对于序列化的一次认识

最新推荐文章于 2022-03-30 15:02:02 发布
最新推荐文章于 2022-03-30 15:02:02 发布
阅读量381 收藏
点赞数
分类专栏: java开发 文章标签: string java exception import class classloader
其实这个问题简单思考一下就可以搞清楚,方法是不带状态的,就是一些指令,指令是不需要序列化的,只要你的JVM classloader可以load到这个类,那么类方法指令自然就可以获得。序列化真正需要保存的只是对象属性的值,和对象的类型。

这些知识找一本Java基础编程的书,或者Java手册就可以查到,我以为是不应该犯这种基本概念错误的。

我们可以做一个简单的小试验,来证实一下:

Java代码
  1. package com.javaeye;   
  2.   
  3. import java.io.Serializable;   
  4.   
  5. public class DomainObject  implements Serializable {   
  6.   
  7.     private String name;   
  8.        
  9.     private int age ;   
  10.   
  11.     public int getAge(); {   
  12.         return age;   
  13.      }   
  14.   
  15.     public void setAge(int age); {   
  16.         this.age = age;   
  17.      }   
  18.   
  19.     public String getName(); {   
  20.         return name;   
  21.      }   
  22.   
  23.     public void setName(String name); {   
  24.         this.name = name;   
  25.      }   
  26.        
  27.        
  28. }  
Java代码
  1. package com.javaeye;   
  2.   
  3. import java.io.Serializable;   
  4.   
  5. public class DomainObject  implements Serializable {   
  6.   
  7.  private String name;   
  8.     
  9.  private int age ;   
  10.   
  11.  public int getAge(); {   
  12.   return age;   
  13.  }   
  14.   
  15.  public void setAge(int age); {   
  16.   this.age = age;   
  17.  }   
  18.   
  19.  public String getName(); {   
  20.   return name;   
  21.  }   
  22.   
  23.  public void setName(String name); {   
  24.   this.name = name;   
  25.  }   
  26.     
  27.     
  28. }  
package com.javaeye;

import java.io.Serializable;

public class DomainObject  implements Serializable {

 private String name;
 
 private int age ;

 public int getAge(); {
  return age;
 }

 public void setAge(int age); {
  this.age = age;
 }

 public String getName(); {
  return name;
 }

 public void setName(String name); {
  this.name = name;
 }
 
 
}



Java代码
  1. package com.javaeye;   
  2.   
  3. import java.io.FileOutputStream;   
  4. import java.io.ObjectOutputStream;   
  5.   
  6. public class Main {   
  7.   
  8.     public static void main(String[] args); throws Exception {   
  9.          DomainObject obj = new DomainObject();;   
  10.          obj.setAge(29);;   
  11.          obj.setName("fankai");;   
  12.          FileOutputStream fos = new FileOutputStream("DomainObject");;   
  13.          ObjectOutputStream oos = new ObjectOutputStream(fos);;   
  14.          oos.writeObject(obj);;   
  15.          oos.close();;   
  16.          fos.close();;   
  17.      }   
  18.   
  19. }  
Java代码
  1. package com.javaeye;   
  2.   
  3. import java.io.FileOutputStream;   
  4. import java.io.ObjectOutputStream;   
  5.   
  6. public class Main {   
  7.   
  8.  public static void main(String[] args); throws Exception {   
  9.   DomainObject obj = new DomainObject();;   
  10.   obj.setAge(29);;   
  11.   obj.setName("fankai");;   
  12.   FileOutputStream fos = new FileOutputStream("DomainObject");;   
  13.   ObjectOutputStream oos = new ObjectOutputStream(fos);;   
  14.   oos.writeObject(obj);;   
  15.   oos.close();;   
  16.   fos.close();;   
  17.  }   
  18.   
  19. }  
package com.javaeye;

import java.io.FileOutputStream;
import java.io.ObjectOutputStream;

public class Main {

 public static void main(String[] args); throws Exception {
  DomainObject obj = new DomainObject();;
  obj.setAge(29);;
  obj.setName("fankai");;
  FileOutputStream fos = new FileOutputStream("DomainObject");;
  ObjectOutputStream oos = new ObjectOutputStream(fos);;
  oos.writeObject(obj);;
  oos.close();;
  fos.close();;
 }

