【PHP8.x】LogicException::__wakeup()メソッドの使い方

__wakeupメソッドの使い方について、初心者にもわかりやすく解説します。

作成日: 2025年09月11日更新日: 2025年12月16日

基本的な使い方

『__wakeupメソッドは、シリアライズされたLogicExceptionオブジェクトがデシリアライズされることを防ぐ目的で、例外を発生させる処理を実行するメソッドです。PHPには、オブジェクトの状態を文字列として保存する「シリアライズ」と、その文字列からオブジェクトを復元する「デシリアライズ」という機能があります。しかし、LogicExceptionのような例外オブジェクトは、エラー発生時のコールスタックなど、プログラムの特定の実行状態に強く依存した情報を含んでいます。このようなオブジェクトを異なる状況で安易に復元することは、予期せぬ動作やセキュリティ上の問題を引き起こす可能性があります。このリスクを避けるため、PHPの設計では例外オブジェクトのデシリアライズは原則として禁止されています。もし開発者が誤ってunserialize関数を用いてLogicExceptionオブジェクトを復元しようとすると、この__wakeupメソッドが自動的に呼び出され、「デシリアライズは許可されていません」という趣旨の例外をスローして処理を強制的に停止させます。これにより、アプリケーションの安全性が保たれる仕組みになっています。』

構文(syntax)


1<?php
2
3final class Exception
4{
5    /* ... */
6
7    /**
8     * @return void
9     */
10    final public function __wakeup()
11    {
12        // Deserialization of 'Exception' is not allowed
13    }
14
15    /* ... */
16}
17
18// LogicExceptionはExceptionを継承しているため、
19// finalである__wakeup()メソッドも継承します。
20// したがって、LogicExceptionのインスタンスをデシリアライズしようとすると
21// __wakeup()が呼び出され、エラーとなります。

引数(parameters)

引数なし

引数はありません

戻り値(return)

戻り値なし

戻り値はありません

サンプルコード

PHPの__wakeupメソッドバイパスを検証する


1<?php
2
3/**
4 * 通常のクラス。__wakeupマジックメソッドの動作を確認します。
5 */
6class NormalClass
7{
8    public function __wakeup(): void
9    {
10        // unserialize()が実行されると、このメソッドが自動的に呼び出されます。
11        echo "NormalClass::__wakeup() が呼び出されました。" . PHP_EOL;
12    }
13}
14
15/**
16 * LogicExceptionを継承したカスタム例外クラス。
17 * Exceptionおよびそのサブクラスの特殊な動作を確認します。
18 */
19class MyLogicException extends LogicException
20{
21    public function __wakeup(): void
22    {
23        // Exceptionやそのサブクラスでは、__wakeup() は呼び出されません（バイパスされます）。
24        // これはPHPの仕様であり、セキュリティ上の理由によるものです。
25        // そのため、このメッセージは表示されません。
26        echo "MyLogicException::__wakeup() が呼び出されました。" . PHP_EOL;
27    }
28}
29
30// 1. 通常のクラスのインスタンスをシリアライズ・デシリアライズする
31echo "--- 通常のクラスのテスト ---" . PHP_EOL;
32$normal = new NormalClass();
33$serializedNormal = serialize($normal);
34unserialize($serializedNormal); // ここで __wakeup() が呼び出される
35
36echo PHP_EOL;
37
38// 2. LogicExceptionを継承したクラスのインスタンスをシリアライズ・デシリアライズする
39echo "--- LogicExceptionサブクラスのテスト ---" . PHP_EOL;
40$exception = new MyLogicException("エラーメッセージ");
41$serializedException = serialize($exception);
42unserialize($serializedException); // ここでは __wakeup() は呼び出されない
43
44echo "LogicExceptionサブクラスのデシリアライズが完了しました。" . PHP_EOL;
45
46?>

__wakeupは、PHPのマジックメソッドの一つで、unserialize()関数によってシリアライズされた文字列からオブジェクトが復元される際に、自動的に呼び出されます。このメソッドは、オブジェクトが復元された直後に行いたい初期化処理などを記述するために利用されます。引数はなく、戻り値もありません。

しかし、LogicExceptionクラスおよび、その親クラスであるExceptionを継承したクラスでは、この__wakeupメソッドの挙動が異なります。セキュリティ上の理由から、これらの例外クラスではunserialize()を実行しても__wakeupメソッドは呼び出されません。これは意図的な仕様であり、デシリアライズ処理を悪用した攻撃を防ぐための措置です。

提示されたサンプルコードでは、この違いが示されています。NormalClassのインスタンスをデシリアライズすると__wakeupが実行されメッセージが表示されますが、LogicExceptionを継承したMyLogicExceptionでは__wakeupがバイパスされるため、メッセージは表示されません。このように、例外オブジェクトでは__wakeupによる初期化処理が実行されない点に注意が必要です。

