【PHP8.x】DOMEntity::__wakeup()メソッドの使い方

Copy
1<?php
2
3/**
4 * __wakeup マジックメソッドの動作を示すデモクラス
5 *
6 * __wakeup は unserialize() によってオブジェクトが復元される際に
7 * 自動的に呼び出されるメソッドです。リソースの再接続や再初期化などに利用されます。
8 *
9 * キーワード「bypass」は、古いPHPバージョンに存在した、
10 * 不正なシリアル化データによってこのメソッドの呼び出しを回避できてしまう脆弱性を指します。
11 * この脆弱性は現在のPHPバージョン（PHP 8など）では修正されています。
12 */
13class MyResource
14{
15    private bool $isReady = false;
16
17    /**
18     * unserialize() 時に自動的に呼び出されるマジックメソッドです。
19     * オブジェクトの復元時に、利用可能な状態に復帰させます。
20     */
21    public function __wakeup(): void
22    {
23        echo "__wakeup() が呼び出されました。リソースを準備します。\n";
24        $this->initialize();
25    }
26
27    /**
28     * リソースの初期化処理をシミュレートします。
29     */
30    public function initialize(): void
31    {
32        $this->isReady = true;
33    }
34
35    /**
36     * リソースが利用可能かどうかの状態を返します。
37     */
38    public function isReady(): bool
39    {
40        return $this->isReady;
41    }
42}
43
44// 1. オブジェクトをインスタンス化します。この時点では __wakeup() は呼ばれません。
45$resource = new MyResource();
46echo 'シリアライズ前の状態: ' . ($resource->isReady() ? '準備完了' : '未準備') . "\n";
47
48// 2. オブジェクトをシリアライズ（文字列に変換）します。
49$serializedData = serialize($resource);
50echo 'シリアライズされたデータ: ' . $serializedData . "\n";
51
52// 3. 文字列からオブジェクトを復元します。
53// この unserialize() の過程で、__wakeup() メソッドが自動的に呼び出されます。
54$restoredResource = unserialize($serializedData);
55
56// 4. 復元されたオブジェクトの状態を確認します。
57// __wakeup() が実行されたため、isReady() は true を返します。
58echo 'デシリアライズ後の状態: ' . ($restoredResource->isReady() ? '準備完了' : '未準備') . "\n";
59
60?>

PHPの__wakeupメソッドは、unserialize()関数によってシリアル化された文字列からオブジェクトが復元される際に、自動的に呼び出される特殊なメソッドです。このメソッドは、データベース接続の再確立や、一時的に失われたリソースの再初期化など、オブジェクトが復元された直後に行うべき処理を定義するために使用されます。

このサンプルコードでは、MyResourceクラスのオブジェクトをserialize()で一度文字列に変換し、その後unserialize()でオブジェクトとして復元しています。unserialize()が実行されると、MyResourceクラスに定義された__wakeupメソッドが自動的にトリガーされます。その結果、内部のプロパティが初期化され、復元後のオブジェクトは「準備完了」の状態になります。__wakeupメソッドは引数を持たず、戻り値もありません（void）。

キーワードにある「bypass」とは、古いPHPバージョンに存在した脆弱性の名称です。特定の細工を施したシリアル化データを渡すことで__wakeupの実行を回避できてしまう問題がありましたが、この脆弱性はPHP 8を含む現在のバージョンでは修正されています。

