IO流-ObjectInputStream--反序列化

最新推荐文章于 2023-05-08 16:38:49 发布
最新推荐文章于 2023-05-08 16:38:49 发布
阅读量1.1k 收藏
点赞数
分类专栏: J2SE基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaog2014/article/details/17270285
版权 


	public static void readObj() throws  IOException, ClassNotFoundException {
		// TODO Auto-generated method stub
		//创建一个序列化对象的读取流
		ObjectInputStream ois=new ObjectInputStream(new FileInputStream("f:\\obj.object"));
		
		//readObject读取到的为一个对象,将其强转为Person对象
		Person p=(Person)ois.readObject();
		System.out.println(p.getName()+"->"+p.getAge());
                ois.close();
 }


运行结果:



Serializable接口:

     

序列化运行时使用一个称为 serialVersionUID 的版本号与每个可序列化类相关联,该序列号在反序列化过程中用于验证序列化对象的发送者和接收者是否为该对象加载了与序列化兼容的类。如果接收者加载的该对象的类的 serialVersionUID 与对应的发送者的类的版本号不同,则反序列化将会导致InvalidClassException。可序列化类可以通过声明名为 "serialVersionUID" 的字段(该字段必须是静态 (static)、最终 (final) 的long 型字段)显式声明其自己的 serialVersionUID:

可以使用此种方法在对象中创建ID号: public|private|protected   static final long serialVersionUID = 42L;

个人理解:每一个可序列化的类都有一个固定的对应的ID号,在反序列化中用于验证发送者与接受者时候对应你一致的对象


public class Person implements Serializable {
	/**
	 * 
	 */
	private static final long serialVersionUID = 9527l;
	private String name;

	private int age;
}

public transient String name;

   transient:当对象存储时,不想存入到序列化中,但又不想被静态


当持久化对象时,可能有一个特殊的对象数据成员,我们不想用serialization机制来保存它。为了在一个特定对象的一个域上关闭serialization,可以在这个域前加上关键字transient。当一个对象被序列化的时候,transient型变量的值不包括在序列化的表示中,然而非transient型的变量是被包括进去的。


