主要应用场景：

• 数据持久化：将对象保存到文件或数据库中
• 网络传输：在客户端和服务器之间传输对象
• 进程间通信：在不同进程间传递对象
• 缓存：将对象缓存到内存或磁盘

基本用法示例：

import pickle

# 定义一个示例类
class User:
    def __init__(self, name, email, age):
        self.name = name
        self.email = email
        self.age = age
        
    def __repr__(self):
        return f"User(name='{self.name}', email='{self.email}', age={self.age})"

# 创建对象
user = User("张三", "zhangsan@example.com", 28)

# 序列化到文件
with open("user.pickle", "wb") as f:
    pickle.dump(user, f)

# 从文件反序列化
with open("user.pickle", "rb") as f:
    loaded_user = pickle.load(f)

print(loaded_user)  # 输出: User(name='张三', email='zhangsan@example.com', age=28)

pickle模块特点：

• 支持几乎所有Python数据类型
• 生成的是二进制格式，不可读
• 只能用于Python环境
• 存在安全风险（可能执行任意代码）
• 支持协议版本（默认为最高版本）

基本用法示例：

import json

# Python对象
data = {
    "name": "张三",
    "age": 28,
    "married": False,
    "hobbies": ["阅读", "游泳", "编程"],
    "address": {
        "city": "北京",
        "street": "中关村大街"
    }
}

# 序列化到文件
with open("data.json", "w", encoding="utf-8") as f:
    json.dump(data, f, ensure_ascii=False, indent=4)

# 从文件反序列化
with open("data.json", "r", encoding="utf-8") as f:
    loaded_data = json.load(f)

print(loaded_data["name"])  # 输出: 张三

处理自定义对象：

class User:
    def __init__(self, name, email, age):
        self.name = name
        self.email = email
        self.age = age

# 自定义编码器
class UserEncoder(json.JSONEncoder):
    def default(self, obj):
        if isinstance(obj, User):
            return {"name": obj.name, "email": obj.email, "age": obj.age}
        return super().default(obj)

# 自定义解码器
def user_decoder(dct):
    if "name" in dct and "email" in dct and "age" in dct:
        return User(dct["name"], dct["email"], dct["age"])
    return dct

user = User("李四", "lisi@example.com", 32)

# 序列化
user_json = json.dumps(user, cls=UserEncoder, indent=2)
print(user_json)

# 反序列化
loaded_user = json.loads(user_json, object_hook=user_decoder)
print(loaded_user.name)  # 输出: 李四

基本用法示例：

# 需要先安装PyYAML: pip install pyyaml
import yaml

# Python对象
config = {
    "database": {
        "host": "localhost",
        "port": 5432,
        "username": "admin",
        "password": "secret"
    },
    "logging": {
        "level": "DEBUG",
        "file": "/var/log/app.log"
    }
}

# 序列化到文件
with open("config.yaml", "w") as f:
    yaml.dump(config, f, sort_keys=False)

# 从文件反序列化
with open("config.yaml", "r") as f:
    loaded_config = yaml.safe_load(f)

print(loaded_config["database"]["host"])  # 输出: localhost

YAML特点：

• 人类可读性高
• 支持复杂数据结构
• 支持注释
• 多语言支持
• 使用safe_load避免安全风险

选择建议：

• 仅在Python环境内使用 → pickle
• 需要跨语言支持 → json
• 需要人类可读性 → yaml
• 处理配置文件 → yaml
• 高性能需求 → pickle或json

pickle安全风险：

pickle模块在反序列化时会自动执行对象的__reduce__方法，这可能导致任意代码执行：

import pickle

# 恶意pickle数据
malicious_data = b"\x80\x04\x95.\x00\x00\x00\x00\x00\x00\x00\x8c\x05posix\x94\x8c\x06system\x94\x93\x94\x8c\x0ctouch /tmp/hacked\x94\x85\x94R\x94."

# 反序列化会执行系统命令
pickle.loads(malicious_data)  # 会在/tmp目录创建hacked文件

安全建议：

• 不要反序列化来自不受信任来源的pickle数据
• 考虑使用更安全的序列化格式（如json）
• 如果必须使用，可以考虑使用pickletools分析数据

其他安全建议：

• 使用json时：避免使用json.loads解析不受信任的数据（可能造成拒绝服务攻击）
• 使用yaml时：始终使用yaml.safe_load而不是yaml.load
• 验证和清理所有输入数据
• 使用数字签名验证数据来源
• 在沙箱环境中处理不受信任的数据

最终建议：

选择序列化方法时，应综合考虑以下因素：数据敏感度、使用环境、性能需求、跨语言需求、可读性要求。在大多数情况下，JSON是最佳选择，它提供了良好的平衡点。

对于纯Python环境且需要处理复杂对象，pickle是高效的解决方案。对于配置文件和需要人工编辑的场景，YAML是最合适的。