JAVA中的反序列化

最新推荐文章于 2024-09-09 03:48:04 发布
最新推荐文章于 2024-09-09 03:48:04 发布
阅读量672 收藏 4
点赞数 15
分类专栏: java 文章标签: java 开发语言 后端 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qa3629723/article/details/141299988
版权

Java 反序列化是将之前序列化存储的对象状态信息重新恢复为 Java 对象的过程。这个过程与序列化是相反的,它允许程序从字节流中重建对象,这对于网络传输、对象持久化以及分布式系统中的对象传递至关重要。下面将详细介绍 Java 反序列化的概念、实现方式、安全注意事项,并通过一个完整的代码示例和运行结果来说明反序列化的过程。

反序列化的概念

反序列化是序列化的逆过程,它将字节流转换回对象。这个过程需要确保反序列化时的类定义与序列化时的类定义保持一致。如果在反序列化时类的定义已经改变,可能会导致反序列化失败或者产生不正确的行为。

实现反序列化

要实现反序列化,需要使用 ObjectInputStream 类,它提供了 readObject 方法来读取字节流并转换回对象。下面将通过一个例子来展示反序列化的过程。

代码示例

首先,我们假设有一个已经序列化的 Person 对象存储在文件 person.obj 中。我们将通过以下步骤来反序列化这个对象:

  1. 创建 Person 类,该类实现了 Serializable 接口。
  2. 使用 ObjectOutputStream 将 Person 对象序列化到文件。
  3. 使用 ObjectInputStream 从文件中读取字节流并反序列化为 Person 对象。

  5. 下面是完整的代码示例:

import java.io.*;
public class DeserializationDemo {
    public static void main(String[] args) {
        try {
            // 反序列化对象
            FileInputStream fileIn = new FileInputStream("person.obj");
            ObjectInputStream in = new ObjectInputStream(fileIn);
            Person deserializePerson = (Person) in.readObject();
            in.close();
            fileIn.close();
            // 输出反序列化后的对象信息
            System.out.println("反序列化后的对象信息:");
            System.out.println("Name: " + deserializePerson.getName());
            System.out.println("Age: " + deserializePerson.getAge());
        } catch (IOException i) {
            i.printStackTrace();
            return;
        } catch (ClassNotFoundException c) {
            System.out.println("Person class not found");
            c.printStackTrace();
            return;
        }
    }
}
class Person implements Serializable {
    private static final long serialVersionUID = 1L;
    private String name;
    private int age;
    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }
    public String getName() {
        return name;
    }
    public int getAge() {
        return age;
    }
}

运行结果

假设 person.obj 文件已经存在,并且包含了一个序列化的 Person 对象。当我们运行 DeserializationDemo 类的 main 方法时,输出结果可能如下:

反序列化后的对象信息:
Name: 张三
Age: 30

这个输出表明我们已经成功地从文件 person.obj 中反序列化了一个 Person 对象,并且打印出了对象的 name 和 age 属性。

安全注意事项

反序列化过程虽然方便,但也存在一些潜在的安全风险:

  1. 类型安全:反序列化时可能会读取未知的数据流,这可能引发类型不匹配或转换异常。

  2. 恶意代码执行:如果序列化的数据被篡改,反序列化时可能会执行恶意代码,这被称为反序列化攻击。

  3. 版本兼容性:如果类的定义在序列化和反序列化之间发生变化,可能会导致 InvalidClassException。 为了提高安全性,可以采取以下措施:

  • 使用 ObjectInputFilter 来限制反序列化的对象类型。

  • 对序列化数据进行加密,以确保数据在传输过程中的安全性。

  • 在反序列化之前验证序列化数据,例如使用签名。

总结

Java 反序列化是序列化的逆过程,它允许程序从字节流中恢复对象状态。这个过程在分布式计算和对象持久化中非常重要。然而,反序列化也带来了安全风险,需要开发者谨慎处理。

