又被 fastjson 坑了?它调用了我自定义的 get 方法!

已于 2023-05-18 09:02:50 修改
阅读量1.6k 收藏 6
点赞数 5
分类专栏: 问题积累 文章标签: java jvm 开发语言
于 2023-05-18 07:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w605283073/article/details/130734877
版权

一、背景

最近看到又有同学被 fastjson 坑了。
该同学在类中自定义了 get 方法,在该 get 方法中引用了一个对象,由于某段代码中 “没有用到”该方法就没注入,最后出现了空指针。
由于自己确定没有主动调用这个方法,排查了半天,借助 arthas 看 trace 才发现这个坑。

二、问题复现

@Data
public class Student {

    private String name;

    public String getValue() {
        return "test";
    }
}

测试:

public class StudentDemo {
    public static void main(String[] args) {
        Student student = new Student();
        student.setName("Student");

        System.out.println(JSON.toJSONString(student));
    }
}

结果是:{“name”:“Student”,“value”:“test”}

可见 fastjson 的 toJSONString 方法转 JSON 时,底层是通过解析 get 方法来识别属性的,它认为有一个 value 属性,转为 JSON 字符串时会自动调用对应的 get 方法获取 value 属性的值。

如果自定义的 get 方法中使用到了尚没有设置的对象,由于并没有显示调用 getAddress 方法,很多人并不会意识到需要注入 repository 对象,如果调用了 toJSONString 方法就极容易出现空指针异常。

@Data
public class Student {

    private String name;

    private String addressId;

    private AddressRepository repository;


    // 省略其他
    public Address getAddress() {
        return repository.get(addressId);
    }
}

public class StudentDemo {
    public static void main(String[] args) {
        Student student = new Student();
        student.setName("Student");
        student.setAddressId("10086");

        // 很多人并不会意识到这里会自动调用 getAddress 方法,因此没有设置  repository,空指针了!
        log.info("过程中某个日志, 参数:{}", JSON.toJSONString(student));
    }
}

三、如何解决

方法一:自定义的方法避免定义为 get 开头。

import com.alibaba.fastjson.annotation.JSONField;
import lombok.Data;

@Data
public class Student {

    private String name;


    public String fetchValue() {
        return "test";
    }
}

方法二:使用 @JSONField(serialize = false) 在 getValue 方法上,让 fastjson 忽略该方法。

import com.alibaba.fastjson.annotation.JSONField;
import lombok.Data;

@Data
public class Student {

    private String name;

    @JSONField(serialize = false)
    public String getValue() {
        return "test";
    }
}

四、启发

大家在进行项目开发时,当你发现对象转 JSON 字符串时“莫名其妙地”多出了某些属性,其实就是这个原因。
大家在使用 fastjson 将对象转为 JSON 字符串时一定要小心这个坑。

