17370845950

Python序列化选pickle或json取决于场景：pickle支持任意Python对象但不安全、不可跨语言；json安全、跨语言但仅支持基础类型。内部临时存储用pickle，外部交互用json。

Python中序列化对象主要有 pickle 和 json 两种方式，它们用途不同、限制不同、安全性也不同。选错方法可能导致数据无法还原、程序崩溃，甚至被恶意利用。

pickle：Python专属的二进制序列化

pickle 是 Python 原生支持的序列化模块，能保存几乎任意 Python 对象（函数、类实例、嵌套结构等），但只适用于 Python 环境内部使用。

• 生成的是二进制数据（也可用文本协议，但默认不推荐），不能直接阅读或跨语言交换
• 反序列化时会执行任意代码（如构造器、__setstate__），绝不能加载不可信来源的 pickle 数据
• 不同 Python 版本间兼容性有限，高版本 pickle 的数据可能无法被低版本读取
• 常用方法：pickle.dump(obj, file)、pickle.load(file)、pickle.dumps(obj)、pickle.loads(bytes)

json：轻量、安全、跨语言的文本序列化

json 模块将数据转为标准 JSON 格式（纯文本），天然支持 Web 交互和多语言协作，但只支持基础数据类型。

• 仅支持 dict、list、str、int、float、bool、None 这几种类型；自定义类、函数、datetime、bytes 等需手动转换
• 天生安全：反序列化不会执行代码，适合处理外部输入（如 API 返回、用户上传）
• 生成结果人类可读，便于调试和日志记录
• 常用方法：json.dump(obj, file)、json.load(file)、json.dumps(obj)、json.loads(str)

怎么选？看场景和数据类型

如果只是临时保存 Python 内部状态（如缓存、进程间传递），且完全控制数据来源，用 pickle 更省事；如果要存配置、传 API、写日志、或与前端/其他语言交互，必须用 json。

• 想保存一个 datetime？json 默认不支持，得先转成字符串（如 dt.isoformat()），读取时再解析
• 想保存一个带方法的类实例？json 不行，pickle 可以，但要注意版本和安全性
• 从网页表单接收 JSON 数据？只能用 json.loads()，用 pickle.loads() 会报错甚至引发漏洞

小技巧：让 json 支持更多类型

通过 default 参数和自定义 JSONEncoder，可以让 json 处理常见扩展类型。

• 例如把 datetime 自动转为 ISO 字符串：json.dumps(obj, default=str)（简单粗暴，适用多数情况）
• 更精确的做法是继承 json.JSONEncoder，重写 default 方法，对不同类型做针对性处理
• 反序列化时没有内置机制，需在业务逻辑里手动识别字段并转换（如检测 "created_at" 字段后调用 datetime.fromisoformat()）