对象序列化浅析

最新推荐文章于 2025-11-08 08:53:20 发布
原创 最新推荐文章于 2025-11-08 08:53:20 发布 · 176 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文深入探讨了Java对象序列化的概念,即如何将对象转换为可跨平台存储和网络传输的字节数组。对象序列化主要用于数据持久化和网络通信。当需要进行跨平台存储或网络传输时,就需要使用序列化。Java中实现对象序列化只需让类实现Serializable接口。然而,静态属性和Transient修饰的属性不会被序列化。理解这些基本原理和限制对于有效地使用序列化至关重要。

对象序列化浅析

文章目录

1、什么是序列化

序列化最终的目的是为了对象可以跨平台存储,和进行网络传输。而我们进行跨平台存储和网络传输的方式就是IO,而我们的IO支持的数据格式就是字节数组。

因为我们单方面的只把对象转成字节数组还不行,因为没有规则的字节数组我们是没办法把对象的本来面目还原回来的,所以我们必须在把对象转成字节数组的时候就制定一种规则**(序列化),那么我们从IO流里面读出数据的时候再以这种规则把对象还原回来(反序列化)**

如果我们要把一栋房子从一个地方运输到另一个地方去,序列化就是我把房子拆成一个个的砖块放到车子里,然后留下一张房子原来结构的图纸,反序列化就是我们把房子运输到了目的地以后,根据图纸把一块块砖头还原成房子原来面目的过程。

2、什么情况下需要序列化

凡是需要进行“跨平台存储”和”网络传输”的数据,都需要进行序列化。

本质上存储和网络传输 都需要经过 把一个对象状态保存成一种跨平台识别的字节格式,然后其他的平台才可以通过字节信息解析还原对象信息。

3、如何序列化

JDK(不支持跨语言)、JSON、XML、Hessian、Kryo(不支持跨语言)、Thrift、Protostuff、FST(不支持跨语言)

