(专题)序列化与反序列化

最新推荐文章于 2024-07-24 21:47:59 发布
最新推荐文章于 2024-07-24 21:47:59 发布
阅读量407 收藏 2
点赞数 3
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59619191/article/details/120656740
版权

目录

1.概念解析及解释

2.操作方法

3.代码演示

序列化的细节序列化的版本

1.概念解析及解释

序列化:指把堆内存中的Java对象数据,通过某种方式把对象存储到磁盘文件中或者传递给其他网络的节点(在网络上传输)

反序列化:把磁盘文件中的对象数据或者把网络节点上的对象数据,恢复成Java对象的过程.

为什么要用序列化:

        在主方法中,我们可以调用序列化把一个类传入到文件中,不仅可以使用对象的属性,还可以调用其具体的方法,并且与其他方法调用时不冲突

2.操作方法

  •  ObjectOutputStream:  通过writeObject方法做序列化操作的.
  •  ObjectInputStream:     通过readObject方法做反序列化操作的. 

注意事项:

需要做序列化的对象的类,必须实现序列化接口:java.io.Serializable接口(标志接口[没有抽象方法]).底层会判断,如果当前对象是Serializable的实例,才允许做序列化. 

3.代码演示

对象序列化流

代码要求:实现了Serializable接口

                    

import java.io.Serializable;
 
public class User implements Serializable{
	private int id;
	private String nameString;
	private int age;
	public int getId() {
		return id;
	}
	public void setId(int id) {
		this.id = id;
	}
	public String getNameString() {
		return nameString;
	}
	public void setNameString(String nameString) {
		this.nameString = nameString;
	}
	public int getAge() {
		return age;
	}
	public void setAge(int age) {
		this.age = age;
	}
	public User(int id, String nameString, int age) {
		super();
		this.id = id;
		this.nameString = nameString;
		this.age = age;
	}
	@Override
	public String toString() {
		return "User [id=" + id + ", nameString=" + nameString + ", age=" + age
				+ "]";
	}
}

         这时运行就能成功将User对象写入到文件中,然后我们打开肯定看不懂的,需要对象流输入流来进行反序列化操作

         下面进行反序列化

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
 
public class IODemo7 {
	public static void main(String[] args) throws Exception {
		writeObject();//序列化
		readObject();//反序列化
	}
	//使用对象流对User对象进行序列化操作
	private static void writeObject() throws Exception {
		ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("user.txt"));
		out.writeObject(new User(1,"张三",18));
		out.close();
	}
	//使用对象流对User对象进行反序列化操作
	private static void readObject() throws Exception {
		ObjectInputStream in = new ObjectInputStream(new FileInputStream("user.txt"));
		User user = (User)in.readObject();
		System.out.println(user);//User [id=1, nameString=张三, age=18]
	}
}

打印结果: User [id=1, nameString=张三, age=18]

序列化的细节序列化的版本

1.如果某些数据不需要做序列化,比如密码,此时怎么办?   

理论上说,静态的字段和瞬态的字段是不能做序列化操作的.

import java.io.Serializable;
 
public class User implements Serializable{
	private int id;
	transient private int password;//加上了transient修饰符
	private String nameString;
	private int age;
	public int getId() {
		return id;
	}
	public void setId(int id) {
		this.id = id;
	}
	public void setPassword(int password) {
		this.password = password;
	}
	public int getPassword() {
		return password;
	}
	public String getNameString() {
		return nameString;
	}
	public void setNameString(String nameString) {
		this.nameString = nameString;
	}
	public int getAge() {
		return age;
	}
	public void setAge(int age) {
		this.age = age;
	}
	public User(int id, int password, String nameString, int age) {
		super();
		this.id = id;
		this.password = password;
		this.nameString = nameString;
		this.age = age;
	}
	@Override
	public String toString() {
		return "User [id=" + id + ", password=" + password + ", nameString="
				+ nameString + ", age=" + age + "]";
	}
}

输出结果:

 2.序列化的版本问题:
        反序列化Java对象时必须提供该对象的class文件,现在问题是,随着项目的升级,系统的class文件也会升级(增加一个字段/删除一个字段),如何保证两个class文件的兼容性? Java通过serialVersionUID(序列化版本号)来判断字节码是否发生改变.如果不显示定义serialVersionUID类变量,该类变量的值由JVM根据类相关信息计算,而修改后的类的计算方式和之前往往不同.从而造成了对象反序列化因为版本不兼容而失败的问题.

