和极小空间占用。学习曲线较陡,适合大型系统、微服务通信。
关键性能对比 (示意)

方案

安全性

跨语言

支持复杂对象

速度

空间效率

人类可读

pickle

❌ 危险

✅ 优秀

⚡ 快

⚡ 好

json

✅ 安全

✅ 优秀

❌ 有限

◼ 中等

◼ 中等

yaml

⚠ 注意

◼ 较好

🐢 慢

🐢 较差

✅ 优秀

msgpack

✅ 安全

✅ 优秀

◼ 较好

⚡ 很快

⚡ 很好

protobuf

✅ 安全

✅ 优秀

⚠ 需预定义

⚡⚡ 极快

⚡⚡ 极好

安全警示:真实案例

某知名系统因使用 pickle 处理用户上传的模型文件,攻击者注入恶意 pickle 数据,成功在服务器上获取远程 Shell 权限。这就是忽视 pickle 风险的直接代价!

最佳实践指南
  1. 安全第一:绝不使用 pickleyaml.load() 处理外部输入!首选 jsonyaml.safe_load() 或严格定义的二进制协议。
  2. 需求匹配
    • 配置/Web API:用 jsonyaml (安全加载)。
    • 高性能通信/存储:选 msgpackprotobuf
    • 可信环境临时缓存:可谨慎使用 pickle (指定协议版本)。
  1. 性能优化:对高频操作,测试 orjsonmsgspec 等替代库。
  2. 版本兼容:长期存储时,考虑数据格式的未来可读性(pickle 最差)。
  3. 自定义对象:为 json 等实现 __json__ 方法或使用 dataclasses 配合定制编码器。

Python序列化既是桥梁也是雷区。pickle的便捷暗藏代码执行漏洞,json的通用性牺牲了复杂对象支持,yaml的可读性伴随性能代价。真正的工程智慧在于洞察场景:微服务通信首选Protobuf的极致效率,配置文件采用YAML的清晰结构,而任何涉及用户输入的场景必须彻底禁用pickle 当你在json.dumps()pickle.dumps()之间抉择时,选择的不仅是技术方案,更是系统的安全基因。

