开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

我还应该在.NET 4.0中使用BinaryFormatter进行简单序列化吗？

在.NET 4.0中，虽然可以使用BinaryFormatter进行简单的序列化，但并不推荐使用它。BinaryFormatter是一种二进制序列化器，它可以将对象序列化为二进制格式，以便在网络传输或持久化存储中使用。

然而，BinaryFormatter存在一些问题和限制。首先，它生成的序列化数据较大，占用更多的存储空间和网络带宽。其次，BinaryFormatter对于跨平台和跨语言的兼容性较差，因为它依赖于.NET特定的类型和格式。此外，BinaryFormatter还存在安全性问题，因为它可以执行反序列化时的代码，可能导致安全漏洞。

在.NET 4.0及更高版本中，推荐使用其他序列化方式替代BinaryFormatter。以下是一些常用的替代方案：

JSON序列化：使用Json.NET（Newtonsoft.Json）库进行对象的JSON序列化和反序列化。JSON是一种轻量级的数据交换格式，具有良好的可读性和跨平台兼容性。
XML序列化：使用XmlSerializer进行对象的XML序列化和反序列化。XML是一种通用的数据格式，具有良好的可扩展性和跨平台兼容性。
Protocol Buffers：使用Google的Protocol Buffers进行对象的序列化和反序列化。Protocol Buffers是一种高效的二进制序列化协议，具有较小的序列化数据体积和较快的序列化速度。
MessagePack：使用MessagePack进行对象的序列化和反序列化。MessagePack是一种高效的二进制序列化格式，具有较小的序列化数据体积和较快的序列化速度。

这些替代方案都具有较小的序列化数据体积、较好的跨平台兼容性和较高的性能。根据具体的需求和场景，选择适合的序列化方式可以提高系统的效率和可维护性。

腾讯云相关产品和产品介绍链接地址：

腾讯云对象存储（COS）：https://cloud.tencent.com/product/cos
腾讯云云服务器（CVM）：https://cloud.tencent.com/product/cvm
腾讯云容器服务（TKE）：https://cloud.tencent.com/product/tke
腾讯云人工智能（AI）：https://cloud.tencent.com/product/ai
腾讯云物联网（IoT）：https://cloud.tencent.com/product/iotexplorer
腾讯云移动开发（移动推送、移动分析等）：https://cloud.tencent.com/product/mobile
腾讯云数据库（MySQL、SQL Server、MongoDB等）：https://cloud.tencent.com/product/cdb

相关搜索:当我使用Git时,我应该在合并之前进行重组吗？我应该在我的.Net核心Web API或服务接口中使用DbContext吗？我可以使用Accord.Net进行并发cobyla优化吗？我应该在简单的控制台应用程序中使用C#命名空间吗？我应该在多个表上使用sql JOIN关键字进行复杂连接吗？对asp.net网站进行基准测试,我可以使用jmeter吗？我应该使用RegEx对单个字符进行1个简单的测试吗？我可以使用Visual Studio以外的其他IDE在.net中进行编码吗？在ASP.NET MVC 2中,我可以使用默认的ModelBinder将查询字符串反序列化为数组吗？js弹出层教程

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

在 Microsoft Exchange 中搜索反序列化保护绕过 ( CVE-2022–21969)

NET 中这些众所周知的接收器之一是来自“未受保护”格式化程序的反序列化调用，例如BinaryFormatter....Microsoft 创建的二进制协议可以（并且仍然）用于此目的，而不是使用人类可读的 HTTP 请求在客户端和 Exchange 服务器后端之间进行通信。...这可能会导致带有从ysoserial .NET生成的有效负载的 RCE 。接下来必须面对几个问题：如何使用适当控制的inputBlob字节数组到达接收器？我必须重构这种丑陋的二进制格式吗？...可以简单地编写一个 ysoserial .NET 小工具来创建有效负载。...BinaryFormatter在我们的例子中，使用您选择的 Formatter 序列化对象。

