java序列化与反序列化

最新推荐文章于 2024-11-03 11:01:20 发布
最新推荐文章于 2024-11-03 11:01:20 发布
阅读量369 收藏
点赞数 5
文章标签: java 开发语言 web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58683895/article/details/134560403
版权
本文详细讲解Java中序列化/反序列化机制,包括ObjectOutputStream.writeObject()和ObjectInputStream.readObject(),并提到了潜在的反序列化漏洞案例。
摘要由CSDN通过智能技术生成

java中序列化与反序列化

概念

在Java中,序列化是指将对象转换为字节流的过程,而反序列化则是将字节流转换回对象的过程。序列化和反序列化通常用于在网络上传输对象或将对象持久化到磁盘上。

要对一个对象进行序列化,可以使用ObjectOutputStream类。该类提供了writeObject()方法,可以将对象转换为字节流并写入到输出流中。

要对一个字节流进行反序列化,可以使用ObjectInputStream类。该类提供了readObject()方法,可以从输入流中读取字节流并转换为对象。

序列化:
ObjectOutputStream --> writeObject()
反序列化: 
ObjectInputStream --> readObject()  

什么是反序列化漏洞

java中的反序列化漏洞,由于开发者重写了readobject()方法,在该方法里面存在执行代码,在重写的readobject()方法中执行了链式调用,最终执行到了危险函数的位置

代码演示

先定义类 serialize,deserialize,test1,person

代码中如果报错,一般为没有导包,鼠标点过去然后alt+enter即可

serialize

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.io.Serializable;

public class serialize implements Serializable {

    public static void serialize1(Object obj, String filePath) throws IOException {
            try (FileOutputStream fileOut = new FileOutputStream(filePath);
                 ObjectOutputStream objectOut = new ObjectOutputStream(fileOut)){
            objectOut.writeObject(obj);
            }
    }


}

deserialize

import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;

public class deserialize implements Serializable {
    public static Object deserialize1(String filePath) throws IOException, ClassNotFoundException {
        try (FileInputStream fileIn = new FileInputStream(filePath);
             ObjectInputStream objectIn = new ObjectInputStream(fileIn)) {
            return objectIn.readObject();
        }
    }
}

person

import java.io.Serializable;

public class person implements Serializable {
    public String name="order";
    public int age=20;

}

test1

序列化时

import java.io.*;
public class test1 {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        person person1=new person();
        serialize seri=new serialize();
        serialize.serialize1(person1,"order.bin");

    }

}

然后会在当前目录生成一个order.bin文件

查看内容为序列化的结果

image-20231122190204725

反序列化时

import java.io.*;
public class test1 {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        person person1=new person();
        deserialize seri1=new deserialize();
        System.out.println("反序列化结果:" + deserialize.deserialize1("order.bin"));


