安科网

Java序列化机制要序列化那些内容

鬼峰DotNet魔地

鬼峰DotNet魔地

2011-09-29

关注 关注

在javaeye上搜到一篇robbin关于java序列化的回复,我觉得其中的例子很有说服力,转过来和大家分享。

关于更多java序列化的问题可以参见JAVA系列之对象的序列化与反序列化

Java的序列化机制只序列化对象的属性值,而不会去序列化什么所谓的方法。其实这个问题简单思考一下就可以搞清楚,方法是不带状态的,就是一些指令,指令是不需要序列化的,只要你的JVMclassloader可以load到这个类,那么类方法指令自然就可以获得。序列化真正需要保存的只是对象属性的值,和对象的类型。

我们可以做一个简单的小试验,来证实一下:

package com.javaeye;  
   
 import java.io.Serializable;  
   
 public class DomainObject  implements Serializable {  
   
     private String name;  
       
     private int age ;  
   
     public int getAge(); {  
         return age;  
     }  
   
     public void setAge(int age); {  
         this.age = age;  
     }  
   
     public String getName(); {  
         return name;  
     }  
   
     public void setName(String name); {  
         this.name = name;  
     }  
       
 }
package com.javaeye;  
   
 import java.io.FileOutputStream;  
 import java.io.ObjectOutputStream;  
   
 public class Main {  
   
     public static void main(String[] args); throws Exception {  
         DomainObject obj = new DomainObject();;  
         obj.setAge(29);;  
         obj.setName("fankai");;  
         FileOutputStream fos = new FileOutputStream("DomainObject");;  
         ObjectOutputStream oos = new ObjectOutputStream(fos);;  
         oos.writeObject(obj);;  
         oos.close();;  
         fos.close();;  
     }  
   
 }

DomainObject是我们准备序列化的类,在Main里面,我们new一个DomainObject的对象,然后赋值,最后把该对象序列化到一个硬盘文件中。然后使用一种支持二进制编辑器,例如UltraEdit打开这个文件,看看Java都对DomainObject序列化了哪些信息,你就什么都明白了。

为了更方便观察,我使用Linux下面的strings去提取文本信息,输出为:

引用
robbin@linux:~> strings DomainObject

com.javaeye.DomainObject

ageL

namet

Ljava/lang/String;xp

fankai

这些信息很直观的告诉我们序列化都保存了些什么内容:

1)对象的类型

2)对象属性的类型

3)对象属性的值

并没有什么方法签名的信息,更不要说什么序列化方法了。

然后我们再做一个试验,给DomainObject增加两个方法:

package com.javaeye;  
   
 import java.io.Serializable;  
   
 public class DomainObject  implements Serializable {  
   
     private String name;  
       
     private int age ;  
   
     public int getAge(); {  
         return age;  
     }  
   
     public void setAge(int age); {  
         this.age = age;  
     }  
   
     public String getName(); {  
         return name;  
     }  
   
     public void setName(String name); {  
         this.name = name;  
     }  
       
     public String toString(); {  
         return "This is a serializable test!";  
     }  
       
     public void doSomeWork(); {  
         System.out.println("hello");;  
     }  
 }

我们增加了toString方法和doSomeWork方法,按照你的理论,如果序列化方法的话,产生的文件体积必然增大。记录一下文件体积,92Byte,好了,删除,运行程序,生成了新的文件,看一下体积,还是92Byte!

拿到Linux下面再提取一下字符串:

引用
robbin@linux:~> strings DomainObject

com.javaeye.DomainObject

ageL

namet

Ljava/lang/String;xp

fankai

完全一模一样!

然后我们再做第三个试验,这次把DomainObject的两个属性以及相关方法删除掉:

package com.javaeye;  
   
 import java.io.Serializable;  
   
 public class DomainObject  implements Serializable {  
   
     public String toString(); {  
         return "This is a serializable test!";  
     }  
       
     public void doSomeWork(); {  
         System.out.println("hello");;  
     }  
 }

修改Main类如下:

package com.javaeye;  
   
 import java.io.FileOutputStream;  
 import java.io.ObjectOutputStream;  
   
 public class Main {  
   
     public static void main(String[] args); throws Exception {  
         DomainObject obj = new DomainObject();;  
   
         FileOutputStream fos = new FileOutputStream("DomainObject");;  
         ObjectOutputStream oos = new ObjectOutputStream(fos);;  
         oos.writeObject(obj);;  
         oos.close();;  
         fos.close();;  
     }  
   
 }

按照你的理论,如果序列化方法的话,我们必然应该在文件里面发现方法的签名信息,甚至方法里面包含的字符串,好了,再运行一遍,然后打开看一下吧!文件现在体积变成了45Byte,拿到Linux下面提取一下信息:

引用
robbin@linux:~> strings DomainObject

com.javaeye.DomainObject

只有对象的类型信息,再无其它东西了!

请记住序列化机制只保存对象的类型信息,属性的类型信息和属性值,和方法没有什么关系,你就是给这个类增加10000个方法,序列化内容也不会增加任何东西,不要想当然的臆测自己不了解的知识,动手去做!