1.4K0 0

Windows 10 S 上的 DG：滥用 InstallUtil

在这种情况下，它利用的根本原因与我之前披露的相同，.NET 通过序列化从字节数组加载不受信任的代码，但有一个有趣的转折（*spoiler*它没有使用BinaryFormatter ，主要是）。...是你吗，NetDataContractSerializer？事实证明，BinaryFormatter和 .NET 远程处理太危险而无法生存，MS 最终将其从 .NET 中删除。...当您尝试搜索有关.NET 远程处理和BinaryFormatter的文档时，MS 可能会尝试发出可怕的警告（如果有点小的话），但这两种技术仍然存在于 .NET 框架中，并且在使用它们时不会产生警告。...为了使用 DCS 类进行序列化，您应该使用DataContractAttribute和DataMemberAttribute注释您的类和属性....如果它不是 .NET，那将是来自过长命令行参数或同样愚蠢的东西的内存损坏漏洞。 Win10S有什么价值吗？

6381 0

如何正确实现一个自定义Exception（二）

ISerializable 主要的作用就是给 BinaryFormatter 序列化器提供指示如何进行序列化/反序列化。也就是说这个接口基本上就是给 BinaryFormatter 设计的。...BinaryFormatter 主要是给 .NET remoting 技术服务（一种古老的 RPC 技术，听过的都是老司机，不太确定 WCF 的 Binary 序列化是否使用该技术）。...即使应用程序认为自己正在处理的数据是可信的，也应尽快停止使用 BinaryFormatter。 BinaryFormatter 不安全，无法确保安全。...不光是 BinaryFormatter 有风险，以下这些序列化器同样存在风险，应避免使用： SoapFormatter LosFormatter NetDataContractSerializer ObjectStateFormatter.../binaryformatter-security-guide 其实不光是 .NET，其他语言在序列化反序列化上都很容易引入安全漏洞，比如 JAVA 的 jackson 就爆过序列化安全漏洞。

1676 0

代码审计-.NET下的序列化与反序列化(BinaryFormatter)

进行序列化 需要先引入System.Runtime.Serialization.Formatters.Binary; 使用Serialize方法来进行序列化 完整代码: using Evan.Encrypt...这里只对Deserialize进行演示。 1.将刚刚序列化过后的内容进行反序列化。...如(Json.Net需重写TypeNameHandling不为None) 因为其最终都继承了IFormatter 反序列化漏洞复现: 使用ysoserial.net 生成Payload ....然后使用FileStream读取该文件的内容进行反序列化。这里就使用base64进行转码实现。 ....实际场景中的代码审计: 在对某系统进行审计时，在某方法中发现BinaryFormatter().Deserialize反序列化漏洞 ? 该处方法为GetCookie疑似获取Cookie。

1.3K4 0

代码审计-.NET下的序列化与反序列化(BinaryFormatter)

进行序列化 需要先引入System.Runtime.Serialization.Formatters.Binary; 使用Serialize方法来进行序列化 完整代码: using Evan.Encrypt...这里只对Deserialize进行演示。 1.将刚刚序列化过后的内容进行反序列化。...如(Json.Net需重写TypeNameHandling不为None) 因为其最终都继承了IFormatter 反序列化漏洞复现: 使用ysoserial.net 生成Payload ....然后使用FileStream读取该文件的内容进行反序列化。这里就使用base64进行转码实现。 ....实际场景中的代码审计: 在对某系统进行审计时，在某方法中发现BinaryFormatter().Deserialize反序列化漏洞该处方法为GetCookie疑似获取Cookie。

1.4K2 0

C#学习笔记对象序列化

简单的序列化 代码可以在我的Github主页上找到，地址是https://github.com/techstay/csharp-learning-note 。...利用BinaryFormatter进行序列化 有时候需要将对象保存到文件里、存储到数据库中或者通过网络传输到远程的计算机中，这个时候就需要将对象转化成字节流的形式，以便进行传输或者持久化。...这个过程叫做对象的序列化，而把已经序列化的字节流重新包装成活动的对象的过程叫做反序列化。.NET提供了完善的对象序列化和反序列的机制，因此我们可以很方便地进行对象的序列化和反序列化操作。...简单的序列化只需要一个字节流，然后调用System.Runtime.Serialization.Formatters.Binary.BinaryFormatter类的实例方法Serialize方法，即可完成序列化操作...NET类库中的常用的类型比如集合类和int等基本类型以及枚举和委托类型都支持序列化，使用的时候可以直接序列化。但是如果是程序员自己定义的类型，则不一定可以序列化。

