java安全编码指南之:声明和初始化
文章目錄
- 簡介
- 初始化順序
- 循環(huán)初始化
- 不要使用java標(biāo)準(zhǔn)庫中的類名作為自己的類名
- 不要在增強的for語句中修改變量值
簡介
在java對象和字段的初始化過程中會遇到哪些安全性問題呢?一起來看看吧。
初始化順序
根據(jù)JLS(Java Language Specification)中的定義,class在初始化過程中,需要同時初始化class中定義的靜態(tài)初始化程序和在該類中聲明的靜態(tài)字段(類變量)的初始化程序。
而對于static變量來說,如果static變量被定義為final并且它值是編譯時常量值,那么該static變量將會被優(yōu)先初始化。
那么使用了final static變量,是不是就沒有初始化問題了呢?
我們來看下面一個例子:
public class StaticFiledOrder {private final int result;private static final StaticFiledOrder instance = new StaticFiledOrder();private static final int intValue=100;public StaticFiledOrder(){result= intValue - 10;}public static void main(String[] args) {System.out.println(instance.result);} }輸出結(jié)果是什么呢?
答案是90。 根據(jù)我們提到的規(guī)則,intValue是final并且被編譯時常量賦值,所以是最先被初始化的,instance調(diào)用了StaticFiledOrder類的構(gòu)造函數(shù),最終導(dǎo)致result的值是90。
接下來,我們換個寫法,將intValue改為隨機變量:
public class StaticFiledOrder {private final int result;private static final StaticFiledOrder instance = new StaticFiledOrder();private static final int intValue=(int)Math.random()* 1000;public StaticFiledOrder(){result= intValue - 10;}public static void main(String[] args) {System.out.println(instance.result);} }運行結(jié)果是什么呢?
答案是-10。為什么呢?
因為instance在調(diào)用StaticFiledOrder構(gòu)造函數(shù)進行初始化的過程中,intValue還沒有被初始化,所以它有一個默認的值0,從而導(dǎo)致result的最終值是-10。
怎么修改呢?
將順序調(diào)換一下就行了:
public class StaticFiledOrder {private final int result;private static final int intValue=(int)Math.random()* 1000;private static final StaticFiledOrder instance = new StaticFiledOrder();public StaticFiledOrder(){result= intValue - 10;}public static void main(String[] args) {System.out.println(instance.result);} }循環(huán)初始化
既然static變量可以調(diào)用構(gòu)造函數(shù),那么可不可以調(diào)用其他類的方法呢?
看下這個例子:
public class CycleClassA {public static final int a = CycleClassB.b+1; } public class CycleClassB {public static final int b = CycleClassA.a+1; }上面就是一個循環(huán)初始化的例子,上面的例子中CycleClassA中的a引用了CycleClassB的b,而同樣的CycleClassB中的b引用了CycleClassA的a。
這樣循環(huán)引用雖然不會報錯,但是根據(jù)class的初始化順序不同,會導(dǎo)致a和b生成兩種不同的結(jié)果。
所以在我們編寫代碼的過程中,一定要避免這種循環(huán)初始化的情況。
不要使用java標(biāo)準(zhǔn)庫中的類名作為自己的類名
java標(biāo)準(zhǔn)庫中為我們定義了很多非常優(yōu)秀的類,我們在搭建自己的java程序時候可以很方便的使用。
但是我們在寫自定義類的情況下,一定要注意避免使用和java標(biāo)準(zhǔn)庫中一樣的名字。
這個應(yīng)該很好理解,就是為了避免混淆。以免造成不必要的意外。
這個很簡單,就不舉例子了。
不要在增強的for語句中修改變量值
我們在遍歷集合和數(shù)組的過程中,除了最原始的for語句之外,java還為我們提供了下面的增強的for循環(huán):
for (I #i = Expression.iterator(); #i.hasNext(); ) {{VariableModifier} TargetType Identifier =(TargetType) #i.next();Statement }在遍歷的過程中,#i其實相當(dāng)于一個本地變量,對這個本地變量的修改是不會影響到集合本身的。
我們看一個例子:
public void noncompliantUsage(){int[] intArray = new int[]{1,2,3,4,5,6};for(int i: intArray){i=0;}for(int i: intArray){System.out.println(i);}}我們在遍歷過程中,嘗試將i都設(shè)置為0,但是最后輸出intArray的結(jié)果,發(fā)現(xiàn)沒有任何變化。
所以,一般來說我們需要在增強的for語句中,將#i設(shè)置成為final,從而消除這種不必要的邏輯誤會。
public void compliantUsage(){int[] intArray = new int[]{1,2,3,4,5,6};for(final int i: intArray){}for(int i: intArray){System.out.println(i);}}本文的例子:
learn-java-base-9-to-20/tree/master/security
本文已收錄于 http://www.flydean.com/java-security-code-line-dlc/
最通俗的解讀,最深刻的干貨,最簡潔的教程,眾多你不知道的小技巧等你來發(fā)現(xiàn)!
歡迎關(guān)注我的公眾號:「程序那些事」,懂技術(shù),更懂你!
總結(jié)
以上是生活随笔為你收集整理的java安全编码指南之:声明和初始化的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java安全编码指南之:Mutabili
- 下一篇: java安全编码指南之:表达式规则