java中http调用组件深入详解
congge
04-27 8397
java中http调用组件深入详解
Fastjson漏洞分析与复现
未完成的歌~的博客
08-26 1717
fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
[Java安全]Fastjson>=1.2.36$ref引用可触发get方法分析
Y4tacker的博客
09-13 2940
文章目录写在前面JSONPath语法利用演示$ref引用触发get方法分析解释为什么1.2.36前的版本不行 写在前面 平时我们在处理fastjson反序列化的时候,如果我们想要执行属性的get方法,而如果只有JSON.parse怎么办 我们知道JSON.parse可以套一层parseObject实现对get方法调用,但说这个也没有必要继续本篇的介绍了,这里介绍另一种,废话不多说开始分析 JSONPath语法 看文档https://goessner.net/articles/JsonPath/,重点关注下
fastjson的JSON.toJSONString方法序列化时对get方法调用
咖啡煮码
09-01 1813
toString方法。翻一下fastjson的源码,debug一下,就是在com.alibaba.fastjson.serializer.JSONSerializer#write(java.lang.Object)这个方法里进行了get方法调用,具体调用位置如下图所示(我用的fastjson版本是1.2.68)到这里可以得出结论,fastjson在序列时会调用被序列化类的所有get方法,如果自己在类中定义了非原有属性对应的getter方法时,要注意判空,不要搞出空指针异常。还是只调用get开头的方法呢?
FastJsonget方法的问题
酒中仙的专栏
08-01 8509
fastJson转化为字符串时其中的key的决定因素: 在项目过程中使用FastJson发现其序列化对象为Json字符串的时候是依赖getXX方法的,即将所有get开头的方法后xx都会变成json字符串中的一个key。即key是依赖get方法。 Gson在这方面则完全是依赖于属性的,和get/set方法无关 问题: 但是却没有提供方法层面对哪些序列化和非序列化的控制(只能作用在属性上进行控...
FastJsonGet和Set方法
Monster0AZ的博客
05-18 2994
今天写代码的时候遇到了一个错误一个极其简单的错误。 首先说下过程,我希望将后端Controller返回的结果做一个统一封装,返回统一结果集。 在我重写ResponseBodyAdvice中的beforeBodyWrite()方法,准将结果封装到结果集返回,当我写完代码后发现返回结果为{}。 于是我各种百度,谷歌,都没找到原因,最后我点进去结果集类中发现没有get方法。 解决了一个业务问题后,我得到了另一个技术问题。那就是为什么没get方法获取不到值。 起初我以为是Spring中Bean的原因。是因为我在往前
关于FastJSON序列化Bean时对get方法调用的细节
程序员小董的专栏
11-03 385
如果版本低于2.0.35,且bean里面有返回值为void的且get开头的方法就会报错:java.lang.ArrayIndexOutOfBoundsException。使用JSON.toJSONString去序列化Bean的时候。FastJSON会把Bean里面的。另外这里用的FastJSON版本是。
JAVA--fastJSON+自定义注解格式化实体字段
yu459348471的专栏
07-19 8398
FastJSON+自定义注解格式化实体字段          公司有个需求,给所有身份证,姓名,银行卡号,后台打印日志进行格式化如:身份证:431103******9999,姓名:张*红。主要作用是为了保密商户的资料。          拿到这样一个需求的时候,我首先想到的是,那么多个实体,每个实体身份证,姓名,银行卡可能字段命名是不一样的,那我怎么去做一个通用的方法,怎么才知道某个实体中
Fastjson 的几个核心方法详解
最新发布
水w的博客
12-23 1976
Fastjson 的几个核心方法详解
Springboot+fastJson自定义消息收发器详细实例
BecauseSy的博客
02-01 2317
众所周知Spring中内置了大量的HTTPMessageConverter,比如我们常用的MappingJackson2HTTPMessageConverter、StringHTTPMessageConverter等,但因为实际开发的业务需要,我们往往会进行自定义HTTPMessageConverter,例如我们在开发时使用@responseBody修饰接口时往往还需要为返回的数据进行格式化来满足
fastjson使用过程中的
热门推荐
zgzczzw的专栏
05-16 2万+
最近在工作中用到了fastjson,遇到了一些,在这里总结一下。 简介 首先,介绍一下fastjsonfastjson是由alibaba开源的一套json处理器。与其他json处理器(如Gson,Jackson等)和其他的Java对象序列化反序列化方式相比,有比较明显的性能优势。详情可以参加fastjson提供的benchmark。 benchmark for fastjson f
Fastjson踩“”记录和“深度”学习
阿里技术
02-10 3108
本文总结了Fastjson使用时的一些注意事项,并简单分析了Fastjson的底层工作原理。
聊聊fastjson反序列化的那些
淘系技术
12-22 2316
关于json反序列化的几个问题。场景json作为一种可读性很强的格式,现在是广泛使用的。这里罗列两个我需要对json字符串进行反序列化的场景:日志/数据库存储了接口的入参数据,希望通过反序...
fastjson解析自定义get方法导致空指针问题
衣衫破旧 歌声温柔
02-21 1329
fastjson反序列化解析自定义get方法报错
使用fastJson记录汇总
Y
06-27 520
在使用fastjson工具把一个领域DTO对象转为 JSON 字符串,结果导致了非属性的 get 方法调用了,此时延时加载所需的 bean 还没有注入,导致出现空指针。
使用fastjson序列化对象时,添加getter方法
岳豪的博客
02-24 2108
使用fastjson序列化对象时,添加getter方法后,在序列化的时候,fastjson会先利用反射找到对象类的所有get方法,接下来去掉get前缀,然后首字母小写,作为json的每个key值,而get方法的返回值作为value。添加到json中。 例如:实体类User public class User implements Serializable{ private Long ...
fastjson-你可能遇到的各种各样的奇葩问题
张小勇的博客
12-26 1万+
1.fastjson1.序列化是会多字段,少字段 2.有时不能序列化成功,但就是觉得一点问题都没有 2.原理分析1.bean中有getXXX方法时,从json到model会增加xxx属性,有setXXX方法是,从model到json会增加xxx的赋值, 2.在内部类中使用时,不加static变量会不能转换成功 3.private或protected变量中,缺少get或者set方法会影响转换,所以