5672 0

如何将类序列化并直接存储入数据库

完成序列化的最简单的方法便是让.Net框架自动为我们完成整个过程，而我们不必去管它内部是如何具体实现的，这种方法便是前面提到的“基本序列化“。...这样，最最简单和基本的序列化工作就完成了，不过其内部是如何实现的你是不得而知的，同时你也不能进一步控制序列化过程的程序行为。　　...如果你要获得对序列化的更大的控制权，那么你就得使用“自定义序列化“的方式。通过使用这种方式，你可以完全的控制类的哪些部分能被序列化而哪些部分不能，同时你还可以控制如何具体的进行序列化。...：　　下面我就向大家介绍自定义序列化以及反序列化的具体过程。...参考代码1 可以使用.net提供的序列化和反序列化方法来实现，你可将对象序列化成XML字符串，然后存入数据库中，当你要使用对象的时候，再把数据库中保存字符串反序列化成对象就可以使用了，以下为示例代码：

2.3K1 0

运行时序列化 3

单实例类型（singleton），对于这种类型对象的序列化和反序列不应该在AppDomain中创建新的对象，应该使用已经存在的单实例对象。 2....但是这对于客户端代码来说是透明的，客户端直接使用本地的代理对象，代理对象内部会请求远程服务器，由服务器端实际执行具体的操作。...formatter = new BinaryFormatter(); formatter.Serialize(stream, singletons); stream.Position = 0...singletons2[1]); // TRUE bool isSame3 = object.ReferenceEquals(singletons[0], singletons2[1]); } 对上面的代码进行总结...格式化器的Deserialize方法，对数据流进行反序列时，数据流中保存的类型是SingletonSerializationHelper，所以格式化器尝试反序列化一个SingletonSerializationHelper

4872 0

Dotnet反序列化——XmlSerializer链

，发现采用0001 0000开头 Formatter Formatter用于设置序列化的格式，如我们上面用到了BinaryFormatter 进行二进制序列化，除此之外还有很多Formatter 如：...用于控制在序列化和反序列化期间使用的实际类型 StreamingContext Context 序列化流上下文其中states字段包含了序列化的来源和目的地 BinaryFormatter序列化的生命周期和事件...然后用XmlSerializer 进行序列化和反序列化 using System; using System.Runtime.Serialization; using System.Runtime.Serialization.Formatters.Binary...这个类位于System.Windows.Data下（如果rider提示找不到包，就添加PresentationFramework依赖，注意我当前的环境是.NET FrameWork）。...我们可以用ysoserial.net来生成一段XmlSerializer反序列化的payload https://github.com/pwntester/ysoserial.net/releases/

4972 0

win10 UWP 序列化 BinaryXML序列化

.NET Framework 提供了两个序列化技术：二进制序列化保持类型保真，这对于多次调用应用程序时保持对象状态非常有用。例如，通过将对象序列化到剪贴板，可在不同的应用程序之间共享对象。...您可以将对象序列化到流、磁盘、内存和网络等。远程处理使用序列化，“按值”在计算机或应用程序域之间传递对象。 XML 序列化只序列化公共属性和字段，并且不保持类型保真。...然后使用 binaryFormatter 他可以写入流创建一个文件夹，返回和People类，就可以把他保存在本地 BinaryFormatter binaryFormatter...为了提高性能，XML 序列化基础结构动态生成程序集，以便对指定类型进行序列化和反序列化。该基础结构将找到并重新使用这些程序集。...本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

7982 0

C#序列化与反序列化详解

将 SerializableAttribute 特性应用于某个类型，以表示此类型的实例可以被序列化，如果对没有 SerializableAttribute 特性的类型进行序列化，则会引发异常。...如果想让类中的某个字段不可序列化，可以使用 NonSerializedAttribute 特性。...序列化的三种类型--二进制、XML、JSON 可以使用二进制 binary 或 XML 进行序列化，在二进制序列化中，所有内容都会被序列化，且性能也很好，使用二进制编码来生成精简的序列化，可以用于基于存储或....保存后再读取时直接得到一个class 序列化的方式有三种:BinaryFormatter,SoapFormatter,XmlSerializer 1.BinaryFormatter 保存成二进制数据流...补充:SOAP（Simple Object Access Protocol ）简单对象访问协议是在分散或分布式的环境中交换信息的简单的协议，是一个基于XML的协议，它包括四个部分：SOAP封装(envelop