序列化 string javaeye

鬼峰DotNet魔地

鬼峰DotNet魔地

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

golang的序列化与反序列化的几种方式

golang用来序列化的模块有很多,我们来介绍3个。首先登场的是json,这个几乎毋庸置疑。"Where": "东方地灵殿",当然golang的大小写我们知道是具有含义的,如果改成小写, 那么该字段是无法被序列化的。

Lzs 2020-10-23

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf 2020-08-03

21天学习python编程_pickle模块序列化与反序列化

如果看完这篇文章,你还是弄不明白pickle操作;你来找我,我保证不打你,我给你发100的大红包。pickle模块实现了用于序列化和反序列化Python对象结构的二进制协议;序列化:将Python对象转成字节流;反序列化:将字节流转成Python对象;JS

葫芦小金刚 2020-07-22

Redis

RedisTemplate redisTemplate = new RedisTemplate();ObjectMapper objectMapper = new ObjectMapper();return redisTemplate;

ericdoug 2020-07-18

Linux编程:--项目应用层协议设计和序列化与反序列

而不是说客户端和服务器端之前?主流序列化协议主流序列化协议:XML 指可扩展标记语言。

Erick 2020-06-25

关于对象序列化

序列化是指将对象转换成可传输或可存储的形式的过程。常见的如文件存储,网络传输。不同的序列化方式得到的结果也不近相同。反序列化使用存储或传输内容重新创建对象的过程。但直观和通用的同时也带来了性能差的缺点。信息冗余了很多,键值对方面,会有重复的key值。我们就

Erick 2020-06-17

297. 二叉树的序列化与反序列化.

序列化是将一个数据结构或者对象转换为连续的比特位的操作,进而可以将转换后的数据存储在一个文件或者内存中,同时也可以通过网络传输到另一个计算机环境,采取相反方式重构得到原数据。请设计一个算法来实现二叉树的序列化与反序列化。这里不限定你的序列 / 反序列化算法

aanndd 2020-06-16

【序列化与反序列化】Java原生 & Hessian & protobuf

"); //写入字面值常量。System.out.println; //读取字面值常量。Customer obj3 = in.readObject(); //读取customer对象。// 序列化public static &

Erick 2020-06-17

[Notes] 2020.6.16 每日一题 二叉树的序列化与反序列化

序列化是将一个数据结构或者对象转换为连续的比特位的操作,进而可以将转换后的数据存储在一个文件或者内存中,同时也可以通过网络传输到另一个计算机环境,采取相反方式重构得到原数据。请设计一个算法来实现二叉树的序列化与反序列化。这与 LeetCode 目前使用的方

aanndd 2020-06-16

详解php反序列化

“所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。”在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据

xuebingnan 2020-06-13

fastjson<=1.2.47-反序列化漏洞-命令执行-漏洞复现

  Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。并且在Fastjson 1.2.47及以下版本中,利用

80337960 2020-06-10

DJango反序列化器的参数效验

serializer = UserSerializer# 传入对象集时需指定many=True. 在序列化器字段中加入validator选项参数,为列表形式,值为函数名。②调用save时,如果有传instance实例,则调用update方法更新数据,否则调

Jerry 2020-06-01

python json and pickle

import json,picklejson.dumps()#序列化,字典转换成字符串,只dumps一次json.loads()#反序列化,字符串转换字典pickle.dumps()#序列化,转换成2进制pickle.loads()pickle.dump#

mengdg000 2020-05-29

RedisTemplate 序列化问题

spring-data-redis RedisTemplate 操作redis时发现存储在redis中的key不是设置的string值,前面还多出了许多类似\xac\xed\x00\x05t\x00;

尹小鱼 2020-05-29

ListJson序列化与反序列化特定类型--Unity版

在github上有项目网址,下载新的release版本。在Unity中创建Plugins文件夹,把下好的dll文件放入到Plugins文件夹中既可以了。支持C#中几乎所有的类型。但Unity中的例如Vector2、3,Quaternion以及Matrix4

somebodyoneday 2020-05-15

Shiro反序列化漏洞检测、dnslog

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode(). encryptor = AES.new(base64.b64decode(key), mode, iv).

visionzheng 2020-05-05

Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。前16字节的密钥-->后面加入序列化参数-->AES加密-->base64编码-->发送cookie. python shiro_shell.py

visionzheng 2020-05-04

php反序列化漏洞-咖面Amber

echo ‘Person: ‘.$this->name.‘is ‘.$this->age.‘years old <br/>‘;序列化一个对象将会保存对象的所有变量, 但是不会保存对象的方法,只会保存类的名字。php反序列化漏洞又称对

igogo00 2020-05-03

序列化与反序列化

"}\n";List value = (List) map.get(key);System.out.println("key:" + key);Gson gson = new Gson();LoggerSwitch

nalanrumeng 2020-05-02
鬼峰DotNet魔地

鬼峰DotNet魔地

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号