Copy
1<?php
2
3declare(strict_types=1);
4
5/**
6 * __wakeup マジックメソッドの使用例を示すクラス
7 *
8 * オブジェクトが unserialize() によって復元される際に、
9 * データベース接続などのリソースを再初期化する処理を想定しています。
10 *
11 * 注意: リファレンスに記載のある DOMEntity のような PHP の内部クラスの一部では、
12 * オブジェクトの状態を復元することが困難または危険なため、__wakeup 時に
13 * 意図的に例外をスローし、アンシリアライズを禁止しています。
14 * このサンプルは、__wakeup の一般的な使い方を説明するためのものです。
15 */
16class DatabaseConnector
17{
18    /** @var string 接続情報 */
19    private string $dsn;
20
21    /** @var ?stdClass データベース接続リソース (シリアライズされない) */
22    private ?stdClass $connection = null;
23
24    public function __construct(string $dsn)
25    {
26        $this->dsn = $dsn;
27        $this->connect();
28    }
29
30    /**
31     * オブジェクトが serialize される際に呼び出されるマジックメソッド。
32     * シリアライズするプロパティ名の配列を返す。
33     * ここでは接続リソース ($connection) を除外している。
34     * @return string[]
35     */
36    public function __sleep(): array
37    {
38        echo "__sleep: 接続を切断し、接続情報 (dsn) のみを保存します。" . PHP_EOL;
39        $this->connection = null;
40        return ['dsn'];
41    }
42
43    /**
44     * オブジェクトが unserialize される際に呼び出されるマジックメソッド。
45     *
46     * このメソッドは、シリアライズされたデータからオブジェクトが復元された後に
47     * 自動的に実行されます。データベース接続の再確立など、
48     * オブジェクトが有効な状態に戻るために必要な初期化処理をここで行います。
49     */
50    public function __wakeup(): void
51    {
52        echo "__wakeup: オブジェクトが復元されたので、再度データベースに接続します。" . PHP_EOL;
53        $this->connect();
54    }
55
56    /**
57     * データベースへの接続を試みる（このサンプルではダミー処理）。
58     */
59    public function connect(): void
60    {
61        // 実際には new PDO($this->dsn) のような処理が入る
62        // このサンプルでは、接続状態を模倣するためにオブジェクトを代入
63        $this->connection = new stdClass();
64        echo "データベースに接続しました。({$this->dsn})" . PHP_EOL;
65    }
66
67    /**
68     * 接続状態を確認するメソッド。
69     * @return bool
70     */
71    public function isConnected(): bool
72    {
73        return $this->connection !== null;
74    }
75}
76
77// 1. オブジェクトを生成し、接続状態を確認
78echo "--- オブジェクト生成 ---" . PHP_EOL;
79$connector = new DatabaseConnector('mysql:host=localhost;dbname=test');
80echo '接続状態: ' . ($connector->isConnected() ? 'OK' : 'NG') . PHP_EOL;
81echo PHP_EOL;
82
83// 2. オブジェクトをシリアライズ（文字列に変換）
84// この過程で __sleep() が呼ばれ、接続 ($connection) が破棄される
85echo "--- シリアライズ ---" . PHP_EOL;
86$serialized = serialize($connector);
87echo "シリアライズ後のデータ: " . $serialized . PHP_EOL;
88echo PHP_EOL;
89
90// 3. シリアライズされた文字列からオブジェクトを復元
91// この過程で __wakeup() が呼ばれ、再度接続が確立される
92echo "--- アンシリアライズ ---" . PHP_EOL;
93$restoredConnector = unserialize($serialized);
94
95// 4. 復元されたオブジェクトの接続状態を確認
96echo '復元後の接続状態: ' . ($restoredConnector->isConnected() ? 'OK' : 'NG') . PHP_EOL;
97
98?>

PHPの__wakeupは、unserialize()関数によってシリアライズされた文字列からオブジェクトが復元される際に、自動的に呼び出されるマジックメソッドです。このメソッドは、オブジェクトが再び利用可能な状態に戻るための初期化処理を定義する役割を担います。引数はなく、戻り値もありません（void）。

サンプルコードのDatabaseConnectorクラスは、この仕組みをデータベース接続の管理に応用しています。まずserialize()関数でオブジェクトを文字列化する際、__sleepメソッドが働き、データベース接続のリソースは破棄されます。これは、接続のような特殊な情報はそのまま文字列として保存できないためです。

その後、unserialize()関数で文字列からオブジェクトを復元するタイミングで、__wakeupメソッドが自動的に実行されます。このメソッド内で再度データベースへの接続処理を行うことで、オブジェクトは完全に機能する状態へと復元されます。このように__wakeupは、シリアライズの過程で失われた接続情報などを再確立し、オブジェクトを正しく再構築するために利用されます。