}



DomainObject是我们准备序列化的类,在Main里面,我们new一个DomainObject的对象,然后赋值,最后把该对象序列化到一个硬盘文件中。

然后使用一种支持二进制编辑器,例如UltraEdit打开这个文件,看看Java都对DomainObject序列化了哪些信息,你就什么都明白了。

为了更方便观察,我使用Linux下面的strings去提取文本信息,输出为:

robbin@linux:~> strings DomainObject
com.javaeye.DomainObject
ageL
namet
Ljava/lang/String;xp
fankai

这些信息很直观的告诉我们序列化都保存了些什么内容:
1)对象的类型
2)对象属性的类型
3)对象属性的值

并没有什么方法签名的信息,更不要说什么序列化方法了。

然后我们再做一个试验,给DomainObject增加两个方法:
Java代码
  1. package com.javaeye;   
  2.   
  3. import java.io.Serializable;   
  4.   
  5. public class DomainObject  implements Serializable {   
  6.   
  7.     private String name;   
  8.        
  9.     private int age ;   
  10.   
  11.     public int getAge(); {   
  12.         return age;   
  13.      }   
  14.   
  15.     public void setAge(int age); {   
  16.         this.age = age;   
  17.      }   
  18.   
  19.     public String getName(); {   
  20.         return name;   
  21.      }   
  22.   
  23.     public void setName(String name); {   
  24.         this.name = name;   
  25.      }   
  26.        
  27.     public String toString(); {   
  28.         return "This is a serializable test!";   
  29.      }   
  30.        
  31.     public void doSomeWork(); {   
  32.          System.out.println("hello");;   
  33.      }   
  34. }  
Java代码
  1. package com.javaeye;   
  2.   
  3. import java.io.Serializable;   
  4.   
  5. public class DomainObject  implements Serializable {   
  6.   
  7.  private String name;   
  8.     
  9.  private int age ;   
  10.   
  11.  public int getAge(); {   
  12.   return age;   
  13.  }   
  14.   
  15.  public void setAge(int age); {   
  16.   this.age = age;   
  17.  }   
  18.   
  19.  public String getName(); {   
  20.   return name;   
  21.  }   
  22.   
  23.  public void setName(String name); {   
  24.   this.name = name;   
  25.  }   
  26.     
  27.  public String toString(); {   
  28.   return "This is a serializable test!";   
  29.  }   
  30.     
  31.  public void doSomeWork(); {   
  32.   System.out.println("hello");;   
  33.  }   
  34. }  
package com.javaeye;

import java.io.Serializable;

public class DomainObject  implements Serializable {

 private String name;
 
 private int age ;

 public int getAge(); {
  return age;
 }

 public void setAge(int age); {
  this.age = age;
 }

 public String getName(); {
  return name;
 }

 public void setName(String name); {
  this.name = name;
 }
 
 public String toString(); {
  return "This is a serializable test!";
 }
 
 public void doSomeWork(); {
  System.out.println("hello");;
 }
}


我们增加了toString方法和doSomeWork方法,按照你的理论,如果序列化方法的话,产生的文件体积必然增大。记录一下文件体积,92Byte,好了,删除,运行程序,生成了新的文件,看一下体积,还是92Byte!

拿到Linux下面再提取一下字符串:

robbin@linux:~> strings DomainObject
com.javaeye.DomainObject
ageL
namet
Ljava/lang/String;xp
fankai

完全一模一样!

