java安全初始化_java安全编码指南之:声明和初始化
搜索熱詞
簡(jiǎn)介
在java對(duì)象和字段的初始化過(guò)程中會(huì)遇到哪些安全性問(wèn)題呢?一起來(lái)看看吧。
初始化順序
根據(jù)JLS(Java Language Specification)中的定義,class在初始化過(guò)程中,需要同時(shí)初始化class中定義的靜態(tài)初始化程序和在該類(lèi)中聲明的靜態(tài)字段(類(lèi)變量)的初始化程序。
而對(duì)于static變量來(lái)說(shuō),如果static變量被定義為final并且它值是編譯時(shí)常量值,那么該static變量將會(huì)被優(yōu)先初始化。
那么使用了final static變量,是不是就沒(méi)有初始化問(wèn)題了呢?
我們來(lái)看下面一個(gè)例子:
public class StaticFiledOrder {
private final int result;
private static final StaticFiledOrder instance = new StaticFiledOrder();
private static final int intValue=100;
public StaticFiledOrder(){
result= intValue - 10;
}
public static void main(String[] args) {
System.out.println(instance.result);
}
}
輸出結(jié)果是什么呢?
答案是90。 根據(jù)我們提到的規(guī)則,intValue是final并且被編譯時(shí)常量賦值,所以是最先被初始化的,instance調(diào)用了StaticFiledOrder類(lèi)的構(gòu)造函數(shù),最終導(dǎo)致result的值是90。
接下來(lái),我們換個(gè)寫(xiě)法,將intValue改為隨機(jī)變量:
public class StaticFiledOrder {
private final int result;
private static final StaticFiledOrder instance = new StaticFiledOrder();
private static final int intValue=(int)Math.random()* 1000;
public StaticFiledOrder(){
result= intValue - 10;
}
public static void main(String[] args) {
System.out.println(instance.result);
}
}
運(yùn)行結(jié)果是什么呢?
答案是-10。為什么呢?
因?yàn)閕nstance在調(diào)用StaticFiledOrder構(gòu)造函數(shù)進(jìn)行初始化的過(guò)程中,intValue還沒(méi)有被初始化,所以它有一個(gè)默認(rèn)的值0,從而導(dǎo)致result的最終值是-10。
怎么修改呢?
將順序調(diào)換一下就行了:
public class StaticFiledOrder {
private final int result;
private static final int intValue=(int)Math.random()* 1000;
private static final StaticFiledOrder instance = new StaticFiledOrder();
public StaticFiledOrder(){
result= intValue - 10;
}
public static void main(String[] args) {
System.out.println(instance.result);
}
}
循環(huán)初始化
既然static變量可以調(diào)用構(gòu)造函數(shù),那么可不可以調(diào)用其他類(lèi)的方法呢?
看下這個(gè)例子:
public class CycleClassA {
public static final int a = CycleClassB.b+1;
}
public class CycleClassB {
public static final int b = CycleClassA.a+1;
}
上面就是一個(gè)循環(huán)初始化的例子,上面的例子中CycleClassA中的a引用了CycleClassB的b,而同樣的CycleClassB中的b引用了CycleClassA的a。
這樣循環(huán)引用雖然不會(huì)報(bào)錯(cuò),但是根據(jù)class的初始化順序不同,會(huì)導(dǎo)致a和b生成兩種不同的結(jié)果。
所以在我們編寫(xiě)代碼的過(guò)程中,一定要避免這種循環(huán)初始化的情況。
不要使用java標(biāo)準(zhǔn)庫(kù)中的類(lèi)名作為自己的類(lèi)名
java標(biāo)準(zhǔn)庫(kù)中為我們定義了很多非常優(yōu)秀的類(lèi),我們?cè)诖罱ㄗ约旱膉ava程序時(shí)候可以很方便的使用。
但是我們?cè)趯?xiě)自定義類(lèi)的情況下,一定要注意避免使用和java標(biāo)準(zhǔn)庫(kù)中一樣的名字。
這個(gè)應(yīng)該很好理解,就是為了避免混淆。以免造成不必要的意外。
這個(gè)很簡(jiǎn)單,就不舉例子了。
不要在增強(qiáng)的for語(yǔ)句中修改變量值
我們?cè)诒闅v集合和數(shù)組的過(guò)程中,除了最原始的for語(yǔ)句之外,java還為我們提供了下面的增強(qiáng)的for循環(huán):
for (I #i = Expression.iterator(); #i.hasNext(); ) {
{VariableModifier} TargetType Identifier =
(TargetType) #i.next();
Statement
}
在遍歷的過(guò)程中,#i其實(shí)相當(dāng)于一個(gè)本地變量,對(duì)這個(gè)本地變量的修改是不會(huì)影響到集合本身的。
我們看一個(gè)例子:
public void noncompliantUsage(){
int[] intArray = new int[]{1,2,3,4,5,6};
for(int i: intArray){
i=0;
}
for(int i: intArray){
System.out.println(i);
}
}
我們?cè)诒闅v過(guò)程中,嘗試將i都設(shè)置為0,但是最后輸出intArray的結(jié)果,發(fā)現(xiàn)沒(méi)有任何變化。
所以,一般來(lái)說(shuō)我們需要在增強(qiáng)的for語(yǔ)句中,將#i設(shè)置成為final,從而消除這種不必要的邏輯誤會(huì)。
public void compliantUsage(){
int[] intArray = new int[]{1,6};
for(final int i: intArray){
}
for(int i: intArray){
System.out.println(i);
}
}
本文的例子:
最通俗的解讀,最深刻的干貨,最簡(jiǎn)潔的教程,眾多你不知道的小技巧等你來(lái)發(fā)現(xiàn)!
歡迎關(guān)注我的公眾號(hào):「程序那些事」,懂技術(shù),更懂你!
相關(guān)文章
總結(jié)
如果覺(jué)得編程之家網(wǎng)站內(nèi)容還不錯(cuò),歡迎將編程之家網(wǎng)站推薦給程序員好友。
本圖文內(nèi)容來(lái)源于網(wǎng)友網(wǎng)絡(luò)收集整理提供,作為學(xué)習(xí)參考使用,版權(quán)屬于原作者。
如您喜歡交流學(xué)習(xí)經(jīng)驗(yàn),點(diǎn)擊鏈接加入交流1群:1065694478(已滿(mǎn))交流2群:163560250
總結(jié)
以上是生活随笔為你收集整理的java安全初始化_java安全编码指南之:声明和初始化的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: python 图像处理与识别书籍_Pyt
- 下一篇: java jstat gc_分析JVM