解决办法:

  • 给对象所属的类加一个serialVersionUID
  • 给该成员变量加transient关键字修饰,该关键字标记的成员变量不参与序列化过程

演示代码

public class Student implements Serializable {
    private static final long serialVersionUID = 42L;
    private String name;
//    private int age;
    private transient int age;

    public Student() {
    }

    public Student(String name, int age) {
        this.name = name;
        this.age = age;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

//    @Override
//    public String toString() {
//        return "Student{" +
//                "name='" + name + '\'' +
//                ", age=" + age +
//                '}';
//    }
}
public class Student implements Serializable {
    private static final long serialVersionUID = 42L;
    private String name;
//    private int age;
    private transient int age;

    public Student() {
    }

    public Student(String name, int age) {
        this.name = name;
        this.age = age;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

//    @Override
//    public String toString() {
//        return "Student{" +
//                "name='" + name + '\'' +
//                ", age=" + age +
//                '}';
//    }
}

学JAVA的秀琴
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Java代码审计】反序列化漏洞篇
大河之犬的博客
03-25 865
Java 序列化反序列化处理在基于 Java 架构的 Web 应用中具有尤为重要的作用。例如位于网络两端、彼此不共享内存信息的两个 Web 应用在进行远程通信时,无论相互间发送何种类型的数据,在网络中实际上都是以二进制序列的形式传输的。为此,发送方必须将要发送的 Java 对象序列化为字节流,接收方则需要将字节流再反序列化,还原得到 Java 对象,才能实现正常通信。当攻击者输入精心构造的字节流被反序列化为恶意对象时,就会造成一系列的安全问题。在 Java 原生的API 中,序列化的过程由 类的 方法
01-JAVA反序列化-入门
Curry_live的博客
09-02 1289
JAVA反序列化漏洞原理与利用链构造基础知识
java基础--序列化反序列化
zyer
05-04 517
Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。 将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象。 Java 提供了两个类 java.io.ObjectOutputStream 和 java.io.ObjectInputStream 来实现序列化反序列化的功能,其中 ObjectInputS
java基础--反序列化漏洞原理
zyer
05-04 4480
原理 根据上篇文章可以了解到,一个类想要实现序列化反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
java反序列化
lijiayou_jiayou的博客
09-08 122
1.需要有一个可以提交序列化字节流的地方2.有可以被利用的类3.类序列化后,类实例已不再关注,我们的重点是执行了readObject方法。
序列化反序列化
RJ0024的博客
12-02 419
考虑到可读性,数据往往不是以最有效的方式编写,但为了存储或传递数据时更加高效,同时不丢失其类型和结构,可以利用序列化反序列化函数对数据进行处理。 序列化 将特定格式数据转换为可以恢复的字节串序列 什么时候进行序列化? 1)数据在网络上传输时 2)数据保存到文件中时 (由于序列化返回的是字符串,方便存储于任何地方!) 反序列化 顾名思义,将序列化得出的字符串恢复为原有格式数据的过程 什么时候进行反序列化? 1)程序读取数据的时候 序列化反序列化的目的是在不影响数据有效性情况下,更高效地存储和传输数据,使程