Java对象序列化实现方式

只需要实现Serializable 接口即可

4、常见问题

问题一:static 属性不能被序列化

序列化保存的是对象的状态,静态变量属于类的状态,因此 序列化并不保存静态变量

问题二:Transient 属性不会被序列化

Transient 属性不会被序列化

Android中的序列化浅析
01-05
序列化原因 序列化的原因基本可以归纳为以下三种情况: 1.永久性保存对象,保存对象的字节序列到本地文件中; 2.对象在网络中传递; 3.对象在IPC间传递。 序列化方法 在Android系统中关于序列化的方法一般有两种,...
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
序列化是将一个对象转化为字符串的过程,而反序列化则是将字符串还原为对象的过程。PHP中可以使用`serialize()`和`unserialize()`函数进行序列化和反序列化操作。序列化的字符串遵循特定的格式,如在示例中所示,...
关于java中static关键字修饰的属性无法被序列化的解释说明
mtfghhhhh的博客
01-19 1891
static修饰的属性不能被序列化的原因是:被static修饰的属性是所有类共享的,如果可以序列化,就会出现下面的情况,当我们序列化某个类的一个对象到某个文件后,这个文件中的对象的那个被static修饰的属性值会固定下来,当另外一个普通的的对象修改了该static属性后,我们再去反序列化那个文件中的对象,就会得到和后面的对象不同的static属性值,这显然违背了static关键字诞生的初衷。 ...
java 对象序列化静态变量 及 transient
仲翎逸仙
07-12 2646
原文 序列化是将对象状态转换为可保持或传输的格式的过程,它也是RMI用来在不同JVM之间传递对象的机制,或者通过方法的参数或者作为一个方法调用的返回值。但有三个例外序列化不需要读或者写入到流: 序列化会忽略静态字段,因为他们不属于对象的任何状态。 基类的字段只有基类本身是序列化的时候才能被序列化。 瞬间字段(transient) 我在写对象序列化时遇到了一点疑问,代码如下.import java
静态变量能被序列化吗?
meser88的博客
08-30 4164
先解释下什么是序列化 我们的对象并不只是存在内存中,还需要传输网络,或者保存起来下次再加载出来用,所以需要Java序列化技术。 Java序列化技术正是将对象转变成一串由二进制字节组成的数组,可以通过将二进制数据保存到磁盘或者传输网络,磁盘或者网络接收者可以在对象的属类的模板上来反序列化类的对象,达到对象持久化的目的。 更多序列化请参考:《关于Java序列化你应该知道的一切》这篇文章。 什么是 transient? 简单来说就是,被 transient 修饰的变量不能被序列化。 具体来看下面的示例
Java 静态变量能够被序列化吗?
半夏_2021的博客
07-26 1938
静态变量能够被序列化吗? 我们先定义一个类,定义一个静态变量 staticVar = 5,将它被序列化后,再把 staticVar 设置成10,最后反序列化后得出的对象的staticVar 是5还是10呢? 代码如下: public class StaticSerializableTest implements Serializable { public static int staticVar = 5; @Override public String toString() {
序列化浅析
qq1620851849的博客
09-15 242
序列化是什么:序列化就是将一个对象的状态(各个属性量)保存起来,然后在适当的时候再获得。序列化分为两大部分:序列化和反序列化序列化是这个过程的第一部分,序列化以后会变成一个char数组或者一个string字符串,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象对象序列化不仅要将基本数据类型转换成字节表示,有时还要恢复数据。恢复数据要求有恢复数据的对象实例。序
Ue4_序列化浅析
热门推荐
mohuak的博客
10-12 2万+
序列化浅析 1. 序列化基本概念 序列化是指将对象转换成字节流,从而存储对象或将对象传输到内存、数据库或文件等的过程。 它的主要用途是保存对象的状态,以便能够在需要时重新创建对象。 反向过程称为“反序列化”。 (通俗来说就是保存和读取的过程分别为序列化和反序列化) 而在维基百科里面是这样解释的。 序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格...
序列化和反序列化浅析
zxh2075的专栏
10-18 694
序列化和反序列化对于现代的程序员来说是一个既熟悉又陌生的概念。说熟悉是因为几乎每个程序员在工作中都直接或间接的使用过它,说陌生是因为大多数程序员对序列化和反序列化的认识仅仅停留在比较一下各种不同实现的序列化的性能上面,而很少有程序员对序列化和反序列化的设计和实现有深入的研究。 本文将从序列化和反序列化的设计和实现的入手,来简单讲解一下序列化和反序列化。其中包括以下几个方面: 序列化和反
java 序列化 缺点_Java序列化浅析
weixin_34236672的博客
02-21 277
可以通过ObjectInputStream和ObjectOutputStream的readObject() 和writeObject() 方法进行反序列化序列化。实现代码:待序列化对象@Data@ToStringpublic class LearnDTO implements Serializable {private String name;private int age;private St...
浅析Python 序列化与反序列化
09-16
### 浅析Python序列化与反序列化 在软件开发领域,序列化和反序列化是数据处理过程中不可或缺的一部分。序列化是指将程序中的对象转换为可以存储或传输的格式的过程;而反序列化则是相反的过程,即把存储或传输后的...
浅析JavaScriptSerializer类的序列化与反序列化
01-19
JavaScriptSerializer 类由异步通信层内部使用,用于序列化和反序列化在浏览器和 Web 服务器之间传递的数据。说白了就是能够直接将一个C#对象传送到前台页面成为javascript对象。要添加System.Web.Extensions.dll的...
浅析JSON序列化与反序列化
01-20
