17370845950

应根据数据来源和使用方选择：Python内部暂存用pickle，跨语言或外部输入用json；pickle不安全，json需预处理类型。

Python中对象序列化主要用 _pickle（通常简写为 pickle）和 json，二者用途不同、限制不同、安全性也不同。选错方式可能导致数据无法读取、程序崩溃，甚至远程代码执行风险。

pickle 适合 Python 内部数据交换

pickle 是 Python 原生序列化模块，能完整保存任意 Python 对象（如函数、类实例、嵌套对象等），反序列化时可恢复原始类型和行为。

• 支持自定义类，只要类定义在反序列化环境里存在即可
• 可处理循环引用、多次出现的同一对象（保持引用关系）
• 默认协议版本随 Python 升级变化，跨版本读取需显式指定兼容协议（如 protocol=4）
• 不安全：反序列化不可信数据会执行任意代码，禁止用于网络传输或用户输入

json 适合跨语言、结构化数据交换

json 是通用文本格式，只支持基础数据类型：字典、列表、字符串、数字、布尔值和 None。它不能直接保存 Python 特有对象（如 datetime、set、自定义类实例）。

• 生成的文件人眼可读，方便调试和人工编辑
• 天然支持 Web API、配置文件、前端交互等场景
• 可通过自定义 JSONEncoder 和 JSONDecoder 扩展支持更多类型（例如把 datetime 转成 ISO 字符串）
• 无执行风险，适合处理外部输入

常见误用与绕过技巧

遇到“Object of type X is not JSON serializable”错误，不是该换 pickle，而是该适配 json。

• 用 default 参数告诉 json.dumps() 遇到未知类型怎么转（如 lambda obj: obj.isoformat() if isinstance(obj, datetime) else str(obj)）
• 对 set、tuple 等，提前转成 list；对自定义对象，定义 to_dict() 方法再序列化
• 需要保留类型信息又想用 json，可加字段标记类型（如 {"_type": "Point", "x": 1, "y": 2}），反序列化时按需构造

什么时候该选哪个？

看数据来源和使用方：

• 只在同一个 Python 程序内暂存中间状态（如缓存、进程间通信）→ 用 pickle
• 要发给 JavaScript、Go 或配置文件 → 必须用 json，并做好类型预处理
• 要存二进制高效、压缩小、不在乎可读性 → 可考虑 pickle + gzip
• 不确定数据来源是否可信 → 永远别用 pickle.loads()，优先用 json 或严格校验后的 pickle