java安全编码指南之:声明和初始化
简介
在java对象和字段的初始化过程中会遇到哪些安全性问题呢?一起来看看吧。
初始化顺序
根据JLS(Java Language Specification)中的定义,class在初始化过程中,需要同时初始化class中定义的静态初始化程序和在该类中声明的静态字段(类变量)的初始化程序。
而对于static变量来说,如果static变量被定义为final并且它值是编译时常量值,那么该static变量将会被优先初始化。
那么使用了final static变量,是不是就没有初始化问题了呢?
我们来看下面一个例子:
public class StaticFiledOrder {
private final int result;
private static final StaticFiledOrder instance = new StaticFiledOrder();
private static final int intValue=100;
public StaticFiledOrder(){
result= intValue - 10;
}
public static void main(String[] args) {
System.out.println(instance.result);
}}
输出结果是什么呢?
答案是90。根据我们提到的规则,intValue是final并且被编译时常量赋值,所以是最先被初始化的,instance调用了StaticFiledOrder类的构造函数,最终导致result的值是90。
接下来,我们换个写法,将intValue改为随机变量:
public class StaticFiledOrder {
private final int result;
private static final StaticFiledOrder instance = new StaticFiledOrder();
private static final int intValue=(int)Math.random()* 1000;
public StaticFiledOrder(){
result= intValue - 10;
}
public static void main(String[] args) {
System.out.println(instance.result);
}}
运行结果是什么呢?
答案是-10。为什么呢?
因为instance在调用StaticFiledOrder构造函数进行初始化的过程中,intValue还没有被初始化,所以它有一个默认的值0,从而导致result的最终值是-10。
怎么修改呢?
将顺序调换一下就行了:
public class StaticFiledOrder {
private final int result;
private static final int intValue=(int)Math.random()* 1000;
private static final StaticFiledOrder instance = new StaticFiledOrder();
public StaticFiledOrder(){
result= intValue - 10;
}
public static void main(String[] args) {
System.out.println(instance.result);
}}
循环初始化
既然static变量可以调用构造函数,那么可不可以调用其他类的方法呢?
看下这个例子:
public class CycleClassA {
public static final int a = CycleClassB.b+1;}
public class CycleClassB {
public static final int b = CycleClassA.a+1;}
上面就是一个循环初始化的例子,上面的例子中CycleClassA中的a引用了CycleClassB的b,而同样的CycleClassB中的b引用了CycleClassA的a。
这样循环引用虽然不会报错,但是根据class的初始化顺序不同,会导致a和b生成两种不同的结果。
所以在我们编写代码的过程中,一定要避免这种循环初始化的情况。
不要使用java标准库中的类名作为自己的类名
java标准库中为我们定义了很多非常优秀的类,我们在搭建自己的java程序时候可以很方便的使用。
但是我们在写自定义类的情况下,一定要注意避免使用和java标准库中一样的名字。
这个应该很好理解,就是为了避免混淆。以免造成不必要的意外。
这个很简单,就不举例子了。
不要在增强的for语句中修改变量值
我们在遍历集合和数组的过程中,除了最原始的for语句之外,java还为我们提供了下面的增强的for循环:
for (I #i = Expression.iterator(); #i.hasNext(); ) {
{VariableModifier} TargetType Identifier =
(TargetType) #i.next();
Statement}
在遍历的过程中,#i其实相当于一个本地变量,对这个本地变量的修改是不会影响到集合本身的。
我们看一个例子:
public void noncompliantUsage(){
int[] intArray = new int[]{1,2,3,4,5,6};
for(int i: intArray){
i=0;
}
for(int i: intArray){
System.out.println(i);
}
}
我们在遍历过程中,尝试将i都设置为0,但是最后输出intArray的结果,发现没有任何变化。
所以,一般来说我们需要在增强的for语句中,将#i设置成为final,从而消除这种不必要的逻辑误会。
public void compliantUsage(){
int[] intArray = new int[]{1,2,3,4,5,6};
for(final int i: intArray){
}
for(int i: intArray){
System.out.println(i);
}
}
作者小F,金融科技从业多年,懂技术又懂金融,主攻Java和区块链方向,篇篇都是用心之作,笔耕不辍,持续更新!
微信号 : 程序那些事
- java教程
- Java快速入门
- Java 开发环境配置
- Java基本语法
- Java 对象和类
- Java 基本数据类型
- Java 变量类型
- Java 修饰符
- Java 运算符
- Java 循环结构
- Java 分支结构
- Java Number类
- Java Character类
- Java String类
- Java StringBuffer和StringBuilder类
- Java 数组
- Java 日期时间
- Java 正则表达式
- Java 方法
- Java 流(Stream)、文件(File)和IO
- Java 异常处理
- Java 继承
- Java 重写(Override)与重载(Overload)
- Java 多态
- Java 抽象类
- Java 封装
- Java 接口
- Java 包(package)
- Java 数据结构
- Java 集合框架
- Java 泛型
- Java 序列化
- Java 网络编程
- Java 发送邮件
- Java 多线程编程
- Java Applet基础
- Java 文档注释
- 「推荐」阿里开源的分布式事务框架 Seata
- BeanDefinition元信息:除了Bean名称和类名,还有哪些Bean元信息值得关注?
- 【SpringBoot WebFlux 系列】 header 参数解析
- MySQL为什么还有kill不掉的语句?
- 【SpringBoot DB 系列】h2databse 集成示例 demo
- 在grant语句之后要跟着flush privileges吗?
- Python实现数据写入 Excel 的三种模块!
- redis的两种持久化的机制,你真的了解么?
- 绝对能让你彻底明白的Redis的内存淘汰策略
- redis缓存穿透穿透解决方案-布隆过滤器
- Python动态图见得多了?Excel:亦可赛艇!我可是身经百战了
- LinkedList 源码剖析
- ArrayDeque 源码解读
- Apache Kafka 真的只是消息引擎吗?
- 注册Spring Bean:如何将BeanDefinition注册到IoC容器?