Java序列化和反序列化

已于 2022-04-16 19:10:26 修改
阅读量228 收藏 2
点赞数 1
文章标签: java 开发语言 后端
于 2022-01-14 17:08:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44495008/article/details/122498400
版权

一、序列化的含义及作用

含义:

  1. 序列化:将Java对象转换成字节序列
  2. 反序列化:将字节序列转换成Java对象

作用:

  1. 字节序列可用于网络传输
  2. 可将Java对象持久化到存储介质中(比如硬盘)

二、序列化常用方式

1. 实现Serializable接口

要点:

  • serialVersionUID的作用是验证序列化前后对象版本一致性;
  • 静态变量 和 被 transient 修饰的变量不会被序列化。transient 只能修饰变量,不能修饰类和方法

2. 实现Externalizable接口

要点:

  • 需要提供public的无参构造方法
  • 需要实现writeExternal() 和 readExternal () 方法,且writeExternal()写入的参数类型数量大于等于readExternal()读出的
  • 特殊现象:静态变量 和 被 transient 修饰的变量测试发现可以被序列化
    (笔者暂无法解释,先抛砖引玉,请各位大神不吝赐教)

注意:Externalizable接口继承Serializable

三、演示代码

  1. 实现Serializable接口序列化测试
/**
 * @author :alen_小鹿
 * @date :Created in 2022/1/14 2:45 下午
 * @description:实现Serializable接口序列化测试
 */
/*
* 摘要:
* 一、序列化和反序列化含义及作用
* 1、含义:序列化:对象转换成字节序列;反序列化:字节序列转成对象
* 2、作用:字节序列可在网络传输;对象持久化到存储介质(比如硬盘)中
* 二、用Serializable实现序列化,有两个要点:
* 1、serialVersionUID的作用是验证序列化前后对象版本一致性;
* 2、静态变量 和 被 transient 修饰的变量不会被序列化
*
* */
public class SerializableTest implements Serializable {
    public static int age;
    public transient String address;
    public String name;
    public int money;
    private static final long serialVersionUID = 1111013L;

    public SerializableTest() {
        /**
         *
         * @description 不需要提供一个public 的无参构造方法
         * @author alen_小鹿
         * @date 2022/1/14 4:23 下午
         * @param []
         * @return
         *
         **/
        System.out.println("进入无参构造方法");
    }

    public SerializableTest(int age, String address, String name, int money) {
        System.out.println("进入有参构造方法");
        this.age = age;
        this.address = address;
        this.name = name;
        this.money = money;
    }


    @Override
    public String toString() {
        return "SerializableTest{" +
                "address='" + address + '\'' +
                ", name='" + name + '\'' +
                ", money=" + money +
                ", age='" + age + '\'' +
                '}';
    }

    public static void main(String[] args) {

        serialize();

        deserialize();

     /*
         serialVersionUID的作用是验证序列化前后对象版本一致性
         1、前后对象字段一致
            有无serialVersionUID结果一致
         2、前后对象字段不一致,
            无serialVersionUID会报错,
            有serialVersionUID时,字段以后面对象为准,值以前面对象为准。
            后面对象多的字段初始化(String 为 null,int 为 0,static修饰的字段除外,取其实际赋值)
     */

    }

    /**
     * @param
     * @return void
     * @description 序列化
     * @author alen_小鹿
     * @date 2022/1/14 2:56 下午
     **/
    public static void serialize() {

        try {
            ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("/Users/alen_小鹿/souce/svnM/TestFile/serializable.txt"));
            SerializableTest t = new SerializableTest(10, "北京", "张三", 100);
            System.out.println("序列化前对象=" + t);
            oos.writeObject(t);

            /*
                t.age = 20;
                t.setAddress("广州");
                t.setName("李四");
                t.setMoney(200);
                静态变量 和 被 transient 修饰的变量不会被序列化
                age 改成 20,静态变量不属于对象实例,不会被序列化
                address 为 null,被transient(短暂的)修饰,不会被序列化
                name 和 money 值不改,因已持久化,取持久化的旧值
            */