本文将浅析JSON的序列化与反序列化,介绍两种常见的.NET框架下实现方式。 首先,我们来看第一种方法,即通过`System.Web.Script.Serialization`命名空间中的`JavaScriptSerializer`类来实现JSON序列化与反序列化。...
Sleeping-Cup-Chat:JavaScript驱动的高效公开聊天新选择
最新发布
yangrenrui的博客
11-08 363
JavaScript开源项目Sleeping-Cup-Chat提供高效公开聊天解决方案,基于WebSocket实现实时互动。该项目具备完善管理功能,包括权限设置、IP封禁和敏感词过滤,保障聊天秩序。支持历史记录保存和纯公开交流场景,适配企业、教育、社群等多种需求。GitHub地址:https://github.com/YANGRENRUIYRR/Sleeping-Cup-Chat
Java 中 @Autowired注解
guigenyi的专栏
11-04 792
@Autowired是Spring框架的核心注解,用于实现依赖注入(DI),让Spring容器自动管理对象依赖关系。它支持三种注入方式:字段注入(最常见)、构造器注入(推荐)和Setter方法注入。工作原理先按类型匹配Bean,存在歧义时再按名称或使用@Qualifier指定。主要优势包括解耦、易测试和可维护性提升,但也需注意处理找不到Bean或多个Bean的异常情况。构造器注入因其不可变性和明确性成为官方推荐方式。
java后端学习经验分享(大三进大厂版)
2301_79201170的博客
11-02 2618
大家好,我是西安邮电大学的2027届学生。和很多人一样,我只是一个双非,而在现在这样一个卷学历的时代,我想要找到一份好的实习必然是很困难的。我先说一下我自己的情况,我是软件工程专业,学的是Java后端开发,在今年10月找到了美团的一份后端开发实习,也是我大学的第一份实习。那就有人要问了,java现在不是卷爆了吗?没错。所以如果还有一次选择的机会,我一定学前端(懂的都懂,现在前端学的人没有后端多,而且很多大厂对于前端的岗位开放了很多,属于是需求量增加了,而我们后端依旧在卷来卷去,不推荐哈,起码就是如果要进大厂
Java/PHP源码解析:一站式上门维修服务系统的全栈实现
2509_93184100的博客
11-04 1480
本文解析了基于PHP技术栈的维修服务平台系统开发方案,针对O2O本地服务需求,提出包含用户端、师傅端和管理后台的三端架构。系统采用前后端分离设计,详细对比了Laravel框架与Hyperf/Swoole两种后端技术方案,分别适用于快速开发和微服务场景。文章重点介绍了核心功能模块实现,包括订单管理、智能派单等,并提供了高并发处理、数据一致性和安全防护等关键技术建议。该方案通过模块化设计支持灵活扩展,为创业者提供了一套开箱即用的维修服务系统解决方案。
帆软反序列化利用链分析
10-11
在[代码审计]帆软channel反序列化漏洞hsql链浅析利用中提到,在Jackson原生反序列化利用链里,com.fasterxml.jackson.databind.ObjectMapper#writeValueAsString方法会调用传入对象的无参getter方法,可利用com.fasterxml.jackson.databind.node.POJONode类来触发writeValueAsString方法[^2]。 一般来说,对帆软反序列化利用链分析,首先要明确触发反序列化的关键点。像Java序列化触发点,请求体传入的字节 byte[] var0 需经过一系列包装,如 ByteArrayInputStream var1 = new ByteArrayInputStream(var0); 、 GZIPInputStream var2 = new GZIPInputStream(var1) 、 CustomObjectInputStream var3 = new CustomObjectInputStream(var2) ,最后通过 (Map)var3.readObject() 进行反序列化操作[^5]。 对于利用链分析,还需要了解相关类的序列化和反序列化过程。以Hashtable为例,其序列化时,writObject会把table.length和count写入字节序列,分别代表table数组的长度和hashtable中的元素个数,table是一个Entry数组,用于存储键值对,之后遍历tabla数组将每个元素写入字节序列中;反序列化则有对应的操作来触发相关调用,例如在某些情况下会触发e.key.equals(key)等操作,从而形成利用链中的一环[^4][^3]。 而ysoserial的反序列化利用链分析虽和帆软不一定直接相关,但能提供一些思路。ysoserial的序列化数据(payload)构造是为了满足某条函数调用的路径,反序列化利用链分析多是函数调用栈的复述,如果没有亲自调试过,很难看懂相关文章,也难以确定自己是否学到位了[^1]。 ```java // 示例代码,简单展示反序列化触发的包装过程 import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.ObjectInputStream; import java.util.Map; import java.util.zip.GZIPInputStream; class CustomObjectInputStream extends ObjectInputStream { public CustomObjectInputStream(java.io.InputStream in) throws IOException { super(in); } } public class DeserializationExample { public static void main(String[] args) throws IOException, ClassNotFoundException { byte[] var0 = new byte[0]; // 模拟请求体传入的字节 ByteArrayInputStream var1 = new ByteArrayInputStream(var0); GZIPInputStream var2 = new GZIPInputStream(var1); CustomObjectInputStream var3 = new CustomObjectInputStream(var2); Map result = (Map) var3.readObject(); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值