1K2 0

.NET基础拾遗（3）字符串、集合和流

中定义了一些静态的泛型方法，我们应该在编码实践时充分使用这些泛型容器，以提高我们的开发和系统的运行效率。...下面的代码中展示了如何在.NET中使用FileStream文件流进行简单的文件读写操作： class Program { private const int bufferlength...在.NET中，通过Serializable特性提供了序列化对象实例的机制，当一个类型被申明为Serializable后，它就能被诸如BinaryFormatter等实现了IFormatter接口的类型进行序列化和反序列化...3.4 .NET提供了哪几种可进行序列化操作的类型？　　我们已经理解了如何把一个类型声明为可序列化的类型，但是万里长征只走了第一步，具体完成序列化和反序列化的操作还需要一个执行这些操作的类型。...为了序列化具体实例到某种专用的格式，.NET中提供了三种对象序列格式化类型：BinaryFormatter、SoapFormatter和XmlSerializer。

1.9K1 0

在 WCF 中使用高效的 BinaryFormatter 序列化

本文将定义一个 WCF 终结点行为扩展，以在 WCF 中使用更高效的 BinaryFormatter 进行二进制序列化，并实现对是否使用传统二进制序列化功能的可配置。...作为使用 .NET 框架的系统内部互联，往往期望在使用 WCF 获取统一传输方案的同时，还能得到 BinaryFormatter 类的序列化性能。...所以本篇文章将设计一个 WCF 终结点行为扩展，来配置是否使用 BinaryFormatter 进行数据的序列化。 Tip 只能在操作上添加二进制序列化的行为。...但是，这样会导致该方法在所有的终结点都使用 BinaryFormatter 来进行序列化。这并不是我们所想要的，所以只能使用配置的方法来对 WCF 进行扩展。...实现步骤封装 BinaryFormatter 首先，需要对 BinaryFormatter 进行一个简单的封装。

7976 0

在Linux和Windows平台上操作MemoryMappedFile(简称MMF)

操作系统很早就开始使用内存映射文件（Memory Mapped File）来作为进程间的共享存储区，这是一种非常高效的进程通讯手段。.NET 4.0新增加了一个System.IO....下面我给出在Windows和Linux下都运行正常的代码： using System; using System.IO; using System.IO.MemoryMappedFiles; using...在.NET中，使用MemoryMappedFile对象表示一个内存映射文件，通过它的CreateFromFile()方法根据磁盘现有文件创建内存映射文件，调用这一方法需要提供一个与磁盘现有文件相对应的FileStream...如果要向内存映射文件中序列化对象，必须将内存映射文件转换为可顺序读取的流。...in .NET 4 MemoryMappedFile 在 Mono in Linux 的开发笔记 MemoryMappedFile使用小结 System.IO之内存映射文件共享内存

1.4K6 0

无题大鹅模拟游戏（Untitled Goose Game）存在代码可执行漏洞

Untitled Goose Game（无题大鹅模拟、捣蛋鹅）是一款画风简单的第三人称模拟类游戏，通过模拟一只大鹅去完成一些捣乱任务，是House House制作的一款农场题材搞笑游戏。...漏洞详情 Untitled Goose Game使用.NET的BinaryFormatter去读取和反序列化游戏存档文件，由于其中未采用特定的SerializationBinder去控制反序列化过程，因此...，控制了游戏存档文件的攻击者可以利用其反序列化过程来执行任意代码。...其实，该改进组件已经整合到了反序列化工具ysoserial.net中了，可以在此下载。...可用以下命令生成PoC漏洞利用： ysoserial.exe -f BinaryFormatter -t TypeConfuseDelegateMono -o raw -c "calc" > "C:\Users