        } catch (IOException e) {
            System.out.println(e);
        }
    }

    /**
     * @param
     * @return void
     * @description 反序列化
     * @author alen_小鹿
     * @date 2022/1/14 2:56 下午
     **/
    public static void deserialize() {
        try {
            ObjectInputStream ois = new ObjectInputStream(new FileInputStream("/Users/alen_小鹿/souce/svnM/TestFile/serializable.txt"));
            SerializableTest t = (SerializableTest) ois.readObject();
            System.out.println("序列化后对象=" + t);
        } catch (IOException | ClassNotFoundException e) {
            System.out.println(e);
        }
    }


}
  1. 实现Externalizable接口序列化测试
/**
 * @author :alen_小鹿
 * @date :Created in 2022/1/14 3:00 下午
 * @description:实现Externalizable接口序列化测试
 */
/*
 * 摘要:Externalizable实现序列化,有两个要点:
 * 1、需要提供public的无参构造方法
 * 2、需要实现writeExternal()和readExternal()方法,且writeExternal()写入的参数类型数量大于等于readExternal()读出的
 *
 * */
public class ExternalizableTest implements Externalizable {

    public int age;
    public String address;
    public String name;
    public int money;

    private static final long serialVersionUID = 1111013L;


    /**
     * @param
     * @return
     * @description 提供一个 public 无参构造方法
     * @author alen_小鹿
     * @date 2022/1/14 4:20 下午
     **/
    public ExternalizableTest() {
        System.out.println("进入无参构造方法");
    }

    public ExternalizableTest(int age, String address, String name, int money) {
        System.out.println("进入有参构造方法");
        this.age = age;
        this.address = address;
        this.name = name;
        this.money = money;
    }


    @Override
    public String toString() {
        return "ExternalizableTest{" +
                "name='" + name + '\'' +
                ", age=" + age +
                ", money=" + money +
                ", address='" + address + '\'' +
                '}';
    }

    /**
     * @param out
     * @return void
     * @description 实现接口Externalizable的writeExternal方法
     * @author alen_小鹿
     * @date 2022/1/14 4:21 下午
     **/
    @Override
    public void writeExternal(ObjectOutput out) throws IOException {

        System.out.println("序列化写入");
        out.writeObject(name);
        out.writeInt(age);
        out.writeObject(address);
    }

    /**
     * @param in
     * @return void
     * @description 实现接口Externalizable的readExternal方法
     * @author alen_小鹿
     * @date 2022/1/14 4:21 下午
     **/
    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        System.out.println("反序列化读出");
        name = (String) in.readObject();
        age = in.readInt();
    }

    public static void main(String[] args) {
        enternalize();
        deEnternalize();
    }

    /**
     * @param
     * @return void
     * @description 序列化写入
     * @author alen_小鹿
     * @date 2022/1/14 4:19 下午
     **/
    public static void enternalize() {

        try {
            ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("/Users/alen_小鹿/souce/svnM/TestFile/enternalizable.txt"));
            ExternalizableTest t = new ExternalizableTest(10, "北京", "张三", 100);
            oos.writeObject(t);
            System.out.println("序列化前对象=" + t);
        } catch (IOException e) {
            System.out.println(e);
        }
    }

    /**
     * @param
     * @return void
     * @description 反序列化读出
     * @author alen_小鹿
     * @date 2022/1/14 4:19 下午
     **/
    public static void deEnternalize() {

        try {
            ObjectInputStream ois = new ObjectInputStream(new FileInputStream("/Users/alen_小鹿/souce/svnM/TestFile/enternalizable.txt"));
            ExternalizableTest t = (ExternalizableTest) ois.readObject();
            System.out.println("序列化后对象=" + t);
        } catch (IOException | ClassNotFoundException e) {
            System.out.println(e);
        }
    }