然后我们再做第三个试验,这次把DomainObject的两个属性以及相关方法删除掉:
Java代码 复制代码
  1. package com.javaeye;   
  2.   
  3. import java.io.Serializable;   
  4.   
  5. public class DomainObject  implements Serializable {   
  6.   
  7.     public String toString(); {   
  8.         return "This is a serializable test!";   
  9.      }   
  10.        
  11.     public void doSomeWork(); {   
  12.          System.out.println("hello");;   
  13.      }   
  14. }  
Java代码
  1. package com.javaeye;   
  2.   
  3. import java.io.Serializable;   
  4.   
  5. public class DomainObject  implements Serializable {   
  6.   
  7.  public String toString(); {   
  8.   return "This is a serializable test!";   
  9.  }   
  10.     
  11.  public void doSomeWork(); {   
  12.   System.out.println("hello");;   
  13.  }   
  14. }  
package com.javaeye;

import java.io.Serializable;

public class DomainObject  implements Serializable {

 public String toString(); {
  return "This is a serializable test!";
 }
 
 public void doSomeWork(); {
  System.out.println("hello");;
 }
}


修改Main类如下:

Java代码
  1. package com.javaeye;   
  2.   
  3. import java.io.FileOutputStream;   
  4. import java.io.ObjectOutputStream;   
  5.   
  6. public class Main {   
  7.   
  8.     public static void main(String[] args); throws Exception {   
  9.          DomainObject obj = new DomainObject();;   
  10.   
  11.          FileOutputStream fos = new FileOutputStream("DomainObject");;   
  12.          ObjectOutputStream oos = new ObjectOutputStream(fos);;   
  13.          oos.writeObject(obj);;   
  14.          oos.close();;   
  15.          fos.close();;   
  16.      }   
  17.   
  18. }  
Java代码
  1. package com.javaeye;   
  2.   
  3. import java.io.FileOutputStream;   
  4. import java.io.ObjectOutputStream;   
  5.   
  6. public class Main {   
  7.   
  8.  public static void main(String[] args); throws Exception {   
  9.   DomainObject obj = new DomainObject();;   
  10.   
  11.   FileOutputStream fos = new FileOutputStream("DomainObject");;   
  12.   ObjectOutputStream oos = new ObjectOutputStream(fos);;   
  13.   oos.writeObject(obj);;   
  14.   oos.close();;   
  15.   fos.close();;   
  16.  }   
  17.   
  18. }  
package com.javaeye;

import java.io.FileOutputStream;
import java.io.ObjectOutputStream;

public class Main {

 public static void main(String[] args); throws Exception {
  DomainObject obj = new DomainObject();;

  FileOutputStream fos = new FileOutputStream("DomainObject");;
  ObjectOutputStream oos = new ObjectOutputStream(fos);;
  oos.writeObject(obj);;
  oos.close();;
  fos.close();;
 }

}



按照你的理论,如果序列化方法的话,我们必然应该在文件里面发现方法的签名信息,甚至方法里面包含的字符串,好了,再运行一遍,然后打开看一下吧!文件现在体积变成了45Byte,拿到Linux下面提取一下信息:

robbin@linux:~> strings DomainObject
com.javaeye.DomainObject

只有对象的类型信息,再无其它东西了!

请记住序列化机制只保存对象的类型信息,属性的类型信息和属性值,和方法没有什么关系,你就是给这个类增加10000个方法,序列化内容也不会增加任何东西,不要想当然的臆测自己不了解的知识,动手去做!

补充:

序列化在 Effective Java 中讲得很清楚啊, 一般认为只声明实现 implements 接口, 不提供自定义的序列化形式是不负责任的做法, 这样可能导致比较多的问题比如类的不同版本之间的兼容性, 看看 Effective Java 中的条目吧     谨慎地实现 Serialiable     
    为了继承而设计的类应该很少实现 Serialiable, 接口也应该很少会扩展它. 如果违反了这条规则, 则扩展这个类或者实现这个接口的程序员会背上沉重的负担.
   
     若没有认真考虑默认序列化形式是否合适, 则不要接受这种形式
  
    即使你确定了默认序列化形式是合适的, 通常你仍然要提供一个 readObject方法以保证约束关系和约束性    
    不管你选择了哪种序列化形式, 你都要为自己编写的每个可序列化的类声明一个显式的序列版本 UID (serialVersionUID)
从上面的结论看来, 实现了 Serialiable 接口并有比较好的实现的 OpenSource 代码几乎寥寥可数 , JDK 里的情况要好一些