    }

}

反序列化结果如图

image-20231122190444785

order libra
关注
java 序列化反序列化的实例详解
08-29
java 序列化反序列化的实例详解 Java 序列化反序列化Java 编程语言中的一种机制,允许将 Java 对象转换为字节序列,并将其反序列化Java 对象。序列化是指将 Java 对象转换为字节序列的过程,而反序列化是...
详解Java 序列化反序列化(Serialization)
08-26
Java 序列化反序列化(Serialization)知识点总结 Java 序列化反序列化Java 语言中的一种机制,用于将对象的状态信息转化为可以存储或者传输的形式的过程。序列化(Serialization)是将对象的状态信息转化为...
Java序列化反序列化
qq_44885775的博客
04-25 7376
java序列化反序列化知识点
Java 序列化反序列化
Jacks丶的博客
09-05 8565
介绍 Java序列化反序列化
Java中的序列化反序列化
yuiezt的专栏
07-15 3231
序列化(Serialization)与反序列化(Deserialization)是编程中常见的两个概念,它们主要涉及到将数据结构或对象状态转换为可以存储或传输的格式,以及将存储或传输的格式转换回原始的数据结构或对象状态的过程。这两个过程在数据持久化、网络通信、对象深拷贝等多个场景中发挥着重要作用。
java序列化反序列化详解
pyth0zn的博客
05-01 3880
serialVersionUID - 0x0e 76 fa 9f 59 73 be c6 是16进制转换为二进制,就是生成的值transient修饰的变量不能被序列化;transient只作用于实现 Serializable 接口;transient只能用来修饰普通成员变量字段;不管有没有 transient 修饰,静态变量都不能被序列化
java序列化反序列化全讲解
热门推荐
mocas_wang的博客
07-27 2万+
1 概述 序列化反序列化 Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 序列化分为两大部分:序列化反序列化序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示,有时还要恢复数据。恢复数据要求有恢复数据的对象实例。 为什么需要序列化反序列化 我们知道,当两个进程进行远程通信时,可以相互发送各种类型的数据,包括文本、图..
Java序列化反序列化详解
靖节先生的博客
03-24 1518
Java序列化反序列化1. 序列化反序列化概述1.1 序列化反序列化简介1.2 序列化反序列化作用1.3 序列化反序列化工具2. 常用序列化工具详解2.1 serialVersionUID2.2 fastjson2.3 Kryo2.4 jackson2.5 gson2. 代码实现 1. 序列化反序列化概述 1.1 序列化反序列化简介 序列化:把对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为对象的过程称为对象的反序列化。 1.2 序列化反序列化作用 序列化反序列化的作
Java序列化反序列化最全详解
莫忘莫忧的博客
09-15 3091
什么是序列化反序列化序列化序列化就是将 java对象 转化为字节序列的过程。 序列化是指把一个Java对象变成二进制内容,本质上就是一个byte[]数组。 为什么要把Java对象序列化呢?因为序列化后可以把byte[]保存到文件中,或者把byte[]通过网络传输到远程,这样,就相当于把Java对象存储到文件或者通过网络传输出去了。 注意:序列化是为了在传递和保存对象时,为了保证对象的完整性和可传递性。将对象转为有序的字节流,以便在网上传输或者保存在本地文件中。 反序列化反序列化就是将 字
Java IO篇:序列化反序列化
张维鹏的博客
01-12 1万+
两个服务之间要传输一个数据对象,就需要将对象转换成二进制流,通过网络传输到对方服务,再转换成对象,供服务方法调用。这个编码和解码的过程称之为序列化反序列化。所以序列化就是把 Java 对象变成二进制形式,本质上就是一个byte[]数组。将对象序列化之后,就可以写入磁盘进行保存或者通过网络中输出给远程服务了。反之,反序列化可以从网络或者磁盘中读取的字节数组,反序列化成对象,在程序中使用。
java序列化反序列化简单示例
CamphorBlossom的博客
01-31 2156
概念 java提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列(包括对象的数据、有关对象的类型和存储的数据类型信息)。简单点说,序列化表示将对象的状态转化成特定的流的过程;反序列化表示从特定的流中获取数据重新构建成对象的过程。 流:stream,二进制的字节序列。 另一方面理解,从内存读取到硬盘上的过程,可以看做是拆分对象;从硬盘读取到内存里的过程,可以看做是组装对象。 序列化的实现 类 ObjectInputStream 和 ObjectOutputStream 是
深入分析Java序列化反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
Java序列化反序列化三种格式存取
12-22
 Java中的序列化(serialization)机制能够将一个实例对象的状态信息写入到一个字节流中,使其可以通过socket进行传输、或者持久化存储到数据库或文件系统中;然后在需要的时候,可以根据字节流中的信息来重构一个...
Java序列化反序列化的实例分析讲解
08-26
Java序列化是将Java对象转换为字节流的过程,以便持久化存储或在网络间传输。这一过程的关键在于,对象必须实现`java.io.Serializable`接口,表明它可以被序列化。`Serializable`接口本身没有任何方法和变量,它仅仅...
HashMap为什么线程不安全
最新发布
rnnf_yyds的博客
11-03 323
HashMap底层是基于数组 + 链表(在 Java 8 以后,当链表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入链表(或树)时,线程 B 也获取到了这个位置的节点。
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 849
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
服务器虚拟化
Hellc007的博客
10-30 899
服务器虚拟化是一种将物理服务器的计算资源分割为多个独立虚拟环境的技术,通过软件层将底层硬件资源抽象化并在上层构建多个虚拟机(Virtual Machine, VM)。每个虚拟机运行独立的操作系统和应用程序,相互之间不受干扰,具备类似于物理服务器的功能。这种技术使得一台物理服务器能够承担多台虚拟服务器的角色,从而极大地提升了硬件资源的利用率。服务器虚拟化的概念最早可追溯到20世纪60年代IBM大型机时代,当时虚拟化被用来将大型机的资源分配给多个任务,使得企业在有限的资源下能够同时运行多个应用。
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
10-29 1413
项目功能:商品分类,商品信息,用户。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值