java反序列化_JAVA反序列化机制

最新推荐文章于 2023-12-20 13:49:03 发布
最新推荐文章于 2023-12-20 13:49:03 发布
阅读量367 收藏
点赞数
文章标签: java反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34175388/article/details/114029424
版权

最近看了下JAVA反序列化机制,发现它还是比想像中的要兼容些。不过还是有一些陷阱,跨语言跨平台的协议才是王道。

反序列化过程如下图:

aaddc9e5cbc2ebcff51c1b0971d0c84b.png

几个关键点:

1.ObjectStreamClass的matchFields方法:此处会比较本地与序列化数据流中对象字段,对本地不存在的字段做过滤标识;如果本地存在同名但类型不同,则抛错。

2.readOrdinaryObject的处理:会调用ObjectStreamClass创建一个实例,但ObjectStreamClass只创建实例,不会调用类的构造方法,也就是说类似private int num = 10;的字段缺省值是不会被赋值的。

3. readOrdinaryObject完成从序列化流中读取值,对于标记过滤的字段跳过赋值;对于本地有而序列化流中没有的字段,不做赋值操作,也就是说该字段是类型的默认值(int为0对象为null)。

结合来说,使用JAVA序列化的几个注意点:

1、在只做添加、删除对象属性时,能做到兼容,但注意此时新加/删除字段的缺省值会丢失。(陷阱)

2、修改serialVersionUID值、变更属性类型,会不兼容。

3、枚举型添加成员能兼容,删除时无法兼容。但序列化与反序列化通常成对出现,一边是添加对另一边来说就是删除,此时需要小心判断。

另外,发现一点调试JDK代码的好办法,就是自己编译然后指定源码包,用默认的rt.jar调试时是看不到局部变量的值。

附1:JAVA序列化过程

1.将对象实例相关的类元数据输出。

2.递归地输出类的超类描述直到不再有超类。

3.类元数据完了以后,开始从最顶层的超类开始输出对象实例的实际数据值。

4.从上至下递归输出实例的数据

例子

publicclass

Parent {

int parentVersion

= 10;

}

classcontain implements

Serializable{

int containVersion

= 11;

}

publicclass SerialTest

extends Parent implements Serializable {

int version

= 66;

contain con = new

contain();

public int

getVersion() {

return version;

}

}

b91576ee6f2fbb45b0dd08b7555ecb9f.png

9c81db885c4c9508d82eac19db48d30e.png

·协议、版本、新对象标识

·对象类描述

·属性version描述(类型、长度、名称)

·属性con描述

·父类(Parent)及父类属性描述

·各个属性的值(parentVersion、version)

·contain类的描述、属性描述及值

附2:反序列化时序图(未整理,画得比较乱)

a3910d354e3800f4617338420d1c6cd1.gif

457c77c1b76f8d537c6fac1d776657ee.png

大小: 22.5 KB

3422b88e9d9b663a1c776ffd4708bc56.gif

大小: 52.1 KB

145394c80ccc549631460b128e51890b.png

大小: 11.3 KB

733a2724837a2fc8dd78d307e1ec518f.png

大小: 31.7 KB

分享到:

18e900b8666ce6f233d25ec02f95ee59.png

72dd548719f0ace4d5f9bca64e1d7715.png

2011-01-11 10:27

浏览 3230

评论

迦勒底搞事先锋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java中的序列化机制
hosaos的博客
02-05 515
文章目录序列化的意义市面上的序列化技术序列化接口Serializable、ExternalizableSerializableExternalizableserialVersionUID静态变量是否会被序列化?Transient关键字序列化技术的缺点写在最后 先抛出序列化相关几个面试问题,各位看看能否答得上来? Java序列化机制的意义是什么? 你知道哪些序列化技术? 如何自定义序列化内容? s...
JAVA反射机制
rsnmd的博客
12-12 403
JAVA反射机制 定义:JAVA反射机制是在运行状态中,对于任意一个实体类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意方法和属性;这种动态获取信息以及动态调用对象方法的功能称为java语言的反射机制。 意义 首先,反射机制极大的提高了程序的灵活性和扩展性,降低模块的耦合性,提高自身的适应能力。 其次,通过反射机制可以让程序创建和控制任何类的对象,无需提前硬编码目标类。 ...
Java 序列化和反序列化详解完整版
huangtenglong的博客
11-09 1501
Java 序列化 反序列化
Java反序列化方式_Java 序列化 与 反序列化 的各种方式
weixin_32562973的博客
03-01 423
个人理解,Java 的序列化和反序列化,是指可以把 java 对象持久化后,又可以重新从持久化的数据中生成 java 对象。下面是这些年遇到的一些序列化和反序列化方式。1. JDK 自带的流序列化和反序列化java.io.ObjectOutputStream 可以把 java 对象序列化。java.io.ObjectInputStream 可以把持久化后的数据反序列化java 对象。PS: ...
Java反序列化
weixin_34150503的博客
05-29 182
序列化 序列化是把对象转换为字节流,以便于保存在内存、文件、数据库中。反序列化则是相反的过程,将字节流还原为对象,Java中的ObjectOutputStream类的writeObject()方法用于序列化,类ObjectInputStream类的readObject()方法用于反序列化,如果Java应用对不可信的数据进行反序列化处理,那么攻击者可以构造恶意输入,使得反序列化后产生非预期的对象,...
Java序列化和反序列化(详解)
qq_62414755的博客
07-20 3万+
java序列化及可序列化讲解,代码清晰易懂。
java序列化与反序列化详解
pyth0zn的博客
05-01 3023
serialVersionUID - 0x0e 76 fa 9f 59 73 be c6 是16进制转换为二进制,就是生成的值transient修饰的变量不能被序列化;transient只作用于实现 Serializable 接口;transient只能用来修饰普通成员变量字段;不管有没有 transient 修饰,静态变量都不能被序列化;
Java序列化_Java序列化结构_
09-29
Java序列化是Java平台中的一种持久化机制,它允许对象的状态被转换成字节流,以便存储、网络传输或在不同时间点恢复。这个过程被称为序列化,而反向操作称为反序列化。序列化在许多场景下都非常有用,比如在分布式...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
Java序列化和反序列化_动力节点Java学院整理
08-30
Java序列化和反序列化Java编程中的一种重要机制,它允许将对象的状态转换为字节流,以便存储或在网络中传输。这个过程对于持久化数据、跨进程通信以及在网络间传递复杂对象尤为关键。 首先,让我们理解序列化和反...
java反序列化利用程序UI版Beta1.1.rar
07-20
1. **Java序列化机制**:Java对象序列化是通过实现`Serializable`接口来标记一个类可被序列化。`ObjectOutputStream`用于将对象写入流,`ObjectInputStream`用于从流中读取并反序列化对象。 2. **易受攻击的库**:...
Java反序列化回显解决方案.docx
12-19
首先,Java反序列化机制允许攻击者将恶意的字节码inject到Java应用程序中,导致RCE的发生。为了解决这个问题,我们可以使用InvokerTransformer来转换字节码,避免恶意代码的执行。 InvokerTransformer是Java中的...
java反序列化
jy13172的博客
07-21 417
Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。序列化分为两大部分:序列化和反序列化。序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示,有时还要恢复数据。恢复数据要求有恢复数据的对象实例。为什么需要序列化与反序列化化。
java的序列化和反序列化详解及示例
热门推荐
alanchanchn的专栏
06-14 4万+
对于序列化接口Serializable接口是一个标识接口,它的主要作用就是标识这个对象是可序列化的,jre对象在传输对象的时候会进行相关的封装。类 ObjectInputStream 和 ObjectOutputStream 是高层次的数据流,它们包含序列化和反序列化对象的方法。上面的方法序列化一个对象,并将它发送到输出流。该方法从流中取出下一个对象,并将对象反序列化。它的返回值为Object,因此,你需要将它转换成合适的数据类型。
JAVA反序列化
不知名佳佳的博客
12-20 421
1.利用反序列化漏洞将程序运行的对象以二进制形式储存在文件系统中,在另一个程序中对序列化后的对象状态数据,进行反序列化恢复对象,可以实现多平台通信,对象持久化存储。位置:java .io.Object Output Stream java.io.Object Input stream。白盒测试又分为(函数点)Object Input stream.read Object。反序列化:Object Input stream --> read Object()3.检测可以分为黑盒检测和白盒检测。
java反序列化基础
qq_63928796的博客
02-22 1692
Java序列化就是指把Java对象转换为字节序列的过程​ Java反序列化就是指把字节序列恢复为Java对象的过程。序列化:对象 -> 字符串反序列化:字符串 -> 对象。
wx470校园保修系统小程序-springboot+vue+uniapp.zip(可运行源码+sql文件+文档)
最新发布
07-20
基于web的校园报修系统使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,总之,基于web的校园报修系统集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。 学生信息管理页面,此页面提供给管理员的功能有:学生信息的查询管理,可以删除学生信息、修改学生信息、新增学生信息,还进行了对用户名称的模糊查询的条件。维修人员管理页面,此页面提供给管理员的功能有:查看已发布的维修人员数据,修改维修人员,维修人员作废,即可删除,还进行了对维修人员名称的模糊查询 维修人员信息的类型查询等等一些条件。故障上报管理页面,此页面提供给管理员的功能有:根据故障上报进行条件查询,还可以对故障上报进行新增、修改、查询操作等等。论坛信息管理页面,此页面提供给管理员的功能有:根据论坛信息进行新增、修改、查询操作等等。
Java对象序列化与反序列化详解
- 除了默认的序列化机制外,开发者可以通过实现`writeObject()`和`readObject()`方法来自定义序列化和反序列化的行为。 5. **序列化类的不同版本兼容性** - 当序列化类的版本发生变化时,可能会导致反序列化失败...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值