懒汉式单例模式如何防止发射和反序列化漏洞

最新推荐文章于 2022-12-15 10:47:34 发布
最新推荐文章于 2022-12-15 10:47:34 发布
阅读量510 收藏
点赞数
分类专栏: JAVA 文章标签: java 单例模式 懒汉式 反射 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39572257/article/details/90749128
版权

懒汉式单例模式:

/**
 * 测试饿汉式单例模式
 * Created by GQ on 2019/4/17.
 */
public class Demo02 implements Serializable{
    //类初始化时,不初始化这个对象(延时加载,真正使用的时候在创建)
    private static Demo02 demo02;

    private Demo02() {
        if(demo02 != null){ // 防止反射调用构造器的漏洞
            throw  new RuntimeException();
        }
    }

    //真正使用的时候才创建对象,资源利用率高
    //使用同步方法,并发效率较低
    public static synchronized Demo02 getInstance() {
        if (demo02 == null) {
            demo02 = new Demo02();
        }
        return demo02;
    }

    //反序列化时,如果定义了readResolve()方法,则直接返回此方法指定的对象,而不需要单独再创建新对象
    private Object readResolve() throws ObjectStreamException{
        return demo02;
    }
}

测试:

/**
 * 测试懒汉式单例模式(如何防止反射和反序列化漏洞)
 * Created by GQ on 2019/4/17.
 */
public class Client2 {
    public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, IOException {
        Demo02 d1 = Demo02.getInstance();
        Demo02 d2 = Demo02.getInstance();

        System.out.println(d1);
        System.out.println(d2);

        //反射漏洞(通过反射的方式直接调用私有构造器),解决方法:通过在自定义构造器中抛出异常处理
//        Class<?> c = Class.forName("com.gq.study.pattern.singleton.Demo02");
//        Constructor<Demo02> constructor = (Constructor <Demo02>) c.getDeclaredConstructor(null);
//        constructor.setAccessible(true); // 跳过安全检查,访问私有方法
//        Demo02 d3 = constructor.newInstance();
//        Demo02 d4 = constructor.newInstance();
//        System.out.println(d3);
//        System.out.println(d4);

        //反序列化漏洞(通过反序列化的方式构造多个对象),解决方法:在类中定义readResolve()方法,直接返回此方法指定的对象
        FileOutputStream fos = new FileOutputStream("E:/Idea-git/MyStudy-Java/a.txt");
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        oos.writeObject(d1);
        oos.close();
        fos.close();

        FileInputStream fis = new FileInputStream("E:/Idea-git/MyStudy-Java/a.txt");
        ObjectInputStream ois = new ObjectInputStream(fis);
        Demo02 d5 = (Demo02) ois.readObject();
        System.out.println(d5);


