序列化与反序列化

最新推荐文章于 2023-12-11 10:22:26 发布
最新推荐文章于 2023-12-11 10:22:26 发布
阅读量364 收藏 1
点赞数 1
分类专栏: 常见漏洞 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52923241/article/details/115528880
版权

序列化与反序列化

序列化与反序列化简介

  • 基本概念
序列化反序列化
对象转化成字节序列的过程字节序列恢复为对象的过程
在传递和保存对象时,保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中根据字节流中保存的对象状态及描述信息,通过反序列化重建对象
session的序列化REDIS的序列化
在web项目通常需要保留用户的会话session,这些session对象是存储在内存中的,但是如果session对象多了,我们内存就会不足,就需要将部分对象存储在硬盘中,这个时候我们就要将对象转为为字节流,这个过程就是对象的序列化我们需要将一个user对象缓存入redis,必须经过网络传输,网络传输只认识字节流,所以我们必须将user对象转化为字节流,这个过程就是序列化

  • 常见的序列化格式:二进制格式,字节数组,json字符串,xml字符串。
    在这里插入图片描述

  • 序列化机制的核心作用就是对象状态的保存与重建
    举个例子便于理解:把一个东西转化成便于存储或运输的形式,方便进行存储或运输,(这就是序列化过程)当要用时或者运输到时,再转换成原来的形式(这就是反序列的过程)。在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在网络上传送。发送方需要把这个Java对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为Java对象。

  • 序列化算法的一般步骤:

    • 将对象实例相关的类元数据输出。
    • 递归地输出类的超类描述直到不再有超类。
    • 类元数据完了以后,开始从最顶层的超类开始输出对象实例的实际数据值。
    • 从上至下递归输出实例的数据

  • 对象序列化步骤

    • 创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流;
    • 通过对象输出流的writeObject()方法写对象。

  • 对象反序列化的步骤

    • 创建一个对象输入流,它可以包装一个其他类型的源输入流,如文件输入流;
    • 通过对象输入流的readObject()方法读取对象。

PHP序列化与反序列化

  • 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动融发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

  • 序列化函数 :serialize():将对象转换成字符串

  • 反序列化函数:unserialize():将字符串转换成对象

  • unserialize()变量可控,文件中存在可利用的类,类中有魔术方法

    有类无类就看代码中有没有class,有类的话,魔术方法

    __wakeup() //使用unserialize时触发

    __sleep() //使用serialize时触发

    __construct() //创建对象时触发

    __destruct() //对象被销毁时触发

    __call() //在对象上下文中调用不可访问的方法时触发

    __callStatic() //在静态上下文中调用不可访问的方法时触发

    __get() //用于从不可访问的属性读取数据

    __set() //用于将数据写入不可访问的属性

    __isset() //在不可访问的属性上调用isset()或empty()触发

    __unset() //在不可访问的属性上使用unset()时触发

    __toString() //把类当作字符串使用时触发

    __invoke() //当脚本尝试将对象调用为函数时触发

  • 序列化格式字符串格式
    在这里插入图片描述

    Object(O)O:<class_name_length>:"<class_name>":<number_of_properties>:{<properties>}
Boolean(b): b:value;(01)
integer(i): i:value;
array(a): a:<length>:{key,keyvalue}
string(s): s:<length>:value;
nullN)
double(d)
    • 危害:SQL注入、代码执行、目录遍历

Java序列化与反序列化

  • 序列化:ObjectOutputStream类→writeObject()

    该方法对参数指定的obj对象进行序列化,把字节序列写到一个目标输出流中,按Java的标准约定是给文件一个.ser扩展名

  • 反序列化:ObjectInputStream类→readObject()

    该方法从一个源输入流中读取字节序列,再把他们反序列化成一个对象,并将其返回

    下方的特征可以作为序列化的标志参考:

    一段数据以rO0AB开头,基本可以确定这串是Java序列化base64加密后的数据或者如果以aced开头则是一段Java序列化的16进制

序列化反序列化字符逃逸

吃_早餐
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
反序列化(一) (略详细)
qq975353472的博客
11-13 519
反序列化 本文所涉及的序列化类型 __wakeup()绕过 注入对象构造方法 session反序列化 phar反序列化 pop链构造 一、序列化反序列化 维基百科中这样定义:序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。 概念很容易理解,其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。 先看个例子 1、 根据目标构造对
序列化格式:XML、JSON、YAML
weixin_34018202的博客
03-01 190
.NET中序列化通常使用二进制或xml格式,ajax兴起之后JSON格式也用的比较多,相比YAML就很少见 二进制 无法直接阅读,需在二进制层面编码解码; 格式由厂商定义,特定应用需要表示的对象很复杂时,格式也非常复杂,例如office 文件格式; 通常需要充分考虑协议的扩展性、兼容性,例如windows的文件格式,DOS header、COFF header、PE、CLR heade...
java序列化三种格式_JAVA序列化反序列化三种格式存取(默认格式、XML格式、JSON格式)...
weixin_36275605的博客
02-25 425
什么是序列化java中的序列化(serialization)机制能够将一个实例对象的状态信息写入到一个字节流中,使其可以通过socket进行传输、或者持久化存储到数据库或文件系统中;然后在需要的时候,可以根据字节流中的信息来重构一个相同的对象。序列化机制在java中有着广泛的应用,EJB、RMI等技术都是以此为基础的。正确使用序列化机制一般而言,要使得一个类可以序列化,只需简单实现java.io....
序列化的意义以及常见的的序列化方式
weixin_59244784的博客
07-19 811
序列化的意义以及常见的的序列化方式
【计算机网络】序列化反序列化和初识协议
最新发布
AliceNo的博客
12-11 1377
在实际的编程中,可以使用相关库或框架来处理序列化反序列化,例如Java中的Jackson库、Python中的json模块等。这些规定定义了通信的格式、数据交换方式、消息的含义等,确保通信的双方能够理解和正确地处理彼此发送和接收的信息。反序列化的过程同样依赖于使用的反序列化格式,不同的格式可能对数据的表示和解析方式有所不同。序列化的过程因使用的序列化格式而有所不同,不同的格式可能对数据的表示和编码方式有差异。序列化反序列化的主要目的是在分布式系统中,或者在数据存储和数据交换中,能够有效地传递和保存数据。
Java中对象序列化反序列化详解
09-03
本文将深入探讨Java中的对象序列化反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一个Java对象转换成字节流的过程,这个字节流可以存储在磁盘上,也可以在...
XML序列化反序列化 实战
08-16
XML序列化反序列化是.NET框架中处理数据交换的重要技术,它允许我们将对象的状态转换为XML格式的数据,也可以将XML数据恢复为等效的对象。这个实战项目专注于使用C#实现这一过程,使得开发者能够方便地在XML文件和...
Java序列化反序列化三种格式存取
12-22
什么是序列化   Java中的序列化(serialization)机制能够将一个实例对象的状态信息写入到一个字节流中,使其可以通过socket进行传输、或者持久化存储到数据库或文件系统中;然后在需要的时候,可以根据字节流中的信息来重构一个相同的对象。序列化机制在Java中有着广泛的应用,EJB、RMI等技术都是以此为基础的。   正确使用序列化机制   一般而言,要使得一个类可以序列化,只需简单实现java.io.Serializable接口即可(还要实现无参数的构造方法)。该接口是一个标记式接口,它本身不包含任何内容,实现了该接口则表示这个类准备支持序列化的功能。如下例定义了类P
深入分析Java序列化反序列化
12-22
序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java序列化  为什么实现了java.io....
序列化反序列化
美团技术团队
02-26 1227
#摘要序列化反序列化几乎是工程师们每天都要面对的事情,但是要精确掌握这两个概念并不容易:一方面,它们往往作为框架的一部分出现而湮没在框架之中;另一方面,它们会以其他更容易理解的概念出现,例如加密、持久化。然而,序列化反序列化的选型却是系统设计或重构一个重要的环节,在分布式、大数据量系统设计里面更为显著。恰当的序列化协议不仅可以提高系统的通用性、强健性、安全性、优化系统性能,而且...
Java对象的序列化(Serialization)和反序列化详解
热门推荐
OceanSky的专栏
02-13 12万+
1.序列化反序列化 序列化(Serialization)是将对象的状态信息转化为可以存储或者传输的形式的过程,一般将一个对象存储到一个储存媒介,例如档案或记忆体缓冲等,在网络传输过程中,可以是字节或者XML等格式;而字节或者XML格式的可以还原成完全相等的对象,这个相反的过程又称为反序列化; 2.Java对象的序列化反序列化Java中,我们可以通过多种方式来创建对象,并且只要对象...
spark(kryo)、hadoop(writable)、jdk(serializable)-序列化
DCHAO的博客
10-07 686
一、SRC 一个类在jvm中是有结构的,但即使是在jvm中,也是一堆数据。网络只能传文本,所以需要序列化反序列化。 通过几种方式的序列化后文本输出到本地文件,可以对比下大小。 二、jdk的序列化 将类的上级所有层次都序列化,相当于把类的所有描述信息写在文本中传输。效率较低。 ObjectOutputStream底层就是调用的DataOutputStream,只不过把类的层级、包名和数据一起传了。 三、hadoop 如果提前告知对方类的结构,则只需要传数据。效率会高。MR就是这种思路,所以MR用的是xxxW
数据序列化格式-YAML,XML,JSON
ListentTome的博客
08-20 673
目录 [TOC] YAML
序列化格式
激情中年的博客
07-20 610
package com.example.nine; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectInputStream; i
序列化:简单通用的数据交换格式JSON、MessagePack 和 ProtoBuffer
LYR1994的博客
06-09 1814
序列化,就是把内存里“活的对象”转换成静止的字节序列,便于存储和网络传输;而反序列化则是反向操作,从静止的字节序列重新构建出内存里可用的对象。 数据交换格式:JSON、MessagePack 和 ProtoBuffer。 对数据做序列化反序列化: JSON: JSON 是一种轻量级的数据交换格式,采用纯文本表示,所以是“human readable”,阅读和修改都很方便。JSON。第三工具:精选出序列化 / 反序列化、网络通信、脚本语言混合编程和性能分析这四类工具。 由于 JSON 起源于“最流行的脚本语
消息序列化数据格式
cyb_ole的博客
06-23 253
什么是序列化序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 其他叫法: 消息通用协议 消息通信中数据格式 消息通信中协议格式 消息通信中消息格式 上面四种叫法都是一个意思 数据格式有: XMLJson protobuf messagepack thrift 其中protobuf messagepack t...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃_早餐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值