程序研
关注
专栏目录
初识Java反序列化
m0_71563599的博客
06-04 1617
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
java 反序列化_Java-序列化-反序列化
weixin_36110673的博客
02-24 252
ThanksJava的序列化对象是存储在内存,但如果我们想把对象持久化存到硬盘上该怎么做呢?在Java,可以使用序列化:Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化deserialization是一种将这些字节重建成一个对象的过程。简单例子Java必须实现接口Serializable才能够被序列化,而Serializable接口没有方法,更像是个标记。...
Java基础学习笔记——序列化与反序列化
Future_yzx的博客
04-08 900
然后我们进行了序列化, 这时候,默认生成对应的 serialVersionUID,绑定的内容就是这个有2个字段属性的student,已经序列化保存到Test\src\student.txt文件里面了。Java的JDK提供了对应的API,来实现序列化和反序列化,就是把对象转化为字节序列以及再转化会对象的功能,便于Java对象的持久化储存和在网络的传输。加上serialVersionUID之后的对象,序列化之后,无论之后怎么修改,只要serialVersionUID不变,反序列化就可以正常进行。
Java 反序列化
最新发布
sky123博客
09-09 1051
反序列化基础 Java 的序列化(Serialization)和反序列化(Deserialization)是将对象的状态转换为字节流并恢复的过程。这个过程使对象可以保存到文件、通过网络传输或保存到数据库,并在稍后恢复成对象。 序列化(Serialization):将 Java 对象的状态转换为字节流的过程。这使得对象可以保存到文件、发送到其他 JVM 甚至通过网络传输。 反序列化(Deserialization):将字节流转换回 Java 对象的过程。这允许恢复先前序列化的对象状态。 序列化条件 要使
Java反序列化
m0_46390077的博客
11-22 989
​ PHP的反序列化java反序列化是两种不同的类型,序列化和反序列化本身没有漏洞点,只是为了实现数据的完整高效的传输。​ PHP反序列漏洞是由于类里面的魔术方法调用了某个函数,该危险函数又调用了别的函数,最终执行到了危险函数的位置转存…(img-6467S4OE-1700661213322)]
Java对象序列化与反序列化详解
09-03
本文将深入探讨Java的对象序列化与反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一个Java对象转换成字节流的过程,这个字节流可以存储在磁盘上,也可以在...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台持久化数据的一种常见方式。在Java应用程序,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
深入理解Java对象的序列化与反序列化的应用
09-05
Java对象的序列化和反序列化Java编程重要的概念,尤其在数据持久化和网络通信发挥着关键作用。本文将深入解析这两个过程以及相关的API。 首先,对象的序列化是将Java对象转换为字节序列的过程,以便能够存储...
深入分析Java的序列化与反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
JAVA反序列化jboss 进入后台(及送JAVA反序列化工具和国cai dao)
12-10
JAVA反序列化教程,利用JAVA反序列化软件进行检测,寻找,已经涉及到部分CMD命令和寻找网页IP,以及远程登陆简单介绍
Java反序列化工具.zip
05-31
java反序列化工具;weblogic反序列化工具;jboss反序列化工具。
Java对象的序列化和反序列化实践
12-22
 把字节序列恢复为Java对象的过程称为对象的反序列化。  对象的序列化主要有两种用途:  1)把对象的字节序列地保存到硬盘上,通常存放在一个文件;  2)在网络上传送对象的字节序列。  一、JDK类库...
Java反序列化详解
技术研究中心
07-23 217
反序列化是将对象的字节序列转换回对象的过程。在Java,对象序列化是将对象转换为字节序列以便存储或传输,而反序列化则是将这些字节序列重新转换为对象。在反序列化过程Java虚拟机使用该ID来验证序列化对象的版本。希望读者通过本文能够深入理解Java反序列化的机制和使用方法。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!本文详细介绍了Java反序列化过程及其基本原理,通过示例演示了如何使用。让我们通过一个简单的示例来演示Java反序列化过程。将字节流转换为对象。
java安全(五)java反序列化
weixin_45694388的博客
04-09 6366
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java语言内置的序列化方法,将一个对象转化成一串二进制
Java反序列化看这一篇就够了
saber的博客
03-12 2007
本文介绍了Java的序列化和反序列化机制。Java序列化是指将Java对象转换为字节序列的过程,以便存储在文件或在网络上传输;而Java反序列化是指将字节序列恢复为Java对象的过程。序列化和反序列化的过程,需要使用 ObjectOutputStream 和 ObjectInputStream 类来实现。文章还提到了序列化的原因,如远程过程调用和传输数据时需要将数据序列化为二进制形式。
JAVA反序列化基础
qq_44029310的博客
08-05 1103
本文包括:java序列化和反序列化的基础知识和案例演示,案例包括转化为文件字符输出流并保存成文件的方式和通过ByteArrayOutputStream保存为字节数组的方式进行序列化和反序列化,使用Binary工具查看序列化后的文件和数据含义解释。......
java反序列化基础
akxnxbshai的博客
11-13 499
java反序列化基础学习。
java反序列化修复的方法有哪些
05-17
Java反序列化修复的方法主要有以下几种: 1. 序列化版本号控制:在序列化类加入序列化版本号serialVersionUID,可以防止不同版本之间的冲突。 2. 自定义readObject方法:覆盖默认的反序列化方法readObject,在方法反序列化后的对象进行校验或者重新构造。 3. 使用ObjectInputFilter:Java 9 引入了ObjectInputFilter API,可以在反序列化时对序列化数据进行过滤和校验,避免恶意数据的反序列化攻击。 4. 使用安全的序列化框架:例如Google的Protocol Buffers和Apache的Avro,这些框架能够更加安全地序列化和反序列化数据,避免反序列化漏洞的产生。 总之,反序列化漏洞是一种常见的安全威胁,需要在开发注意避免。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值