__wakeupは、unserialize()関数でオブジェクトを復元する際に自動的に呼び出されるメソッドで、リソースの再接続などの初期化処理に使われます。しかし、重要な注意点として、Exceptionクラスや、サンプルコードのLogicExceptionのようにそれを継承したクラスでは、この__wakeupメソッドは呼び出されません。これはPHPの仕様であり、セキュリティ上の理由から、デシリアライズ時に意図しないコードが実行されるのを防ぐためのものです。したがって、自作の例外クラスにデシリアライズ時の初期化処理を__wakeupで実装しても、その処理は実行されないことを覚えておく必要があります。この特殊な動作を知らないと、期待通りにプログラムが動かない原因になるため注意してください。

PHP 8: LogicException::__wakeup が例外をスローする


1<?php
2
3declare(strict_types=1);
4
5/**
6 * LogicException オブジェクトをデシリアライズしようとすると、
7 * __wakeup() マジックメソッドが例外をスローすることを示すサンプルです。
8 *
9 * PHP 8以降、セキュリティ上の理由から Exception クラスとそのサブクラスの
10 * デシリアライズはデフォルトで禁止されています。
11 * unserialize() が呼び出されると、__wakeup() メソッドが自動的に実行され、
12 * 例外を発生させて処理を中断します。
13 */
14class WakeupExample
15{
16    /**
17     * サンプルコードを実行します。
18     */
19    public static function run(): void
20    {
21        // 1. LogicException のインスタンスを作成します。
22        $originalException = new LogicException('これはテスト用の例外です。');
23        echo 'Step 1: LogicExceptionオブジェクトを作成しました。' . PHP_EOL;
24
25        // 2. 作成した例外オブジェクトをシリアライズ（文字列に変換）します。
26        $serializedData = serialize($originalException);
27        echo 'Step 2: オブジェクトをシリアライズしました。' . PHP_EOL;
28        // echo $serializedData . PHP_EOL; // シリアライズされたデータ（デバッグ用）
29
30        // 3. シリアライズされたデータをデシリアライズ（オブジェクトに復元）しようとします。
31        // ここで LogicException::__wakeup() が呼び出され、例外がスローされます。
32        try {
33            echo 'Step 3: デシリアライズを試みます...' . PHP_EOL;
34            unserialize($serializedData);
35        } catch (Exception $e) {
36            // 4. __wakeup() によってスローされた例外をキャッチします。
37            echo 'Step 4: デシリアライズ中にエラーが発生しました。' . PHP_EOL;
38            echo '--------------------------------------------------' . PHP_EOL;
39            echo 'エラーメッセージ: ' . $e->getMessage() . PHP_EOL;
40            echo 'これは、LogicException::__wakeupが意図的に発生させた例外です。' . PHP_EOL;
41            echo '--------------------------------------------------' . PHP_EOL;
42        }
43    }
44}
45
46// サンプルコードの実行
47WakeupExample::run();

このサンプルコードは、LogicExceptionクラスに定義されている__wakeupメソッドの動作を解説するものです。__wakeupは、unserialize()関数によってシリアライズされたデータ（文字列）からオブジェクトが復元される際に、自動的に呼び出されるPHPの特別なメソッドです。このメソッドは引数を受け取らず、戻り値もありません。

PHP 8以降では、セキュリティ上の理由から、Exceptionクラスおよびその派生クラス（この例のLogicExceptionなど）をデシリアライズすることは、デフォルトで禁止されています。この制限は__wakeupメソッドの働きによって実現されています。

コードでは、まずLogicExceptionオブジェクトを作成し、serialize()関数で文字列に変換します。次に、その文字列をunserialize()関数でオブジェクトに復元しようとすると、内部でLogicException::__wakeupメソッドが自動的に呼び出されます。このメソッドは、デシリアライズ処理を安全に中断させるため、意図的に例外を発生させるように実装されています。その結果、tryブロックの処理は中断され、catchブロックが実行されてエラーメッセージが表示されます。このように、__wakeupは例外オブジェクトの不正な復元を防ぐための安全機構として機能します。

__wakeup は、unserialize 関数でオブジェクトを復元する際に自動的に呼び出される特殊なメソッドです。PHP 8以降、セキュリティが強化され、LogicException のような例外クラスをデシリアライズしようとすると、この __wakeup メソッドが意図的にエラーを発生させる仕様になりました。これは、信頼できない文字列データから予期せぬオブジェクトが生成され、脆弱性の原因となることを防ぐための措置です。そのため、例外オブジェクトをシリアライズして再利用する設計は基本的に避けるべきです。もしデシリアライズを試みる場合は、サンプルコードのように必ず try-catch 構文でエラー処理を行い、プログラムが意図せず停止しないように注意してください。