掌握序列化机制的优劣,根据场景做出安全、高效的选择,是 Python 开发者进阶的必备技能。

python中的序列化
fate252的博客
11-22 363
序列化(picking) 把不方便存储或不可传输的对象转换为可存储或可传输的数据的过程称之为序列化序列化之后,就可以把序列化后的内容写入磁盘,或者通过网络传输到别的机器上。反过来,把从磁盘或网络得到的序列化数据重建为对象的过程称之为反序列化(unpickling)。序列化和反序列化更像是为了存储或传输通用性的编码和解码的过程。 举例:网络游戏魔兽争霸有一个存档的功能,当每次不想玩的时候就可以存档...
Python序列化
沉觞的博客
07-10 911
序列化pickleJson pickle 在程序运行的过程中,所有的变量都是在内存中,比如定义一个dict dict1 = {name:"lili",age:18} 在这里我把name进行修改,改成”leilei“,但是一旦程序结束,变量所占用的内存就会被操作系统全部回收,如果没有把修改的name存到磁盘上,下次name初始化的时候又是”lili“ 在这里我们把变量从内存中变成可存储或者传输的过程称之为序列化,在 python 中叫 picking,序列化之后,我们就可以把序列化后的内容写入磁盘,或是通过
python 序列化
喵酱
02-17 708
python实现序列化&反序列化
python--序列化
Medlen
08-20 358
因为想要说的都写在了注释里面,所以直接粘代码(偷个懒,嘻嘻~~)。 # 序列化:把内存中的变量转换成可存储或者传输的过程 #一、python中的序列化方法 pickle 模块,仅可用于python import pickle #定义一个dict对象 d = dict(name='Bob',age=20,score=80) # 序列化 print(pickle.dumps(d)) #直接序列化 ...
Python开发者必读:掌握token解析器编写技巧实战案例
[Python开发者必读:掌握token解析器编写技巧实战案例](https://benjam.info/blog/posts/2019-09-18-python-deep-dive-tokenizer/tokenizer-abstract.png) # 1. Token解析器基础概念 ## 1.1 Token解析器的角色...
Python开发者必读:bisect模块深度解析性能提升案例
Python的程序设计中,`bisect`模块是一个十分实用且高效的工具,它主要提供了基于二分查找算法的插入操作,用于在有序序列中插入新元素,而不破坏原有序列的有序性。该模块的名称取自于"二分搜索"(binary search...
新手Python开发者必读:一步步深入学习builtins模块
[新手Python开发者必读:一步步深入学习builtins模块](https://blog.finxter.com/wp-content/uploads/2021/02/set-1-1024x576.jpg) # 1. Python builtins模块概述 Python的`builtins`模块是Python核心的一部分,它...
掌握Python日志处理ELK集成:面试实战必读
Python日志基础最佳实践涵盖了日志系统的核心作用、Python内置logging模块print调试的比较、日志级别的设计原则、日志格式的标准化、日志上下文的传递方法、日志文件的组织策略、日志性能的优化方法、日志安全的...
Python表白代码的学习资源推荐:必读书籍顶尖网站
本文全面概述了Python的基础知识、基本语法和数据结构,并结合实用案例,深入解析了如何利用Python进行表白代码的创作。同时,探讨了编写高效和优雅代码的策略,并强调了错误处理测试的重要性
详解Python中的序列化(简单易懂版)
热门推荐
Elon15的博客
11-03 1万+
详解Python中的序列化(简单易懂版)
深入解析 Python 的数据序列化技术
2501_91117634的博客
03-28 435
数据序列化是一种将复杂的数据结构转化为字符串或其他格式的过程,以便于存储到文件、数据库或者通过网络进行传输。在反序列化过程中,又将这些字符串还原成原来的数据结构。这一过程对于分布式系统尤为重要,因为它允许程序间以一种统一的方式交换信息。Python 提供了丰富的序列化选项,每种技术都有其适用场景。选择合适的序列化方式取决于具体的应用需求。无论是简单的数据交换还是复杂的对象持久化,Python 都能提供相应的解决方案。希望本文能够帮助您更好地理解和应用 Python 的数据序列化技术!```
python对象序列化相对安全的方法_序列化Python对象的方法
weixin_29470893的博客
02-10 342
问题你需要将一个python对象序列化为一个字节流,以便将它保存到一个文件、存储到数据库或者通过网络传输它。解决方案对于序列化最普遍的做法就是使用 pickle 模块。为了将一个对象保存到一个文件中,可以这样做:import pickledata = ... # some python objectf = open('somefile', 'wb')pickle.dump(data, f)为了将一...
Python学习之——序列化序列化
最新发布
selfsongs
07-17 948
Python学习之——序列化序列化
Python序列化安全问题
weixin_34049948的博客
02-02 285
Python序列化安全问题(一) 这一段时间使用flask做web开发,使用了redis存储session,阅读了flask_session源码,发现在存储session到redis过程中,利用了cPickle模块进行序列化以及反序列化;正好根据该样例学习一波Python序列化相关的安全问题,不足之处请各位表哥指出。 一、基础知识...
python: 序列化/反序列化及漏洞分析
YSS_33521的博客
03-15 1699
python: 序列化/反序列化及对象的深拷贝/浅拷贝 一、序列化/反序列化 python中内置了很多序列化/反序列化的方式,最常用的有json、pickle、marshal这三种,示例用法如下: import json import pickle import marshal author1 = {"name": "菩提树下的杨过", "blog": "http://yjmyzz.cnblo...
python序列化序列化
景天科技苑
01-10 1974
序列化: 把不能够直接存储在文件中的数据变得可存储。 反序列化: 把存储在文件中的数据拿出来恢复成原来的数据类型
Python 序列化序列化
lIujunXHU的博客
04-11 2378
通过文件操作,可将字符串写入到一个本地文件,但是无法将一个对象,如字典,列表,元组直接写入到一个文件里,这是就需要将这个对象进行序列化,然后写入文件。把内存中的数据转换为字节序列,保存到文件。从文件的字节序列恢复到内存中。字符串 byte 类型之间互相转换常用的 encode() 函数、 decode() 函数,分别代表着编码解码。在Python中有两个模块可以实现序列化和非序列化,分别是json 和 pickle,下面分别说明两者的使用和区别。
PythonPython 中实现数据序列化
weixin_44211968的博客
11-30 4670
本文介绍了如何在 Python 中实现数据序列化
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

值引力

持续创作,多谢支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值