Python序列化选pickle或json取决于场景:pickle支持任意Python对象但不安全、不可跨语言;json安全、跨语言但仅支持基础类型。内部临时存储用pickle,外部交互用json。
Python中序列化对象主要有 pickle 和 json 两种方式,它们用途不同、限制不同、安全性也不同。选错方法可能导致数据无法还原、程序崩溃,甚至被恶意利用。
pickle:Python专属的二进制序列化
pickle 是 Python 原生支持的序列化模块,能保存几乎任意 Python 对象(函数、类实例、嵌套结构等),但只适用于 Python 环境内部使用。
- 生成的是二进制数据(也可用文本协议,但默认不推荐),不能直接阅读或跨语言交换
- 反序列化时会执行任意代码(如构造器、
__setstate__),绝不能加载不可信来源的 pickle 数据 - 不同 Python 版本间兼容性有限,高版本 pickle 的数据可能无法被低版本读取
- 常用方法:
pickle.dump(obj, file)、pickle.load(file)、pickle.dumps(obj)、pickle.loads(bytes)
json:轻量、安全、跨语言的文本序列化
json 模块将数据转为标准 JSON 格式(纯文本),天然支持 Web 交互和多语言协作,但只支持基础数据类型。
- 仅支持
dict、list、str、int、float、bool、None这几种类型;自定义类、函数、datetime、bytes 等需手动转换 - 天生安全:反序列化不会执行代码,适合处理外部输入(如 API 返回、用户上传)
- 生成结果人类可读,便于调试和日志记录
- 常用方法:
json.dump(obj, file)、json.load(file)、json.dumps(obj)、json.loads(str)
怎么选?看场景和数据类型
如果只是临时保存 Python 内部状态(如缓存、进程间传递),且完全控制数据来源,用 pickle 更省事;如果要存配置、传 API、写日志、或与前端/其他语言交互,必须用 json。
立即学习“Python免费学习笔记(深入)”;
- 想保存一个
datetime?json默认不支持,得先转成字符串(如dt.isoformat()),读取时再解析 - 想保存一个带方法的类实例?
json不行,pickle可以,但要注意版本和安全性 - 从网页表单接收 JSON 数据?只能用
json.loads(),用pickle.loads()会报错甚至引发漏洞
小技巧:让 json 支持更多类型
通过 default 参数和自定义 JSONEncoder,可以让 json 处理常见扩展类型。
- 例如把
datetime自动转为 ISO 字符串:json.dumps(obj, default=str)(简单粗暴,适用多数情况) - 更精确的做法是继承
json.JSONEncoder,重写default方法,对不同类型做针对性处理 - 反序列化时没有内置机制,需在业务逻辑里手动识别字段并转换(如检测
"created_at"字段后调用datetime.fromisoformat())
