【PHP8.x】__wakeupメソッドの使い方

『__wakeupメソッドは、シリアライズされたRangeExceptionオブジェクトのデシリアライズ（復元）を防止するメソッドです。PHPには、serialize関数を使ってオブジェクトの状態を文字列として保存し、unserialize関数でその文字列からオブジェクトを復元する仕組みがあります。__wakeupはマジックメソッドの一つで、unserialize関数によってオブジェクトが復元された直後に自動的に呼び出されます。通常、このメソッドはデータベース接続の再確立など、復元後の初期化処理を記述するために使用されます。しかし、RangeExceptionを含むPHPの組み込み例外クラスでは、セキュリティ上の理由からデシリアライズが意図的に禁止されています。もしシリアライズされたRangeExceptionオブジェクトをunserializeしようとすると、この__wakeupメソッドが呼び出され、処理を中断して新たにExceptionがスローされます。これは、悪意を持って改ざんされたシリアライズデータからオブジェクトが復元されることで、予期せぬ脆弱性が生まれることを防ぐための安全対策です。したがって、このメソッドの存在により、RangeExceptionオブジェクトはデシリアライズできないことが保証されています。

Copy
1<?php
2
3// RangeExceptionは、内部的にfinalな__wakeup()を持つためアンシリアライズできない
4try {
5    $serialized = serialize(new RangeException('範囲外です'));
6    unserialize($serialized);
7} catch (Exception $e) {
8    // "Exception: Unserialization of 'RangeException' is not allowed"
9    echo $e->getMessage();
10}

引数なし

引数はありません

void

__wakeupメソッドは、オブジェクトがunserialize()された後に呼び出されます。このメソッドは、オブジェクトを再初期化する目的で使用され、戻り値はありません。