Apakah kelebihan dan kekurangan pensirilan dan penyahserilangan java?

Ringkasan pensirilan dan penyahserikatan Java: Kelebihan: Pertahankan objek ke cakera atau rangkaian. Pindahkan objek dan buat salinan objek. Kelemahan: Menggunakan refleksi, boleh menjadi perlahan. Bergantung pada pelaksanaan, mungkin terdapat masalah keserasian. Risiko keselamatan, penyahserikatan mungkin membenarkan suntikan dan pelaksanaan kod sewenang-wenangnya. Amalan terbaik: Nyahserialisasi objek daripada sumber yang dipercayai. Gunakan tandatangan dan pengesahan untuk melindungi objek daripada gangguan. Hadkan kelas yang boleh dinyahsiri dan gunakan kotak pasir untuk melaksanakan kod penyahserikatan.

Java Serialisasi dan Deserialisasi: Kebaikan dan Keburukan

Pensirilan

• Kebaikan:

  • Pengaturan semula objek untuk kegunaan semula cakera
  • Pindahkan objek antara aplikasi atau pelayan yang berbeza.
  • Buat salinan objek tanpa mengakses keadaan dalamannya.

• Keburukan:
  • Menggunakan pantulan, yang boleh menjadi perlahan, terutamanya untuk objek besar.
  • Bergantung pada pelaksanaan, objek mungkin tidak serasi antara versi atau rangka kerja Java yang berbeza.
  • Risiko keselamatan: Penyahserialisasian mungkin membenarkan penyerang menyuntik dan melaksanakan kod sewenang-wenangnya dalam aplikasi.

Deserialisasi

• Kelebihan:
  • Pulihkan objek bersiri sebelum ini daripada storan.
  • Bersama-sama dengan bersiri, membolehkan kegigihan dan pemindahan objek.
  • Anda boleh menggunakan medan transient
  untuk mengecualikan sifat tertentu untuk mengawal tingkah laku penyirian/penyahserialisasian.

• Kelemahan:
  • juga mengalami beberapa keburukan penyirian, seperti masalah kelajuan dan keserasian.
  • Kerentanan penyahserialisasian boleh membawa kepada isu keselamatan seperti pelaksanaan kod jauh (RCE) apabila menyahsiri objek yang tidak selamat.

Kes Praktikal

Pertimbangkan aplikasi pusat membeli-belah yang perlu menyimpan butiran pesanan dalam pangkalan data supaya ia boleh diambil pada masa hadapan. Berikut ialah langkah-langkah tentang cara untuk mengekalkan objek pesanan menggunakan pensirilan:

// OrdersService.java

import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
import java.util.List;

public class OrdersService {

    public void saveOrders(List<Order> orders) {
        try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("orders.ser"))) {
            oos.writeObject(orders);
            oos.flush();
        } catch (Exception e) {
            // Handle exception
        }
    }
}

Untuk menyahsiri pesanan, anda boleh menggunakan kod berikut:

import java.io.FileInputStream;
import java.io.ObjectInputStream;
import java.util.List;

// OrdersService.java

public class OrdersService {

    public List<Order> getOrders() {
        List<Order> orders = null;
        try (ObjectInputStream ois = new ObjectInputStream(new FileInputStream("orders.ser"))) {
            orders = (List<Order>) ois.readObject();
        } catch (Exception e) {
            // Handle exception
        }
        return orders;
    }
}

Nota Keselamatan

Apabila menggunakan pensirilan dan penyahsirilan, sentiasa Ikuti amalan terbaik ini:

• Menyahsiri objek daripada sumber yang dipercayai.
• Gunakan tandatangan dan pengesahan untuk memastikan objek tidak diusik semasa transit.
• Hadkan kelas yang boleh dinyahsiri dan gunakan kotak pasir untuk melaksanakan kod penyahsirilan.

🎜

Atas ialah kandungan terperinci Apakah kelebihan dan kekurangan pensirilan dan penyahserilangan java?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!