9344 0

实体类的二进制序列化

在.NET中，我们可以将对象序列化从而保存对象的状态到内存或者磁盘文件中，或者分布式应用程序中用于系统通信，一般来说，二进制序列化的效率要高，所获得的字节数最小，我们来看看下面的例子： private　...(); 　　 formater.Serialize(ms,　customer); 　　 Console.WriteLine("BinaryFormatter　Length:{0}",　ms.Length...(PWMIS数据开发框架）的实体类也提供了二进制序列化功能，下面我们来演示一下它的使用： //PDF.NET 实体类序列化、反序列化测试 Customer customer = ...Base64来将序列化后的字节数组转换成字符串，从而利于使用。...框架的序列化功能使用很简单，而且也有很高的效率。

9829 0

C#序列化对象的二进制储存方法及底层原理研究

保存为二进制文件较为简单，C#还提供了int32,byte等类型的读写方法，可以直接使用，但是仍有弊端，即代码复杂，你需要不断地读取，赋值。...实际上C#提供了序列化存储的方法，可以轻松地把一个对象保存到硬盘里。...序列化储存方法首先定义一个类，并在最前面加上”[Serializable]”，表示这个类可以序列化 [Serializable] class Struct { public string a...但是最终不是还要用二进制保存吗？是不是还需要把16进制转成2进制？...接下来我们用C++进行下一步实验图中可以看到，我在计算机中保存了0x11223344这个数字，尽管我输入的是16进制，但是内存里仍然是按int类型储存。

1.3K1 0

CA2355:反序列化对象图中的不安全 DataSet 或 DataTable

值规则 ID CA2355 类别安全性修复是中断修复还是非中断修复非中断原因当强制转换的或指定的类型的对象图可能包含 DataSet 或 DataTable 类时，进行反序列化。...此规则使用不同的方法来实现类似的规则 CA2353：可序列化类型中不安全的 DataSet 或 DataTable。...JsonSerializer.Deserialize 调用 Newtonsoft Json.NET JsonConvert.DeserializeObject 规则说明当反序列化具有 BinaryFormatter...如何解决冲突如果可能，请使用实体框架，而不是 DataSet 和 DataTable。使序列化的数据免被篡改。 序列化后，对序列化的数据进行加密签名。在反序列化之前，验证加密签名。...CA2356：Web 反序列化对象图中不安全的 DataSet 或 DataTable CA2361：请确保包含 DataSet.ReadXml() 的自动生成的类没有与不受信任的数据一起使用 CA2362

5900 0

原创Paper | 从入门 .NET 到分析金蝶反序列化漏洞学习笔记

恶意序列化后的数据让服务端进行危险的 BinaryFormatter 反序列化操作。...反序列化过程中没有对数据进行签名或校验，导致攻击者可以在未授权状态下进行服务器远程代码执行。...刚接触 .NET 不久，正巧遇上了金蝶反序列化漏洞，本篇文章将从入门学习如何调试——分析金蝶反序列化漏洞 2.影响范围参考资料金蝶云星空 < 6.2.1012.4 7.0.352.16 < 金蝶云星空...进行了 Deserialize操作[2]，微软已经将 BinaryFormatter 的反序列化标注为不安全的[4]。...图29 漏洞验证 7.总结参考资料本篇文章算是我从.NET入门到调试分析第一个漏洞，虽然一路上踩得坑还是不少，但是收获还是挺多的。

1.1K1 0

GadgetToJScript在VBA中的利用

而拿我们常用的CS之类的为例，我们生成载荷，然后运行，在监控中会很清楚的看到过程被amsi所监控（payload做了简单修改） ? 检查过程如下： ? 而整个过程微软解释如下： ?...GadgetToJScript与.net 在某些脚本语言中可以使用com对象，而com对象可以用来调用.net ?...编译执行，报错，这是因为.NET 4.8增加了对反序列化的检查。 ? 我们可以使用设置DisableActivitySurrogateSelectorTypeCheck来绕过该检测。...") fmt_2.Deserialize_2(Base64ToStream(stage_2, 12424)) End If 即使用COM 组件反序列化 Base64 编码的 .NET 对象。...即BinaryFormatter的反序列化加载。

2.4K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