}
CV工程师小刘
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
java反序列化漏洞修复_【修复总结】JAVA反序列化
weixin_36413157的博客
03-08 2735
威胁说明如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。问题原因类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法问题根源Ap...
理论 | 教你彻底学会Java序列化反序列化
mySoul
09-03 220
这是小小本周的第四篇Java序列化是什么?Java序列化是指把Java对象转换为字节序列的过程,Java反序列化是指把字节序列恢复为Java对象的过程。反序列化:客户端重文件,或者网络中...
java泛型如何解决反序列化_JAVA运行时的泛型擦除与反序列化的应用
weixin_39834149的博客
02-27 466
前段日子在使用google-http-client.jar 这个组件做http请求时,发现一件有趣的事情,具体代码如下:try {HttpTransport transport = new NetHttpTransport.Builder().doNotValidateCertificate().build();requestFactory = transport.createRequestFac...
java反序列化漏洞在CTF中的利用
最新发布
m0_64893612的博客
03-01 1002
序列化指的是将对象或数据结构转换为可存储或传输的格式的过程,实现的方法是;反序列化则反之,实现的方法是,可以简单地理解为将文件压缩和解压缩的过程。与PHP中反序列互相触发魔法函数导致的漏洞成因不同,java反序列化漏洞的成因主要是由于java序列化反序列化机制的设计特点所致,简单地讲,只要反序列化代码中含有危险的命令代码,且该代码的参数是可控的,那它就存在该漏洞。漏洞原理在我今天这里不是重要的,我主要想记录的是该漏洞的利用方式。通常在解题中如果你看到一段字符串以rO0AB。
Java泛型擦除遇到JSON序列化反序列化
一醉自救的专栏
06-15 2223
Java泛型擦除遇到JSON序列化 项目 项目 项目 项目1 项目2 项目3 计划任务 完成任务
JAVA序列化反序列化的底层实现原理解析
08-25
JAVA序列化反序列化的底层实现原理解析 一、基本概念 JAVA序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程。序列化是把对象转换成有序字节流,以便在网络上传输...
java序列化反序列化,面试必备
12-21
Java序列化反序列化Java开发中常见且重要的概念,尤其在面试中常常被问及。序列化是指将一个Java对象转化为字节序列的过程,这样可以将对象的状态持久化到磁盘上或者在网络中进行传输。反序列化则是相反的过程,...
Java 序列化反序列化实例详解
08-31
Java 序列化反序列化实例详解 Java 序列化反序列化Java 语言中两个重要的概念,它们在分布式应用中扮演着至关重要的角色。序列化是指将对象转换为字节流的过程,而反序列化则是指将字节流恢复为对象的过程。...
深入分析Java序列化反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
一文带你彻底理解Java序列化反序列化
09-07
Java序列化反序列化Java开发中常用的技术,它允许我们将Java对象转换成字节流,以便于存储、在网络中传输或在不同时间点重建对象。这一过程对于实现某些关键功能至关重要,如持久化数据、分布式计算和跨进程通信...
java 泛型 序列化反序列化实例
努力变得不菜的菜鸡的博客
05-24 1545
import java.io.*; import java.util.Date; public class ObjectSaver { public static void main(String[] args) throws Exception { /*其中的 /Users/slq/Desktop/java/4/objectFile.obj 表示存放序列化对象的文件*/ //...
Java中没有无参构造方法的类反序列化解决方案
goody9807的专栏
04-01 2662
目录 导言 举例说明 方案一自定义Jackson反序列化器 测试代码 方案二 使用MixIn注解方式 测试代码 导言 有的时候在定义实体类的时候忘记写无参构造器了,或者必须不能有无参构造方法,那这时我们反序列化会有一定的问题,因为像FastJSON中对于不含有无参构造方法的类反序列化是不太容易实现的,但是我们可以通过Jackson来实现。 举例说明 比如我们有这样一个用户类,它不含有无参构造方法 public class UserProfile { privat..
