应根据数据来源和使用方选择:Python内部暂存用pickle,跨语言或外部输入用json;pickle不安全,json需预处理类型。
Python中对象序列化主要用 _pickle(通常简写为 pickle)和 json,二者用途不同、限制不同、安全性也不同。选错方式可能导致数据无法读取、程序崩溃,甚至远程代码执行风险。
pickle 适合 Python 内部数据交换
pickle 是 Python 原生序列化模块,能完整保存任意 Python 对象(如函数、类实例、嵌套对象等),反序列化时可恢复原始类型和行为。
- 支持自定义类,只要类定义在反序列化环境里存在即可
- 可处理循环引用、多次出现的同一对象(保持引用关系)
- 默认协议版本随 Python 升级变化,跨版本读取需显式指定兼容协议(如
protocol=4) - 不安全:反序列化不可信数据会执行任意代码,禁止用于网络传输或用户输入
json 适合跨语言、结构化数据交换
json 是通用文本格式,只支持基础数据类型:字典、列表、字符串、数字、布尔值和 None。它不能直接保存 Python 特有对象(如 datetime、set、自定义类实例)。
- 生成的文件人眼可读,方便调试和人工编辑
- 天然支持 Web API、配置文件、前端交互等场景
- 可通过自定义
JSONEncoder和JSONDecoder扩展支持更多类型(例如把datetime转成 ISO 字符串) - 无执行风险,适合处理外部输入
常见误用与绕过技巧
遇到“Object of type X is not JSON serializable”错误,不是该换 pickle,而是该适配 json。
立即学习“Python免费学习笔记(深入)”;
- 用
default参数告诉json.dumps()遇到未知类型怎么转(如lambda obj: obj.isoformat() if isinstance(obj, datetime) else str(obj)) - 对
set、tuple等,提前转成list;对自定义对象,定义to_dict()方法再序列化 - 需要保留类型信息又想用 json,可加字段标记类型(如
{"_type": "Point", "x": 1, "y": 2}),反序列化时按需构造
什么时候该选哪个?
看数据来源和使用方:
- 只在同一个 Python 程序内暂存中间状态(如缓存、进程间通信)→ 用
pickle - 要发给 JavaScript、Go 或配置文件 → 必须用
json,并做好类型预处理 - 要存二进制高效、压缩小、不在乎可读性 → 可考虑
pickle+gzip - 不确定数据来源是否可信 → 永远别用
pickle.loads(),优先用json或严格校验后的pickle