2014我有一个梦想
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SerialKiller:Java反序列化前瞻性库
02-05
连环杀手 SerialKiller是一个易于使用的前瞻性Java反序列化库,用于保护应用程序免受不受信任的输入的侵害。 当使用Java序列化在客户端和服务器之间交换信息时,攻击者可以用恶意数据替换合法的序列化流。 受启发,SerialKiller在命名解析期间检查Java类,并允许将黑名单/白名单组合使用以保护您的应用程序。 免责声明:此库可能(或可能不是)100%可以投入生产。 使用风险自负! 如何使用SerialKiller保护您的应用程序 下载最新版本的 。 另外,也可以在使用此库 在您的项目中导入SerialKiller's Jar 用SerialKiller替换反序列化Obj
JDK中反序列化对象的过程(ObjectInputStream#readObject)
田麦
06-10 1449
         此处,对象描述信息即ObjectStreamClass的实例 1、java ObjectInputStream#readObject的时候,先从输入流读入对象,读取对象信息,如果在读取过程中出现异常,则通过markDependency处理;处理完后还会调用注册进来的callback   2、读取对象的过程,先读取对象,然后再java.io.ObjectInputStre...
类的序列化和反序列化ObjectOutputStream和ObjectInputStream
dongguan5448的博客
10-28 101
1.需要序列化的类 import java.io.Serializable; /** * 必须继承 Serializable 接口才能实现序列化 */ public class Employee implements Serializable{ /** * transient 关键字表示该字段无法序列化 */ private tr...
ObjectInputStream序列化反序列化
綠竹清水之福荫的博客
05-20 1677
反序列化可移植性
对象序列化流与反序列化
jgdabc的博客
07-13 427
=java序列化,就是指吧java对象换为字节序列的过程。而反序列自然就是将字节对象恢复为java对象。==这样做的意义在哪呢?对象进行序列化,会换为字节流,这样在网络上传输,或者是进行保存为本地文件都是非常方便的。反序列很明显就是进行对象的重构。其实你可以和通信联系在一起。网络上的文本,图片,视频,音频都是通过二进制进行传输的,我们的java所创建的对象在传输的时候也应该进行序列化,换为字节流,然后通过网络,io传入,当我们的对象序列传输完成后,对方进行反序列化,就可以读取到数据内容。api对这个类
commons-io-2.11.0.rar
10-30
5. 对象输入/输出:提供了序列化和反序列化的工具,如`ObjectInputStream` 和 `ObjectOutputStream` 的替代品,简化了对象的读写。 6. 编码和解码:支持各种数据编码,如Base64和Hex编码。 7. 字符集检测:`...
Android-Android上的Java对象反序列化
08-13
2. **反序列化**: 反序列化是序列化的逆过程,即将字节流还原为原来的Java对象。这个过程通常由`ObjectInputStream`类来完成,它读取字节流并根据类的信息重建对象。 二、Android中的反序列化 在Android环境中,...
IO流与序列化
05-09
5. **对象流**:ObjectInputStreamObjectOutputStream用于对象的序列化和反序列化,详细阐述了如何实现Serializable接口以及序列化过程中的注意事项。 6. **序列化详解**:解释了如何实现序列化接口,序列化和反...
Java-Io流,练习
07-06
Java还提供了一种特殊的流,即对象流,用于对象的序列化和反序列化。`ObjectOutputStream`用于写入对象到流中,`ObjectInputStream`则用于从流中读取对象。 七、文件操作练习 在你给出的"demo17"和"task09"这两个...
Java-IO流基础例题 & 例题源码 & PPT教学文档(黑马程序员详细版).rar
07-24
Java提供了ObjectInputStreamObjectOutputStream,支持对象的序列化和反序列化。序列化是将对象化为字节流,便于存储或网络传输;反序列化则是将字节流恢复为原来的对象。 六、PPT教学文档 PPT教学文档通常会...
java反序列化漏洞挖掘
qq_45001989的博客
09-08 1132
java反序列化漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列化   4)JMX 同样用于处理序列化对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定反序列化输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
序列化与反序列化ObjectInPutStreamObjectOutPutStream
最新发布
lx5210521的博客
05-08 70
序列化的类中建议添加SerialVersionUID,为了提高版本的兼容性,被final static修饰,不然在已实现序列化的类中进行添加属性时,其SerialVersionUID会改变,认为与先前不是一个类,不能进行修改前的反序列化。添加SerialVersionUID会被认为时版本的改变,仍可以进行添加前的反序列化,但新添加的属性不会被反序列化。序列化对象时,被static与transient修饰的属性不会被序列化。序列化具备可继承性,被序列化的类其子类也实现了序列化。
Java序列化(ObjectOutputStream)和反序列化ObjectInputStream
qq_52040525的博客
04-08 414
序列化:用ObjectOutputStream类保存基本类型数据或对象的机制 反序列化:用ObjectInputStream类读取基本类型数据或对象的机制 ObjectOutputStream和ObjectInputStream不能序列化static和transient修饰的成员变量 以String为例测试 package mytest; import java.io.FileOutputStream; import java.io.IOException; import java.io.Object
Java IO: 序列化与ObjectInputStreamObjectOutputStream
weixin_33933118的博客
03-26 114
作者:JakobJenkov译者:李璟(jlee381344197@gmail.com) 本小节会简要概括JavaIO中的序列化以及涉及到的流,主要包括ObjectInputStreamObjectOutputStream。 Serializable 原文链接 如果你希望类能够序列化和反序列化,必须实现Serializable接口,就像所展示的ObjectInputStream...
java反序列化漏洞对策
邢立军的技术专栏
06-01 789
1)java反序列化漏洞请百度。 2)对策: ObjectInputStream.readObject()的地方改为 附件中的 SerialKiller.readObject()。 附件有2个文件: SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化 SerialKiller.java为ObjectInputStream的子类,覆盖了resol...
修复weblogic的JAVA反序列化漏洞的多种方法--预防GetShell攻击
既是过河之卒,惟有奋力向前。
06-15 1417
0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.cl...
对象的反序列化_ObjectInputStream
weixin_44664432的博客
09-24 366
概述: java.io.ObjectInputStream extends InputStream ObjectInputStream:对象的反序列化 作用:把文件中保存的对象,以流的方式读取出来使用 构造方法: ObjectInputStream(InputStream in) 创建从指定InputStream读取的ObjectInputStream 参数: InputStream in:字节输入流 特有的成员方法: void readObject(Object
Weblogic反序列化漏洞补丁更新解决方案
叶子的梦的博客
03-08 3380
Weblogic反序列化漏洞的解决方案有两种: 1.使用SerialKiller替换进行序列化操作的ObjectInputStream类; 2.在不影响业务的情况下,临时删除掉项目里的commons.collections .jar里 "org/apache/commons/collections/functors/InvokerTransformer.class"文件。 ObjectIn
Java反序列化漏洞分析
abg49988的博客
10-15 1387
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值