IO流-ObjectInputStream--反序列化

最新推荐文章于 2022-07-13 10:22:34 发布
最新推荐文章于 2022-07-13 10:22:34 发布
阅读量1.1k 收藏
点赞数
分类专栏: J2SE基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaog2014/article/details/17270285
版权 


	public static void readObj() throws  IOException, ClassNotFoundException {
		// TODO Auto-generated method stub
		//创建一个序列化对象的读取流
		ObjectInputStream ois=new ObjectInputStream(new FileInputStream("f:\\obj.object"));
		
		//readObject读取到的为一个对象,将其强转为Person对象
		Person p=(Person)ois.readObject();
		System.out.println(p.getName()+"->"+p.getAge());
                ois.close();
 }


运行结果:



Serializable接口:

     

序列化运行时使用一个称为 serialVersionUID 的版本号与每个可序列化类相关联,该序列号在反序列化过程中用于验证序列化对象的发送者和接收者是否为该对象加载了与序列化兼容的类。如果接收者加载的该对象的类的 serialVersionUID 与对应的发送者的类的版本号不同,则反序列化将会导致InvalidClassException。可序列化类可以通过声明名为 "serialVersionUID" 的字段(该字段必须是静态 (static)、最终 (final) 的long 型字段)显式声明其自己的 serialVersionUID:

可以使用此种方法在对象中创建ID号: public|private|protected   static final long serialVersionUID = 42L;

个人理解:每一个可序列化的类都有一个固定的对应的ID号,在反序列化中用于验证发送者与接受者时候对应你一致的对象


public class Person implements Serializable {
	/**
	 * 
	 */
	private static final long serialVersionUID = 9527l;
	private String name;

	private int age;
}

public transient String name;

   transient:当对象存储时,不想存入到序列化中,但又不想被静态


当持久化对象时,可能有一个特殊的对象数据成员,我们不想用serialization机制来保存它。为了在一个特定对象的一个域上关闭serialization,可以在这个域前加上关键字transient。当一个对象被序列化的时候,transient型变量的值不包括在序列化的表示中,然而非transient型的变量是被包括进去的。