java中间件命令执行总结,dubbo中间件存在Java反序列化命令执行风险 | wooyun-2016-0188237| ...
weixin_42123456的博客
03-09 265
-----------------0x00 dubbo 简介------------------Dubbo是阿里巴巴提供的一个开源的分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案。与传统的webservice不同,dubbo可以集中管理各个服务提供者、消费者集群,并提供注册中心、性能监控和管理后台等功能。官网:http://**.**.**.**/Home-zh.htm-----...
什么是泛型?如何在Java中使用泛型?什么是序列化?如何在Java中进行序列化反序列化
qq_46285584的博客
05-04 322
在这个例子中,myStream.filter(s -> s.startsWith("a")) 回一个新的 Stream 对象,其中只包含以 "a" 开头的元素。在这个例子中,MyClass 是一个泛型类,它有一个类型参数 T,可以在需要的时候替换成具体的类型。在这个例子中,myList.stream() 回一个 Stream 对象,可以对其中的元素进行处理。总之,Stream API 是Java中一个非常强大的工具,可以使集合中的元素处理变得更加简单、高效和可读。
JAVA反序列化基于常见框架/中间件回显方案
问题很多的小明
08-27 1580
0x00概述 JAVA反序列化漏洞是JAVA中最常见的可以直接获取目标权限的漏洞,通过反序列化回显的思路也是越来越多,如通过远程加载回显、在目标网站写文件、通过URLClassLoader回显、借助dnslog回显等。这些思路多少都有些瓶颈。一旦遇到了目标因网络策略严格无法出外网,则需要借助Dnslog的打法效果会失效,如果可以直观的回命令执行结果,那岂不是更香? 0x01知识点 Tomcat处理流程 在tomcat自己实现的Servlet处打断点,观察tomcat调用栈大致执行流程: 调用过程
我眼中的Java反序列化漏洞
ovowovo的博客
12-10 423
一、Java 序列化反序列化 Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化序列化反序列化是让 Java 对...
护网面试问题
cf6666666的博客
05-17 5116
1:护网是干什么? 护网行动是一场网络安全攻防演练。是针对全国范围的真实网络目标为对象的实战攻防活动 mimikatz的功能: 1:可以获取主机账号密码 1:第一步:使用Nmap扫描目标主机开放端口,ms17010是对445端口进行攻击的,所以我们要先对目标机进行端口扫描 2:第二步:获取权限 在这里我们利用ms17010(永恒之蓝)漏洞来获取靶机的权限。 运行msf,使用ms17010漏洞。 3:剩下的就是需要我们设置LHOST、RHOST、payload,分别是攻击机IP、靶机IP、攻击载荷。 4:配置
Java学习记录——高级:泛型、序列化反序列化
weixin_44099043的博客
02-25 1067
Object 类 Java Object 类是所有类的父类,也就是说 Java 的所有类都继承了 Object,子类可以使用 Object 的所有方法。 Java 泛型 Java 泛型(generics)是 JDK 5 中引入的一个新特性, 泛型提供了编译时类型安全检测机制,该机制允许程序员在编译时检测到非法的类型。 泛型的本质是参数化类型,也就是说所操作的数据类型被指定为一个参数。(把类型当作参数) 所有泛型方法声明都有一个类型参数声明部分(由尖括号分隔),该类型参数声明部分在方法回类型之前(在下面
java泛型 序列化_泛型集合的序列化反序列化
weixin_39852121的博客
02-21 998
1.泛型集合的序列化比较简单,和普通对象没有两样,但是.net FrameWork里面没有提供现成的API,这是一个我自己封装的一个方法,采用了object作为被序列化对象的参数类型,亦即可以接受任意类型的对象,并通过调用GetType方法获得被序列化对象的转换前的类型(或者说是被序列化对象的真正类型,object在c#里是所有对象的基类),牺牲了一点点类型转换带来的性能损失,但是带来了很好的封装...
java 序列化反序列化
04-29
Java序列化反序列化常用于网络传输和持久化存储等应用场景。在网络传输中,使用序列化可以将Java对象转换为平台无关的字节流,以便在不同平台的应用程序之间传输数据。在持久化存储中,使用序列化可以将Java对象...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值