java反序列化入门_Java序列化与反序列化入门理解

最新推荐文章于 2023-01-06 15:27:37 发布
最新推荐文章于 2023-01-06 15:27:37 发布
阅读量99 收藏
点赞数
文章标签: java反序列化入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36290719/article/details/115086472
版权

一、序列化与反序列化的概念以及使用场景

1、概念

a)序列化:将对象转换成字节序列的过程;

b)反序列化:将字节序列恢复成对象的过程。

2、使用场景

1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;

2) 在网络上传送对象的字节序列。

二、结合例子说明

进行序列化的对象,需要实现Serializable接口,否则将无法序列化。序列化采用ObjectOutputStream的writeObject方法实现;反序列化则使用ObjectInputStream的readObject将字节序列还原成对象。

首先创建一个User类,只有简单的几个属性,如下:

import java.io.Serializable;

public class User implements Serializable {

private String name;

private int age;

private String address;

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

public int getAge() {

return age;

}

public void setAge(int age) {

this.age = age;

}

public String getAddress() {

return address;

}

public void setAddress(String address) {

this.address = address;

}

@Override

public String toString() {

//重写了toString,方便打印观察

return "age:"+age+",name:"+name+",address:"+address;

}

}

User对象已经实现了序列化接口。接着进行测试,如下:

import java.io.FileInputStream;

import java.io.FileOutputStream;

import java.io.ObjectInputStream;

import java.io.ObjectOutputStream;

public class Test {

/**

* 序列化

* @param filePath

* 序列化要写入的文件路径

* @throws Exception

*/

public static void writeObject(String filePath)throws Exception{

User u = new User();

u.setAddress("福建省厦门市");

u.setAge(18);

u.setName("漫天的沙");

ObjectOutputStream oos = null;

try{

oos = new ObjectOutputStream(new FileOutputStream(filePath));

oos.writeObject(u);

oos.flush();

}finally{

if(oos != null){

oos.close();

}

}

}

/**

* 反序列化

* @param filePath

* 序列化的文件

* @throws Exception

*/

public static void readObject(String filePath) throws Exception{

ObjectInputStream ois = null;

try{

ois = new ObjectInputStream(new FileInputStream(filePath));

User u = (User)ois.readObject();

System.out.println(u);

}finally{

if(ois != null){

ois.close();

}

}

}

public static void main(String[] args) throws Exception{

String filePath = "f:/obj.out";

writeObject(filePath);

readObject(filePath);

}

}

执行后打印如下:

593c2c1dc9c8add7afe689881a33dab2.png

证明反序列化成功。

三、扩展

1、serialVersionUID

实现了Serializable接口的对象,如果没有显性的设置serialVersionUID,系统会自动根据方法/属性等计算序列化ID,如果显性进行了设置,则直接使用该值。serialVersionUID有什么用呢?我们可以试着对User对象进行显性设置serialVersionUID=1L,然后再将之前序列化的文件进行反序列化,如下:

/** 为用户对象显性设置序列化id */

private static final long serialVersionUID = 1L;

重新运行程序,报错如下:

Exception in thread "main" java.io.InvalidClassException: User; local class incompatible: stream classdesc serialVersionUID = -5216935088914625952, local class serialVersionUID = 1

at java.io.ObjectStreamClass.initNonProxy(ObjectStreamClass.java:562)

at java.io.ObjectInputStream.readNonProxyDesc(ObjectInputStream.java:1583)

at java.io.ObjectInputStream.readClassDesc(ObjectInputStream.java:1496)

at java.io.ObjectInputStream.readOrdinaryObject(ObjectInputStream.java:1732)

at java.io.ObjectInputStream.readObject0(ObjectInputStream.java:1329)

at java.io.ObjectInputStream.readObject(ObjectInputStream.java:351)

at Test.readObject(Test.java:42)

at Test.main(Test.java:54)

意思即序列化文件的序列化ID与要反序列化成的对象序列化ID不兼容,因此反序列化失败。所以,如果序列化对象后续可能会增减字段或者修改,为了保证兼容,需要显性的设置序列化ID,避免修改之后原先的序列化不能成功的反序列化产生问题。

2、transient字段使用

如果字段不需要进行序列化,可以在修饰符后添加transient的声明,这样在序列化的时候属性将不参与序列化,例如上面的User对象name不参与序列化,则声明为

/** transient在对象初始化时可以让该字段不参与序列化 */

private transient String name;

重新运行程序,如下:

age:18,name:null,address:福建省厦门市

3、静态变量序列化

正常情况下,静态变量也可以正常的序列化。但是如果中间静态变量进行调整呢,序列化的对象中该静态变量是否会产生变化?为了验证效果,在上面的User新增一个静态变量,同时为了方便观察,重写toString方法,如下:

/**User对象新增的静态变量*/

public static int a = 35555;

@Override

public String toString() {

//重写了toString,方便打印观察

return "age:"+age+",name:"+name+",address:"+address+",a:"+a;

}

对main方法调整了,如下:

public static void main(String[] args) throws Exception{

String filePath = "f:/obj.out";

writeObject(filePath);

//修改User静态变量a的值

User.a = 10;

readObject(filePath);