2014我有一个梦想
关注
专栏目录
Java学习-IO流-序列化流综合练习
weixin_45876155的博客
03-06 96
Java学习-IO流-序列化流综合练习
java IO流之对象流ObjectInputStream ObjectInputStream 自定义类 Serializable 序列化与反序列化
SKPrimin的博客
08-15 772
java IO流之对象流ObjectInputStream ObjectInputStream 对象流:用于存储和读取基本数据类型数据或对象的处理流。 它的强大之处就是可以把Java中的对象写入到数据源中,也能把对象从数据源中还原回来。 序列化和反序列化ObjectOutputStream 类 : 把内存中的Java对象换成平台无关的二进制数据,从而允许把这种二进制数据持久地保存在磁盘上,或通过网络将这种二进制数据传输到另一个网络节点。序列化 ObjectInputStream类 : 当其它
SerialKiller:Java反序列化前瞻性库
02-05
连环杀手 SerialKiller是一个易于使用的前瞻性Java反序列化库,用于保护应用程序免受不受信任的输入的侵害。 当使用Java序列化在客户端和服务器之间交换信息时,攻击者可以用恶意数据替换合法的序列化流。 受启发,SerialKiller在命名解析期间检查Java类,并允许将黑名单/白名单组合使用以保护您的应用程序。 免责声明:此库可能(或可能不是)100%可以投入生产。 使用风险自负! 如何使用SerialKiller保护您的应用程序 下载最新版本的 。 另外,也可以在使用此库 在您的项目中导入SerialKiller's Jar 用SerialKiller替换反序列化Obj
JDK中反序列化对象的过程(ObjectInputStream#readObject)
田麦
06-10 1487
         此处,对象描述信息即ObjectStreamClass的实例 1、java ObjectInputStream#readObject的时候,先从输入流读入对象,读取对象信息,如果在读取过程中出现异常,则通过markDependency处理;处理完后还会调用注册进来的callback   2、读取对象的过程,先读取对象,然后再java.io.ObjectInputStre...
类的序列化和反序列化ObjectOutputStream和ObjectInputStream
dongguan5448的博客
10-28 120
1.需要序列化的类 import java.io.Serializable; /** * 必须继承 Serializable 接口才能实现序列化 */ public class Employee implements Serializable{ /** * transient 关键字表示该字段无法序列化 */ private tr...
ObjectInputStream序列化反序列化
綠竹清水之福荫的博客
05-20 1696
反序列化可移植性
对象序列化流与反序列化
jgdabc的博客
07-13 447
=java序列化,就是指吧java对象换为字节序列的过程。而反序列自然就是将字节对象恢复为java对象。==这样做的意义在哪呢?对象进行序列化,会换为字节流,这样在网络上传输,或者是进行保存为本地文件都是非常方便的。反序列很明显就是进行对象的重构。其实你可以和通信联系在一起。网络上的文本,图片,视频,音频都是通过二进制进行传输的,我们的java所创建的对象在传输的时候也应该进行序列化,换为字节流,然后通过网络,io传入,当我们的对象序列传输完成后,对方进行反序列化,就可以读取到数据内容。api对这个类
Java IO流对象的序列化和反序列化实例详解
08-30
Java中的对象序列化(Serialization)和反序列化(Deserialization)是Java IO流机制的重要组成部分,它提供了一种标准的方式来将对象状态保存到持久化存储中,以及从存储中恢复对象状态的过程。下面将详细阐述序列...
586.584.JAVA基础教程_IO流-IO流的体系结构(586).rar
11-09
4. 对象流(Object Stream):用于序列化和反序列化对象,包括ObjectInputStreamObjectOutputStream。 5. 文件流(File Stream):专用于文件读写的流,如FileInputStream和FileOutputStream。 6. 缓冲流...
Android-Android上的Java对象反序列化
08-13
2. **反序列化**: 反序列化是序列化的逆过程,即将字节流还原为原来的Java对象。这个过程通常由`ObjectInputStream`类来完成,它读取字节流并根据类的信息重建对象。 二、Android中的反序列化 在Android环境中,...
SerialKiller-0.4-all.jar
05-04
SerialKiller最新版 SerialKiller-0.4
java反序列化漏洞修复_【修复总结】JAVA反序列化
weixin_36413157的博客
03-08 2858
威胁说明如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。问题原因类ObjectInputStream反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法问题根源Ap...
Weblogic反序列化漏洞补丁更新解决方案
叶子的梦的博客
03-08 3401
Weblogic反序列化漏洞的解决方案有两种: 1.使用SerialKiller替换进行序列化操作的ObjectInputStream类; 2.在不影响业务的情况下,临时删除掉项目里的commons.collections .jar里 "org/apache/commons/collections/functors/InvokerTransformer.class"文件。 ObjectIn
反序列化漏洞
tomyyyyy
03-26 480
反序列化 原理介绍 序列化就是把对象换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。比如你可以将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复。 漏洞成因 序列化...
java反序列化漏洞对策
邢立军的技术专栏
06-01 816
1)java反序列化漏洞请百度。 2)对策: ObjectInputStream.readObject()的地方改为 附件中的 SerialKiller.readObject()。 附件有2个文件: SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化 SerialKiller.java为ObjectInputStream的子类,覆盖了resol...
Java里的IO流里的 ObjectInputStream 的读取\写入!
weixin_30819085的博客
12-08 512
各位好!!我又来了!!今天遇见了一个小问题!! IO流里的对象读取总是出错!各种报错!!神烦啊!!百思不得其解啊!然后就上网百度!找了好久终于让我找到了!下面就让我来说一说! 当你用IO流里的对象流写入的时候,ObjectOutputStream会在文件中的开头和结尾进行一个标识AC/DC,ObjectInputStream会严格的根据开头和结尾来进行读取,当读取不到的时候就会进行报错!! ...
Java中,关于IO对象流ObjectOutputStream、ObjectInputStream序列化和反序列化对象-详解
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-31 488
介绍 对象流: 用于存储和读取基本数据类型数据或对象的处理流。可以吧Java中的对象写入到数据源中,也能把对象从数据源中还原 序列化和反序列化: 序列化:用ObjectOutputStream类 保存 基本数据类型或对象机制 反序列化:用ObjectInputStream类 读取 基本数据类型或对象机制 注意:ObjectOutputStream、ObjectInputStream不能 序列化 或 反序列化 static、transient修饰的成员变量 什么是对象的序列化机制: 允许把内存中的Java对
反序列化过程怎么引发了 java.io.EOFException异常?
专栏
08-24 9869
本帖最后由 谢冬 于 2013-3-11 04:19 编辑 package com.itheima_01; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectInputSt
Java IO流详解:操作文件、序列化与实践
Java学习笔记深入探讨了IO流在Java编程中的关键作用,它涉及文件和目录操作、数据读写、以及序列化和反序列化的概念。首先,让我们从基础的IO流概念开始: 1. 文件和目录操作:`File` 类是Java中处理文件和目录的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值