fastjson序列化忽略某些字段属性
qq_17805707的博客
11-25 1518
fastjson序列化忽略某些属性
fastJson 序列化忽略指定字段
xyw10000
09-26 7218
【代码】fastJson 序列化忽略指定字段。
我用的是fastjson的序列化的反序列化,对于枚举的有没有比较方便的自定义序列化和反序列化方法
09-16
对于枚举的自定义序列化和反序列化, Fastjson 提供了几种方式: 1. 实现 `com.alibaba.fastjson.parser.deserializer.ExtraProcessor` 接口来自定义反序列化逻辑,其中 `processExtra` 方法可以用于处理枚举字段的反序列化。 2. 在枚举类中定义一个静态的 `valueOf` 方法,用于根据枚举值的字符串表示返回相应的枚举对象。Fastjson 反序列化时会自动调用方法。 3. 使用注解 `@JSONType` 来指定一个 `deserializer` 类,该类需要实现 `com.alibaba.fastjson.parser.deserializer.ObjectDeserializer` 接口,并在 `deserializer` 类中实现自定义的反序列化逻辑。 以下是一个示例代码,展示了如何使用上述方式来自定义枚举的序列化和反序列化方法: ```java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.DefaultJSONParser; import com.alibaba.fastjson.parser.deserializer.ExtraProcessor; import com.alibaba.fastjson.parser.deserializer.ObjectDeserializer; import com.alibaba.fastjson.parser.deserializer.ParseProcess; import com.alibaba.fastjson.parser.deserializer.ParseContext; import com.alibaba.fastjson.serializer.JSONSerializable; import com.alibaba.fastjson.serializer.JSONSerializer; import com.alibaba.fastjson.serializer.ObjectSerializer; import com.alibaba.fastjson.serializer.SerializeConfig; import com.alibaba.fastjson.serializer.SerializerFeature; import java.io.IOException; import java.lang.reflect.Type; import java.util.HashMap; import java.util.Map; public class EnumSerializationExample { public static void main(String[] args) { SerializeConfig serializeConfig = new SerializeConfig(); serializeConfig.put(TestEnum.class, new TestEnumSerializer()); // 序列化 String jsonString = JSON.toJSONString(TestEnum.VALUE1, serializeConfig); System.out.println("Serialized Enum: " + jsonString); // 反序列化 TestEnum deserializedEnum = JSON.parseObject(jsonString, TestEnum.class, new TestEnumDeserializer()); System.out.println("Deserialized Enum: " + deserializedEnum); } public static class TestEnumSerializer implements ObjectSerializer { @Override public void write(JSONSerializer serializer, Object object, Object fieldName, Type fieldType, int features) throws IOException { if (object instanceof TestEnum) { serializer.write(((TestEnum) object).getValue()); } } } public static class TestEnumDeserializer implements ObjectDeserializer, ExtraProcessor { private Map<String, TestEnum> valueMap = new HashMap<>(); public TestEnumDeserializer() { for (TestEnum value : TestEnum.values()) { valueMap.put(value.getValue(), value); } } @Override public <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName) { String value = parser.parseObject(String.class); return (T) valueMap.get(value); } @Override public int getFastMatchToken() { return 0; } @Override public void processExtra(Object object, String key, Object value) { if (object instanceof TestEnum) { ((TestEnum) object).setValue((String) value); } } } public enum TestEnum { VALUE1("Value 1"), VALUE2("Value 2"); private String value; TestEnum(String value) { this.value = value; } public String getValue() { return value; } public void setValue(String value) { this.value = value; } } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明明如月学长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值