高考作文序列化训练专题十.pdf
11-28
【高考作文序列化训练专题十】的文档主要探讨了如何在高考作文中通过细腻的描写技巧,如人物描写、环境描写和细节描写,来展现情感深度和故事张力,特别是如何围绕“忧与爱”的主题进行叙事。这篇文档提供了一个实际...
高考作文序列化训练专题九.doc
09-25
【高考作文序列化训练专题九】的文档主要探讨了智慧的内涵,并通过一个关于爷爷作画的故事,展示了如何在困境中运用智慧。智慧被定义为一种能够忘却痛苦与纠缠的能力,是面对生活的辽阔与悠然的态度。文章通过爷爷的...
LINQ to SQL序列化
04-11
综上所述,"LINQ to SQL序列化"是一个关于如何使用C#的泛型、扩展方法和反射功能,为LINQ to SQL类实现高效且灵活的序列化库的专题。这个库对于需要跨系统传输或长期存储LINQ to SQL数据的对象非常有用,同时也展示...
SpringBoot专题学习Part27:SpringBoot整合RabbitMQ(发送接收消息、序列化、监听消息、AmqpAdmin的使用)
01-20
一、介绍 RabbitMQ是一套开源的消息队列服务软件 是由LShift提供的一个AMQP的开源实现 由以高性能 健壮以及可伸缩性出名的Erlang写成 具有很高的稳定性和可靠性 二、使用 1、准备和配置 首先是引入RabbitMQ的依赖 ...
XX初中序列化主题班会活动交流材料资料.pdf
11-08
【XX初中序列化主题班会活动交流材料】探讨了如何有效地利用主题班会作为德育工具,促进学生全面发展和班级建设。主题班会是班主任进行思想品德教育的重要手段,旨在通过集体活动激发学生的集体智慧和力量,提升他们...
java readobject源码解读和反序列化分析
热门推荐
一个码农的笔记
06-10 3万+
首先看java.io.readobject函数: public final Object readObject() throws IOException, ClassNotFoundException { if (enableOverride) { return readObjectOverride(); } // if nested read, passHandle contains handle of en
Java序列化反序列化(一)
weixin_45734473的博客
09-14 278
Java序列化反序列化
一文带你了解序列化反序列化基本原理与操作
m0_68987535的博客
07-06 1万+
序列化是指将对象转换为字节序列的过程,以便于存储或传输。在序列化过程中,对象的状态信息将被转换为字节流,可以保存到文件中或通过网络传输给其他计算机。反序列化则是将字节序列恢复为对象的过程。通过反序列化操作,可以从存储的字节流中还原对象的状态。这使得可以在程序重启后,读取保存的字节流并重新构造对象,从而快速恢复对象的状态。在分布式系统中,可以将对象进行序列化,并在不同的计算机之间进行传输。接收方可以通过反序列化操作将字节序列转换为可操作的对象。某些远程通信框架使用序列化反序列化来实现远程方法调用。
初识Java反序列化漏洞
weixin_43610673的博客
12-18 3150
Java反序列化漏洞 漏洞成因是自定义实现Serializable的方法中的readObject()方法内代码逻辑存在缺陷。 Java反序列化readObject()方法的作用相当于PHP反序列化中的魔术函数,使反序列化过程部分可控,通过去寻找可利用的类并构造反射链来进行任意代码执行。 Java反序列化 序列化的基本概念 • 序列化:将对象转换为字节序列 • 反序列化:由字节序列恢复为对象 • 意义:序列化机制允许将实现序列化Java对象转换位字节序列,这些字节序列可以保存在磁盘上,或通过网络传输,以达
清晰易懂java反序列化漏洞简介
weixin_56606020的博客
03-16 7717
Java反序列化漏洞 序列化反序列化序列化的数据是方便存储的,而存储的状态信息想要再次调用就需要反序列化 序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程 反序列化即逆过程,由字节流还原成对象 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。 作用: 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2.在网络上传送对象的字节序列。 应用场景: 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物..
golang 接口
最新发布
m0_70982551的博客
07-24 869
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Java对象序列化与I/O编程详解
通过使用`ObjectOutputStream`来写入对象到输出流,并使用`ObjectInputStream`从输入流中读取对象,可以实现对象的序列化反序列化。这种技术在数据持久化、网络通信和分布式系统中发挥着关键作用。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值