搜索熱詞

簡(jiǎn)介

在java對(duì)象和字段的初始化過(guò)程中會(huì)遇到哪些安全性問(wèn)題呢？一起來(lái)看看吧。

初始化順序

根據(jù)JLS(Java Language Specification)中的定義，class在初始化過(guò)程中，需要同時(shí)初始化class中定義的靜態(tài)初始化程序和在該類(lèi)中聲明的靜態(tài)字段(類(lèi)變量)的初始化程序。

而對(duì)于static變量來(lái)說(shuō)，如果static變量被定義為final并且它值是編譯時(shí)常量值，那么該static變量將會(huì)被優(yōu)先初始化。

那么使用了final static變量，是不是就沒(méi)有初始化問(wèn)題了呢？

我們來(lái)看下面一個(gè)例子：

public class StaticFiledOrder {

private final int result;

private static final StaticFiledOrder instance = new StaticFiledOrder();

private static final int intValue=100;

public StaticFiledOrder(){

result= intValue - 10;

}

public static void main(String[] args) {

System.out.println(instance.result);

}

}

輸出結(jié)果是什么呢？

答案是90。 根據(jù)我們提到的規(guī)則，intValue是final并且被編譯時(shí)常量賦值，所以是最先被初始化的，instance調(diào)用了StaticFiledOrder類(lèi)的構(gòu)造函數(shù)，最終導(dǎo)致result的值是90。

接下來(lái)，我們換個(gè)寫(xiě)法，將intValue改為隨機(jī)變量：

public class StaticFiledOrder {

private final int result;

private static final StaticFiledOrder instance = new StaticFiledOrder();

private static final int intValue=(int)Math.random()* 1000;

public StaticFiledOrder(){

result= intValue - 10;

}

public static void main(String[] args) {

System.out.println(instance.result);

}

}

運(yùn)行結(jié)果是什么呢？

答案是-10。為什么呢？

因?yàn)閕nstance在調(diào)用StaticFiledOrder構(gòu)造函數(shù)進(jìn)行初始化的過(guò)程中，intValue還沒(méi)有被初始化，所以它有一個(gè)默認(rèn)的值0，從而導(dǎo)致result的最終值是-10。

怎么修改呢？

將順序調(diào)換一下就行了：

public class StaticFiledOrder {

private final int result;

private static final int intValue=(int)Math.random()* 1000;

private static final StaticFiledOrder instance = new StaticFiledOrder();

public StaticFiledOrder(){

result= intValue - 10;

}

public static void main(String[] args) {

System.out.println(instance.result);

}

}

循環(huán)初始化

既然static變量可以調(diào)用構(gòu)造函數(shù)，那么可不可以調(diào)用其他類(lèi)的方法呢？

看下這個(gè)例子：

public class CycleClassA {

public static final int a = CycleClassB.b+1;

}

public class CycleClassB {

public static final int b = CycleClassA.a+1;

}

上面就是一個(gè)循環(huán)初始化的例子，上面的例子中CycleClassA中的a引用了CycleClassB的b，而同樣的CycleClassB中的b引用了CycleClassA的a。

這樣循環(huán)引用雖然不會(huì)報(bào)錯(cuò)，但是根據(jù)class的初始化順序不同，會(huì)導(dǎo)致a和b生成兩種不同的結(jié)果。

所以在我們編寫(xiě)代碼的過(guò)程中，一定要避免這種循環(huán)初始化的情況。

不要使用java標(biāo)準(zhǔn)庫(kù)中的類(lèi)名作為自己的類(lèi)名

java標(biāo)準(zhǔn)庫(kù)中為我們定義了很多非常優(yōu)秀的類(lèi)，我們?cè)诖罱ㄗ约旱膉ava程序時(shí)候可以很方便的使用。

但是我們?cè)趯?xiě)自定義類(lèi)的情況下，一定要注意避免使用和java標(biāo)準(zhǔn)庫(kù)中一樣的名字。

這個(gè)應(yīng)該很好理解，就是為了避免混淆。以免造成不必要的意外。

這個(gè)很簡(jiǎn)單，就不舉例子了。

不要在增強(qiáng)的for語(yǔ)句中修改變量值

我們?cè)诒闅v集合和數(shù)組的過(guò)程中，除了最原始的for語(yǔ)句之外，java還為我們提供了下面的增強(qiáng)的for循環(huán)：

for (I #i = Expression.iterator(); #i.hasNext(); ) {

{VariableModifier} TargetType Identifier =

(TargetType) #i.next();

Statement

}

在遍歷的過(guò)程中，#i其實(shí)相當(dāng)于一個(gè)本地變量，對(duì)這個(gè)本地變量的修改是不會(huì)影響到集合本身的。

我們看一個(gè)例子：

public void noncompliantUsage(){

int[] intArray = new int[]{1,2,3,4,5,6};

for(int i: intArray){

i=0;

}

for(int i: intArray){

System.out.println(i);

}

}

我們?cè)诒闅v過(guò)程中，嘗試將i都設(shè)置為0，但是最后輸出intArray的結(jié)果，發(fā)現(xiàn)沒(méi)有任何變化。

所以，一般來(lái)說(shuō)我們需要在增強(qiáng)的for語(yǔ)句中，將#i設(shè)置成為final，從而消除這種不必要的邏輯誤會(huì)。

public void compliantUsage(){

int[] intArray = new int[]{1,6};

for(final int i: intArray){

}

for(int i: intArray){

System.out.println(i);

}

}

本文的例子：

最通俗的解讀，最深刻的干貨，最簡(jiǎn)潔的教程，眾多你不知道的小技巧等你來(lái)發(fā)現(xiàn)！

歡迎關(guān)注我的公眾號(hào):「程序那些事」,懂技術(shù)，更懂你！

相關(guān)文章

總結(jié)

如果覺(jué)得編程之家網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將編程之家網(wǎng)站推薦給程序員好友。

本圖文內(nèi)容來(lái)源于網(wǎng)友網(wǎng)絡(luò)收集整理提供，作為學(xué)習(xí)參考使用，版權(quán)屬于原作者。

如您喜歡交流學(xué)習(xí)經(jīng)驗(yàn)，點(diǎn)擊鏈接加入交流1群：1065694478(已滿(mǎn))交流2群：163560250

總結(jié)

以上是生活随笔為你收集整理的java安全初始化_java安全编码指南之:声明和初始化的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。