来啊踩fastjson打印入参导致业务跑偏的坑

最新推荐文章于 2023-07-09 15:43:40 发布
VIP文章 最新推荐文章于 2023-07-09 15:43:40 发布
阅读量818 收藏
点赞数
分类专栏: java 源码解析 文章标签: 源码解析 fastjson 日志 debug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nihe123yiyang/article/details/81475398
版权

    线上代码对日志的记录,重要性自不必说。但是怎样记录日志也是有讲究的!
    日志可以直接在每个方法中进行日志记录,优点是想怎么记就怎么记,缺点是记日志的代码可    能会超过你的业务代码,可读性急剧下降,这也是日志框架蓬勃发展的源头。
    日志也可以通过非业务代码侵入的形式进行记录,具体来说就是合作切面(aop)进行日志记录,好处自然是让业务更纯洁,缺点是运行性能会受到影响。
    当然了,前面这些都不是本文的主题。本文的主题是,当你用切面进行日志记录时,然后fastjson是如何把你的业务代码给干掉的。
    JsonObject.toJsonString(pj.getArgs()); 这是一个对入参的一个简单打印,至于使用fastjson的原因,自然是因为其输出字符的易读性。args是一个数组。那么这里会有什么问题?普通的参数自然是没有问题了。问题在于,fastjson转换对象为字符串时,要求对象必须是支持可序列化的。为什么要求这样?

解析下fastjson源码过程:
初步进入源码:
// 直接调用json化方法
    public static String toJSONString(Object object) {
        return toJSONString(object, emptyFilters);
    }

// 转到复杂参数的调用
    public static String toJSONString(Object object, SerializeFilter[] filters, SerializerFeature... features) {
        return toJSONString(object, SerializeConfig.globalInstance, filters, null, DEFAULT_GENERATE_FEATURE, features);
    }

// 最终转换方法,1. 获取writer; 2. 处理filter; 3. 将数据定稿writer缓冲; 4. 返回缓冲数据给调用方
    public static String toJSONString(Object object, // 
                                      SerializeConfig config, // 
                                      SerializeFilter[] filters, // 
                                      String dateFormat, //
                                      int defaultFeatures, // 
                                      SerializerFeature... features) {
        SerializeWriter out = new SerializeWriter(null, defaultFeatures, features);

        try {
            JSONSerializer serializer = new JSONSerializer(out, config);

            if (dateFormat != null && dateFormat.length() != 0) {
                serializer.setDateFormat(dateFormat);
                serializer.config(SerializerFeature.WriteDateUseDateFormat, true);
            }

            if (filters != null) {
                for (SerializeFilter filter : filters) {
                    serializer.addFilter(filter);
                }
            }

            serializer.write(object);       // 最核心方法

            return out.toString();
        } finally {
            out.close();
        }
    }
深入内部调用,追根究底:
// 写方法的进一步操作
    public final void write(Object object) {
        if (object == null) {
            out.writeNull();
            return;
        }

        Class<?> clazz = object.getClass();
        ObjectSerializer writer = getObjectWriter(clazz);    // 关键,返回各种对应的序列化器, 如 ObjectArrayCodec

        try {
            writer.write(this, object, null, null, 0);        // 调用对应的序列化器进行处理
        } catch (IOException e) {
            throw new JSONException(e.getMessage(), e);
        }
    }

// 追踪到在运行write方法时出的问题 ObjectArrayCodec
    public final void write(JSONSerializer serializer, Object object, Object fieldName, Type fieldType, int features)
                                                                                                       throws IOException {
        SerializeWriter out = serializer.out;

        Object[] array = (Object[]) object;

        if (object == null) {
            out.writeNull(SerializerFeature.WriteNullListAsEmpty);
            return;
        }

        int size = array.length;

        int end = size - 1;

        if (end == -1) {
            out.append("[]");
            return;
        }

        SerialContext context = serializer.context;
        serializer.setContext(context, object, fieldName, 0);

        try {
            Class<?> preClazz = null;
            ObjectSerializer preWriter = null;
            out.append('[');

            if (out.isEnabled(SerializerFeature.PrettyFormat)) {
                serializer.incrementIndent();
                serializer.println();
                for (int i = 0; i < size; ++i) {
                    if (i != 0) {
                        out.write(',');
                        serializer.println();
                    }
                    serializer.write(array[i]);
                }
                serializer.decrementIdent();
                serializer.println();
                out.write(']');
                return;
            }

            for (int i = 0; i < end; ++i) {
                Object item = array[i];

                if (item == null) {
                    out.append("null,");
                } else {
                    if (serializer.containsReference(item)) {
                        serializer.writeReference(item);
                    } else {
                        Class<?> clazz = item.getClass();

                        if (clazz == preClazz) {
                            preWriter.write(serializer, item, null, null, 0);
                        } else {
                            preClazz = clazz;
                            preWriter = serializer.getObjectWriter(clazz);

                            preWriter.write(serializer, item, null, null, 0);
                        }
                    }
                    out.append(',');
                }
            }