}

重新运行,结果如下:

age:18,name:null,address:福建省厦门市,a:10

说明静态变量的值变了。分析原因,因为序列化保存的是对象的状态,静态变量属于类的状态,因此序列化并不保存静态变量。

苗舰舰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java 反序列化(一)必备基础知识
Vicl1fe的博客
12-08 527
java反序列化入门_Java安全之反序列化(一)--基础篇
weixin_42393272的博客
02-27 424
接下来执行序列化操作操作,将对象写入文件:packagefanxuliehua;importjava.io.FileOutputStream;importjava.io.IOException;importjava.io.ObjectOutputStream;importjava.lang.reflect.Constructor;importjava.lang.reflect.Field;impo...
JAVA反序列化基础
qq_44029310的博客
08-05 932
本文包括:java序列化反序列化的基础知识和案例演示,案例包括转化为文件字符输出流并保存成文件的方式和通过ByteArrayOutputStream保存为字节数组的方式进行序列化反序列化,使用Binary工具查看序列化后的文件和数据含义解释。......
Java 反序列化分析从入门到放弃(一)
痴人说梦梦中人
03-23 390
基础知识学习:        学习反序列化之前需要了解一些储备知识,我大致分了几个块。 序列化反序列化 Java 方法重写 Java 继承与向上转型 Java 接⼝与回调 Java 反射机制 Map的entrySet()使用 CommonsCollections 参考链接 一、序列化反序列化        Java 序列化是指把 Java 对象转换为字节序列的
序列化反序列化快速入门
weixin_30436101的博客
04-03 65
1.demo: static Stream MySerialize(object o) { BinaryFormatter bf = new BinaryFormatter(); MemoryStream stream = new MemoryStream(); bf.Serialize(stream, o);...
深入理解Java对象的序列化反序列化的应用
09-05
本篇文章是对Java中对象的序列化反序列化进行了详细的分析介绍,需要的朋友参考下
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
java反序列化工具
11-21
java反序列化工具,覆盖jboss、weblogic、websphere。
理解Java序列化反序列化
09-02
主要为大家详细介绍了Java序列化反序列化序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列化来介绍Java序列化的相关内容,感兴趣的小伙伴们可以参考一下
Java序列化_Java序列化结构_
09-29
大家请看Java序列化结构有不足的地方请指教也希望指出不足的地方。
13.反序列化
qq_45926195的博客
10-31 210
13.1什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串..
Java反序列化—基础部分
weixin_43102231的博客
08-04 240
Java反序列化(基础) 0x01、基本概念 1. 序列化反序列化: Serialization(序列化)是指把Java对象保存为二进制字节码的过程; Deserialization(反序列化)是把二进制码重新转换成Java对象的过程。 2. 什么情况下需要序列化 a)当你想把内存中的对象保存到数据库中或者一个文件中时; b)当你想用套接字在网络上传送对象时; c)...
java反序列化基础知识笔记
qq_43936524的博客
05-08 560
文章目录parse(),parseObject()的区别 parse(),parseObject()的区别
Java序列化反序列化理解记录
熊浪的博客
04-13 178
package com.thinkgem.jeesite.test; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; i...
java反射菜鸟教程_Java 序列化
weixin_39691748的博客
12-19 74
序列化流与反序列化流ObjectOutputStream(序列化流)ObjectOutputStream是序列化流,可以将Java程序中的对象写到文件中。ObjectOutputStream 构造方法:ObjectOutputStream(OutputStream out):参数要传递字节输出流。ObjectOutputStream写对象的方法(特有方法):void writeObject(Obj...
Java反序列化—Fastjson基础
..
01-06 7169
最近摆烂了很久,来学习一下fastjson Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库,用于将数据在 JSON 和 Java Object 之间互相转换。提供两个主要接口来分别实现序列化反序列化操作。JSON.toJSONString 将 Java 对象转换为 json 对象,序列化的过程。JSON.parseObject/JSON.parse 将 json 对象重新变回 Java 对象;反序列化的过程所以可以简单的把 json 理解成是一个字符串。
序列化反序列化——最全教程(含代码示例)
freeline的博客
06-16 1950
python的序列化与反序列内容
类的主动使用:各种情况代码测试及理解
枫陵的博客
04-15 500
类的主动使用: Java程序对类的主动使用,意味着会调用类的<clinit>(),即执行类的初始化阶段。情况如下: 1. 创建类的实例时,比如使用new关键字,或通过反射、克隆、反序列化; 2. 调用某个类的静态方法时,即使用了字节码invokestatic指令; 3. 调用类或接口的静态字段时(final修饰符特殊考虑); 4. 使用java.lang.reflec包中的方法反射类的方法:比如:Class.forName("com.hahaha.Test") 5. 初始化一个类的子
01-JAVA反序列化-入门
Curry_live的博客
09-02 1278
JAVA反序列化漏洞原理与利用链构造基础知识
java中的序列化反序列化理解
最新发布
03-21
Java中的序列化反序列化主要通过实现Serializable接口来实现。当一个类实现了Serializable接口后,它的对象就可以被序列化反序列化序列化的过程是将对象的状态信息转换为字节流的过程。通过将对象写入输出流...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值