    }
}
guan-qing
关注
专栏目录
Java单例模式-反射反序列化漏洞和解决方案
Roc_Li
06-16 721
问题: 反射可以破解单例模式的实现(不包含枚举单例模式) (可以在构造方法中手动抛出异常控制) 反序列也可以破解单例模式的实现(不包含枚举单例模式) (可以通过定义readResolve()防止获得不同对象 -反序列化时,如果对象所在类定义了readResolve(),实际时一种回调,定义返回哪个对象) 反射破解单例-懒汉为例 public static void main(String[]...
单例模式(饿汉VS懒汉
qq_50233116的博客
05-29 866
所谓类的单例设计模,就是采取一定的方法保证在整个的软件系统中,对某个类只能存在一个对象实例,并且该类只提供一个取得其对象实例的方法
PHP编码安全:如何避免反序列化漏洞
yihuliunian的博客
09-15 240
转自:http://www.pinlue.com/article/2020/09/0111/5011160976750.html
你写的单例模式,能防止反序列化反射吗?
u011277123的博客
11-04 594
追逐。望星空 2020-08-18 推荐学习 “23种设计模知识要点”都没读通过,还有脸说摸不清搞不懂? 玩转JAVA筑基之Netty、并发编程与设计模,打好基础备战春招 前言 说起单例模式,相信大家都不会陌生。因为相比其他设计模,实现一个单例模式是比较简单的。单例模式的意思就是一个类只有一个实例。 获取类的实例,我们往往采用new关键字,但是要保证一个类只能有一个实例,所以不能让使用这个类的开发人员利用new关键字来创建实例。也就是不能让外部调用类的构造方法,所以很容易想到类的构造方法..
单例模式懒汉防止反射漏洞
墨客
04-07 812
public class SingLazy { //类的初始化 不初始化这个对象(延迟加载,用到再创建) private static SingLazy instane; //私有化构造器 private SingLazy(){ //多次调用,抛出异常,防止反射 if(instane!=null){ ...
单例模式——防止序列化、反序列化以及反射攻击
weixin_33849215的博客
12-23 102
转载于:https://www.cnblogs.com/hskw/p/10164598.html
单例模式防止攻击(反射攻击)
msy7788的博客
10-25 1593
这几天看了几篇java单例模式,以前也看过很多java单例的创建什么的,也知道怎么创建这些单例,比如懒汉啊、饿汉啊、枚举啊什么的,但是一直就是不明白为什么单例就是安全的,为什么懒汉和饿汉就没有枚举安全? 直到这几天看点儿多线程的东西才发现,多线程里面要求全局变量是固定的,不可变得(为什么?)。举个例子:买票的时候,有三个窗口,同时去卖票。这三个窗口的售票员都要从统一的地方去取票,这统一的地方其...
java 单例模式懒汉与饿汉
08-29
Java 单例模式是一种常用的软件设计模,在它的可信结构中只包含一个被实例化单例的特殊类。通过单例设计模可以把整系统中的一个类只有一个实例。单例设计模又分为两种方懒汉和饿汉懒汉单例 ...
单例模式反射漏洞反序列化漏洞代码实例
08-26
单例模式中,存在五种常见的实现方:枚举单例模式、饿汉单例模式懒汉单例模式、双重检查锁定单例模式和静态内部类单例模式。其中,枚举单例模式是最安全的实现方,因为它可以避免反射漏洞反序列化...
使用单例模式创建学生管理系统(饿汉懒汉
04-28
在这个场景中,我们将探讨如何使用单例模式来创建一个学生管理系统,主要涉及“饿汉”和“懒汉”两种实现方。 **饿汉单例** 饿汉单例在类加载时就完成了实例化,因此它是线程安全的。这种方保证了单例...
作为一种设计模单例模式,可以说的设计模中比较难的。主要涉及到饿汉模懒汉,线程安全问题,反射攻击,序列化破坏等。
u014135561的博客
02-11 159
作为一种设计模单例模式,可以说的设计模中比较难的。主要涉及到饿汉模懒汉,线程安全问题,反射攻击,序列化破坏等。
懒汉的安全优化方,两种方。线程同时运行的时候,不会创建两个对象
甲戌天火的博客
08-18 390
/** * 懒汉的安全优化方,两种方。 * * @author jiaxutianhuo * */ public class Singleton { // 私有化构造 private Singleton() { // 私有化构造函数,不能用new Singleton来创造对象。 // 只能通过getInstance创造对象,也就是用同一个对象。 System.o
Java单例模式懒汉及如何解决多线程单实例问题
HelloWorld小码农的博客
10-12 239
视频地址: Java单例模式懒汉及如何解决多线程单实例问题 更多精彩内容,敬请扫码关注(HelloWorld小码农):  
java设计模单例模式之解决序列化和反射攻击问题
北平~
11-27 417