            // 最后一个数组需要单独处理
            Object item = array[end];

            if (item == null) {
                out.append("null]");
            } else {
                if (serializer.containsReference(item)) {
                    serializer.writeReference(item);
                } else {
                    serializer.writeWithFieldName(item, end);
                }
                out.append(']');
            }
        } finally {
            serializer.context = context;
        }
    }
找到最后个出现问题的地方,发现再往下无法再跟踪:
// 外部简单调用
public final void writeWithFieldName(Object object, Object fieldName) {
    writeWithFieldName(object, fieldName, null, 0);
}

// 最终报错是在这里
    public final void writeWithFieldName(Object object, Object fieldName, Type fieldType, int fieldFeatures) {
        try {
            if (object == null) {
                out.writeNull();
                return;
            }

            Class<?> clazz = object.getClass();

            ObjectSerializer writer = getObjectWriter(clazz);        // ASMSerializer_2_RequestFacade 

            writer.write(this, object, fieldName, fieldType, fieldFeatures);    // 此处使用asm语言写的代码,无法debug, 但是会抛出 IllegalStateException 
        } catch (IOException e) {
            throw new JSONException(e.getMessage(), e);
        }
    }
检查最后一次出现的问题,搜索出现的标记,找到动态生成asm代码的文件:
// 动态生成代码 ASMSerializer_2_RequestFacade
    public JavaBeanSerializer createJavaBeanSerializer(SerializeBeanInfo beanInfo) throws Exception {
        Class<?> clazz = beanInfo.beanType;
        if (clazz.isPrimitive()) {
            throw new JSONException("unsupportd class " + clazz.getName());
        }

        JSONType jsonType = clazz.getAnnotation(JSONType.class);

        FieldInfo[] unsortedGetters = beanInfo.fields;;

        for (FieldInfo fieldInfo : unsortedGetters) {
            if (fieldInfo.field == null //
                && fieldInfo.method != null //
                && fieldInfo.method.getDeclaringClass().isInterface()) {
                return new JavaBeanSerializer(clazz);
            }
        }

        FieldInfo[] getters = beanInfo.sortedFields;

        boolean nativeSorted = beanInfo.sortedFields == beanInfo.fields;

        if (getters.length > 256) {
            return new JavaBeanSerializer(clazz);
        }

        for (FieldInfo getter : getters) {
            if (!ASMUtils.checkName(getter.getMember().getName())) {
                return new JavaBeanSerializer(clazz);
            }
        }

        String className = "ASMSerializer_" + seed.incrementAndGet() + "_" + clazz.getSimpleName();
        String packageName = ASMSerializerFactory.class.getPackage().getName();
        String classNameType = packageName.replace('.', '/') + "/" + className;
        String classNameFull = packageName + "." + className;

        ClassWriter cw = new ClassWriter();
        cw.visit(V1_5 //
                 , ACC_PUBLIC + ACC_SUPER //
                 , classNameType //
                 , JavaBeanSerializer //
                 , new String[] { ObjectSerializer } //
        );

        for (FieldInfo fieldInfo : getters) {
            if (fieldInfo.fieldClass.isPrimitive() //
                //|| fieldInfo.fieldClass.isEnum() //
                || fieldInfo.fieldClass == String.class) {
                continue;
            }

            new FieldWriter(cw, ACC_PUBLIC, fieldInfo.name + "_asm_fieldType", "Ljava/lang/reflect/Type;") //
                                                                                                           .visitEnd();