jiangfeng861016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于序列的一点思考
Tezuka
03-24 398
最近对序列进行了一下深入的思考,以前一直没怎么在意这个点,发现还是有一些收获,写篇简单的笔记记录一下。 这里有篇文章讲的不错、 1、什么是序列 在程序中怎么获取对象某个字段的值: 对象在JVM中的存储布局可以分为对象头,实例数据,字节对齐三部分,我们知道Java万物皆引用,所以可以通过这个引用去jvm里找到对象的实际位置,然后再计算出字段偏移量,根据字段的大小,读取对应大小的字节,就可以取到...
(4)什么是序列与反序列序列底层原理、为什么说序列并不安全
Soup's Blog
02-25 1525
序列是Java 比较基础的一个知识点,现在问: 序列的底层实现原理是什么? 你会怎么答呢? 基本概念: 序列: 将对象转成字节序列的过程。用于对象的传输,和持久。 反序列: 与序列相反,将字节序列转换成对象的过程。 为什么使用序列? 当俩个进程进行远程通信时,可以相互发送各种类型的数据,比如图片,文字,视频等,而这些数据都会以二进制的形式在网络上传送。 那么当俩个J...
单例模式(多线程不安全,序列不安全,反射不安全实例)
lv836735240的专栏
11-19 4475
单例模式(多线程不安全,序列不安全,反射不安全实例)
Java 中的序列安全漏洞梳理
HongYu012的博客
03-30 2666
背景 现阶段公司会进行季度的安全巡检,扫描出来的 Java 相关漏洞,无论是远程代码执行、还是 JNDI 注入,基本都和 Java 的序列机制有关。本文简单梳理了一下序列机制相关知识,解释为什么这么多漏洞都和 Java 的序列有关,以及后续怎么避免这些安全漏洞,减少版本升级工作量。同时能基于本文的知识,在看到序列漏洞后,简单评估该漏洞对自身应用的影响 为什么需要序列 序列主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。 序列的使用场景很
为什么JAVA要实现对象序列
DCTM + SAP
07-13 223
简单来说序列就是一种用来处理对象流的机制,所谓对象流也就是将对象的内容进行流,流的概念这里不用多说(就是I/O),我们可以对流后的对象进行读写操作,也可将流后的对象传输于网络之间(注:要想将对象传输于网络必须进行流)!在对对象流进行读写操作时会引发一些问题,而序列机制正是用来解决这些问题的! 如上所述,读写对象会有什么问题呢?比如:我要将对象写入一个磁盘文件而后再将其读出来会有什么问...
项目一-认识与选购计算机ppt课件.ppt
10-24
现在的超级计算机,如天河1号二期,运算速度达到了每秒2570万亿次浮点运算,而天河一号的内存容量就达到98TB,共享磁盘空间高达1PB,远超ENIAC。 2)存储容量大,存储时间长。计算机能够存储大量数据,而且这些数据...
认识微型计算机(共6张PPT).pptx
11-14
第一代(1946~1956年)是电子管计算机的时代,运算速度相对较慢,每秒仅能执行几千到几万次操作。第二代(1957~1964年)引入了晶体管,使计算机体积缩小,运算速度提升到几十万到百万次每秒。第三代(1965~1970年)...
python持久性管理pickle模块详细介绍
01-20
另外,还会让您更深一步地了解Python 的对象序列能力。 什么是持久性? 持 久性的基本思想很简单。假定有一个 Python 程序,它可能是一个管理日常待办事项的程序,您希望在多次执行这个程序之间可以保存应用程序...
EXCEL 2007 宝典 1/10
03-31
 3.1.3 一次性插入多个工作表  3.1.4 删除工作表  3.1.5 重命名工作表  3.1.6 改变工作表标签的颜色  3.1.7 同一工作簿内移动工作表  3.1.8 同一工作簿内复制工作表  3.1.9 不同工作簿之间移动工作表  ...
信息与通信FFT原理.pptx
最新发布
07-30
1. 有限长序列x(n)进行一次DFT运算所需的运算量: 一般x(n)和都是复数,X(k)也是复数,所以计算一次DFT的运算量是: 在这些运算中,乘法比加法运算复杂,尤其是复数相乘,每个复数相乘包括4个实数相乘和2个实数相加...