饿汉被序列化和反序列化破坏 解决办法: 单例类:实现序列化接口 //实现序列化接口,应对序列化与反序列化破坏单利模 public class HungrySingleton implements Serializable { private final static HungrySingleton hungrySingleton; static{ hung...
java单例模式经典代码案例(饿汉懒汉,静态内部类懒汉反射反序列化漏洞处理)
liangruilz的博客
10-28 396
java单例模式经典代码案例(饿汉懒汉,静态内部类懒汉反射反序列化漏洞处理) 1.饿汉单例模式(一上来就创建对象,饿的不行了)。 优点:线程安全,效率高。缺点:不能延时加载,占用资源 package com.liangrui.singletonMode; /** * @program: study * @description: 饿汉单例模式(一上来就创建对象,饿的不行了)。 * 优点:线程安全,效率高。缺点:不能延时加载,占用资源 * @auth
设计模(七): 单例模式懒汉、饿汉、静态内部类、双重检验锁、枚举、序列化反序列化反射攻击、容器单例)
流的博客
10-17 378
1. 定义 优点 缺点 特性: (1)私有构造函数 (2)线程安全 (3)延迟加载 (4)序列化和反序列化 (5)反射攻击 2. 懒汉 多线程创建: 主函数直接调用 开启线程调试:类型设置为Thread 开始调试: thread0 thread1 直接往下走,生成两个对象。 3. 双重检验锁 ...
序列化反序列化破坏单例模式的原因及解决方案(以懒汉为例)
CoderX(远离Bug)的博客
12-15 316
序列化反序列化破坏单例模式的原因及解决方案(以懒汉为例) 原因 通过阅读源码发现,反序列化方法的中如果是Object对象则调用,该方法首先会通过一个三目运算来创建序列化的对象。如果这个对象能实例化就创建一个新对象 解决方法 在通过三目运算创建了对象之后,还会去找这个对象里是否有方法,如果有,则通过这方法返回对象。 所以只需要在单例类中新增方法即可
单例模式懒汉,饿汉详解
qq_36542426的博客
05-27 293
什么是单例模式单例模式(Singleton Pattern)是 Java 中最简单的设计模之一。这种类型的设计模属于创建型模,它提供了一种创建对象的最佳方。 这种模涉及到一个单一的类,该类负责创建自己的对象,同时确保只有单个对象被创建。这个类提供了一种访问其唯一的对象的方,可以直接访问,不需要实例化该类的对象。 单例模式的优缺点: 优点 在内存中只有一个实例对象,减少内存开销。解决了频繁创建和销毁内存实例对象的问题。 避免过多的资源占用。比如:写文件操作 缺点: 没有接口,不能
懒汉单例模式和饿汉单例模式的异同
最新发布
11-19
以下是懒汉单例模式和饿汉单例模式的异同: 相同点: 1. 都是单例模式,即保证一个类只有一个实例对象。 2. 都使用了私有的构造函数,防止外部创建实例对象。 3. 都使用了静态变量来保存实例对象。 不同点: 1. 创建对象的时机不同:饿汉在类加载时就创建了对象实例,而懒汉是在使用时才创建。 2. 线程安全性不同:饿汉天生是线程安全的,因为在类加载时就已经创建了对象实例,而懒汉需要考虑线程安全问题,可以使用synchronized关键字或者双重检查锁定等方来保证线程安全。 3. 性能不同:饿汉在类加载时就创建了对象实例,所以在访问速度和反应时间上都比懒汉快,但是如果这个实例一直没有被使用,那么就会造成内存浪费。而懒汉只有在使用时才会创建对象实例,所以在内存占用上比饿汉要低,但是在访问速度和反应时间上会稍微慢一些。 下面是懒汉单例模式的示例代码: ```python class Singleton: __instance = None def __init__(self): if Singleton.__instance != None: raise Exception("该类已经实例化过了") else: Singleton.__instance = self @staticmethod def getInstance(): if Singleton.__instance == None: Singleton() return Singleton.__instance ``` 下面是饿汉单例模式的示例代码: ```python class Singleton: __instance = Singleton() def __init__(self): if Singleton.__instance != None: raise Exception("该类已经实例化过了") else: Singleton.__instance = self @staticmethod def getInstance(): return Singleton.__instance ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值