            if (List.class.isAssignableFrom(fieldInfo.fieldClass)) {
                new FieldWriter(cw, ACC_PUBLIC, fieldInfo.name + "_asm_list_item_ser_",
                                ObjectSerializer_desc) //
                                                       .visitEnd();
            }
最低0.47元/天 解锁文章
yougewe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
报告编号:B6-2019-090501 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-09-05 0x00 漏洞背景 2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。 建议广大用户对自身的业务/产品进行组件自查,防止自身业务受到攻击。
ASM在FastJson中的应用
kshzhaohui的专栏
06-17 2161
前言 上文ASM门篇中除了对ASM的使用做了介绍,同时也提到ASM被使用的一些场景,其中有一项就是ASM被用来代替Java反射;FastJson作为序列化工具,就使用了ASM来代替反射的使用,提高整体的性能。 序列化 序列化就是将对象转换成Json格式的字符串,然后用来持久化或者网络传输;FastJson提供了接口类ObjectSerializer: public interface ObjectSerializer { void write(JSONSerializer seriali
解决java.lang.NoSuchMethodError: com.alibaba.fastjson.serializer.JavaBeanSerializer.processValue报错
冬青_L的博客
07-09 1587
里面出错了,并不是redisCache配置类的错误,而是在其调用到fastjson依赖中的某个内容时出错。应该是导fastjson依赖的版本问题,因为此前用的另一个版本是没有错的。将fastjson依赖版本由1.2.62换成1.2.33即可。
广告发布项目复习(2)
qq_52687581的博客
05-24 127
4.常见控件的修改 a 单选树控件 如上图控件需把该控件以下属性设置为 class="mini-buttonedit" onbuttonclick="onChoose" allowInput="false" // 单选树页面的回调 function onChoosr() { epoint.openDialog('选择作者', 'framemanager/orga/orga/ou/selectouuser', choosedCallBack) }; functio.
Redis操作指南
qq_32717909的博客
05-04 303
1 Redis简介 Redis 是完全开源免费的、遵守BSD协议的高性能数据库。Redis支持String,list,set,zset,hash等数据结构的key-value存储。它支持数据的持久化,支持master-slave模式的数据备份,支持事务。 Redis 优势: (1)性能极高 – Redis能读的速度是110000次/s,写的速度是81000次/s 。 (2)丰富的数据类型 – Re...
一次完整的JVM堆外内存泄漏故障排查记录
蛮三刀酱
08-26 1291
前言 记录一次线上JVM堆外内存泄漏问题的排查过程与思路,其中夹带一些JVM内存分配机制以及常用的JVM问题排查指令和工具分享,希望对大家有所帮助。 在整个排查过程中,我也走了不少弯路,但是在文章中我仍然会把完整的思路和想法写出来,当做一次经验教训,给后人考,文章最后也总结了下内存泄漏问题快速排查的几个原则。 本文的主要内容: 故障描述和排查过程 故障原因和解决方案分析 JVM堆内内存和堆外内存分配原理 常用的进程内存泄漏排查指令和工具介绍和使用 文章撰写不易,请大家多多支持我的原创技术公众号:后端
fastjson的内存泄漏问题
aasoga的博客
01-30 3499
内存泄漏 metaspace内存泄露
原创 | FastJson稍微使用不当就会导致StackOverflow
HollisChuang's Blog
11-11 636
△Hollis, 一个对Coding有着独特追求的人△这是Hollis的第235篇原创分享作者 l Hollis来源 l Hollis(ID:hollischuang)对于广大的开发人员来说,FastJson大家一定都不陌生。FastJson(https://github.com/alibaba/fastjson)是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java ...
fastjson报错create asm serializer error和Invalid method Code length 68516 in class...
77的博客
06-24 4875
比如下面这个样子: 其实就是字段太多了。 解决方案如下: 1.可以转换成map,然后json打印,我测试过了。不报错的。 2.划重点了。升级一下fastjson就行了。目前我测试了一下1.2.58版本是不报错的。 ...
FastJson.java
09-04
com.alibaba.fastjson.JSON读写json
最新版fastjson-2.0.4.jar
06-22
最新版fastjson-2.0.4.jar,阿里巴巴旗下现最流行的json转换工具包。详细操作使用,请考我的文章链接:https://blog.csdn.net/qq_45978154/article/details/125004445?spm=1001.2014.3001.5502
fastjson-1.2.54-API文档-中文版.zip
07-09
赠送jar包:fastjson-1.2.54.jar; 赠送原API文档:fastjson-1.2.54-javadoc.jar; 赠送源代码:fastjson-1.2.54-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.54.pom; 包含翻译后的API文档:fastjson-...
FastJsonJar
01-05
FastJsonJar_你要的都在里面。。。。。。。。。。。。
关于FastJson出现对象引用问题的解决方案
Sx_Ll_Qiang的博客
09-16 6104
这里首先说一下后台返回的json格式 总结了一下,大概就是两种: 对象 -----{"key" , "value"} 对象类型 集合-----{"key" , "value"} ,{"key" , "value"} ]数组/集合类型 注意:在json转换中 对象即Map , Map 即对象 ; 换言而止 , Map 和对象类型转换出来的json字符串格式是一样的; 下面是一个demo...
com.alibaba.fastjson.JSONException: create asm serializer error
hacker_Lees的博客
04-18 8573
当日志插件中,有一功能是打印日志文件的功能,今天调试时,遇到上述异常,记录下排查过程和解决办法。 问题出在调用下面的方法上: this.processSysLog(log, syslog, JSON.toJSONString(result)); JSON.toJSONString(Object object)异常记录如下: Caused by: com.alibaba.fastjson.JSO...
修复fastjson启用WriteClassName时parse原生类型属性错误的bug
红流
01-22 5292
fastjson WriteClassName (long short double float short byte) parse bug
LeetCode刷题(七)——递归思维+滑动窗口
Eve12345678的博客
07-31 599
Day10 2020.07.31 1.reverse-string 编写一个函数,其作用是将输的字符串反转过来。输字符串以字符数组 char[] 的形式给出。不要给另外的数组分配额外的空间,你必须原地修改输数组、使用 O(1) 的额外空间解决这一问题。你可以假设数组中的所有字符都是 ASCII 码表中的可打印字符。 解法一:双指针 class Solution{ public: void reverseString(vector<char>& s) {
fastjson2格式化输出打印
最新发布
08-11
我们可以通过以下步骤来实现fastjson2的格式化输出打印: 1. 导fastjson2库的相关依赖。可以在项目的pom.xml文件中添加fastjson2的依赖项,或者手动将fastjson2的jar包添加到项目的类路径中。 2. 创建一个Java...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值