Java中序列实现原理研究
热门推荐
瘦子没有夏天
05-31 1万+
1.什么是序列和反序列 序列 是指将Java对象保存为二进制字节码的过程。 反序列 将二进制字节码重新转成Java对象的过程。 2.为什么序列 我们知道,一般Java对象的生命周期比Java虚拟机短,而实际的开发中,我们需要 在Jvm停止后能够继续持有对象,这个时候就需要用到序列技术将对象持久到磁盘或数据库。 在多个项目进行RPC调用的,需要在网络上传输JavaB...
不安全的反序列(五)
努力让自己更优秀的博客
09-19 3938
WHY: 分布式应用程序或那些需要在客户端或文件系统上存储状态的程序,可能正在使用对象序列,具有公共倾听器或依赖于客户端维护状态的分布式应用程序,很可能允许对序列数据进行篡改。这种攻击可使用于二进制格式,或基于文本的格式。 1,序列机制允许创建任意数据类型; 2,有可用于将应用程序链接在一起的类,以反序列期间或之后改变应用程序行为,或者使用非预期的内容来影响应用程序行为; 3,应用程序或A...
对于Java序列的一次认识 转javaeye(感觉不错)
gaojie1190的专栏
06-21 102
其实这个问题简单思考一下就可以搞清楚,方法是不带状态的,就是一些指令,指令是不需要序列的,只要你的JVM classloader可以load到这个类,那么类方法指令自然就可以获得。序列真正需要保存的只是对象属性的值,和对象的类型。 这些知识找一本Java基础编程的书,或者Java手册就可以查到,我以为是不应该犯这种基本概念错误的。 我们可以做一个简单的小试验,来证实一下: Jav...
PHP反序列漏洞——漏洞原理及防御措施
cldimd的博客
03-20 6704
序列 将对象转换成字符串 反序列 将特定格式的字符串转换成对象 什么是反序列漏洞 PHP反序列漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列字符串进行检测,导致反序列过程可...
java序列的安全问题
qq_29827369的博客
03-27 1474
如果一个函数或者对象,不管它位于多么遥远的地方,都可以在本地直接被调用,那该有多好 呀!这是一个非常朴素、美好的想法。基于这个设想,诞生了很多伟大的技术和协议,比如远程 过程调用(RPC)、远程方法调用(RMI)、分布式对象(Distributed Object)、组件对象模 型(COM)、公共对象请求代理(CORBA)和简单对象访问协议(SOAP)等……这个列表还可 以很长很长。...
JAVA反序列安全
c0c0cf的专栏
09-15 6158
微信公众号:DebugPwn 新浪微博: http://weibo.com/u/2275304001/home?wvr=5 漏洞简介: 反序列漏洞有十年的历史,存在于不同的编程语言中,最为明显的当属Java、PHP、Python、Ruby。漏洞的本质就是反序列机制打破了数据和对象的边界,导致攻击者注入的恶意序列数据在反序列过程中被还原成对象,
Java中的默认序列存在安全问题如何解决?
solo的博客
11-10 1298
Java中的默认序列是存在一些安全问题的,例如对象序列以后的字节通过网络传输,有可能在网络中被截取。那如何保证数据安全呢?通常可以在对象序列时对对象内容进行加密,对象反序列时对内容进行解密。 具体实现过程分析: 在序列对象中添加writeObject(ObjectOutpuStream out)方法对内容进行加密再执行序列。 在序列对象中添加readObject(ObjectI...
漏洞多到修不完!甲骨文计划取消Java序列功能
哲洛不闹的专栏
06-04 211
大家如果想了解关于java序列的漏洞可以观看今天的第二个文章甲骨文Java平台组的首席架构师Mark Reinhold指出,甲骨文计划取消Java语言主体中...
写一个redis序列
04-01
双向循环链表序列方式将列表元素存储在一个双向链表中,可以快速访问任意元素,但是占用内存空间较多。 4. 集合类型:Redis集合类型支持两种序列方式,分别是压缩列表(ziplist)和哈希表(hashtable)。压缩...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值