java安全初始化_java安全编码指南之:声明和初始化
搜索熱詞
簡介
在java對象和字段的初始化過程中會遇到哪些安全性問題呢?一起來看看吧。
初始化順序
根據JLS(Java Language Specification)中的定義,class在初始化過程中,需要同時初始化class中定義的靜態初始化程序和在該類中聲明的靜態字段(類變量)的初始化程序。
而對于static變量來說,如果static變量被定義為final并且它值是編譯時常量值,那么該static變量將會被優先初始化。
那么使用了final static變量,是不是就沒有初始化問題了呢?
我們來看下面一個例子:
public class StaticFiledOrder {
private final int result;
private static final StaticFiledOrder instance = new StaticFiledOrder();
private static final int intValue=100;
public StaticFiledOrder(){
result= intValue - 10;
}
public static void main(String[] args) {
System.out.println(instance.result);
}
}
輸出結果是什么呢?
答案是90。 根據我們提到的規則,intValue是final并且被編譯時常量賦值,所以是最先被初始化的,instance調用了StaticFiledOrder類的構造函數,最終導致result的值是90。
接下來,我們換個寫法,將intValue改為隨機變量:
public class StaticFiledOrder {
private final int result;
private static final StaticFiledOrder instance = new StaticFiledOrder();
private static final int intValue=(int)Math.random()* 1000;
public StaticFiledOrder(){
result= intValue - 10;
}
public static void main(String[] args) {
System.out.println(instance.result);
}
}
運行結果是什么呢?
答案是-10。為什么呢?
因為instance在調用StaticFiledOrder構造函數進行初始化的過程中,intValue還沒有被初始化,所以它有一個默認的值0,從而導致result的最終值是-10。
怎么修改呢?
將順序調換一下就行了:
public class StaticFiledOrder {
private final int result;
private static final int intValue=(int)Math.random()* 1000;
private static final StaticFiledOrder instance = new StaticFiledOrder();
public StaticFiledOrder(){
result= intValue - 10;
}
public static void main(String[] args) {
System.out.println(instance.result);
}
}
循環初始化
既然static變量可以調用構造函數,那么可不可以調用其他類的方法呢?
看下這個例子:
public class CycleClassA {
public static final int a = CycleClassB.b+1;
}
public class CycleClassB {
public static final int b = CycleClassA.a+1;
}
上面就是一個循環初始化的例子,上面的例子中CycleClassA中的a引用了CycleClassB的b,而同樣的CycleClassB中的b引用了CycleClassA的a。
這樣循環引用雖然不會報錯,但是根據class的初始化順序不同,會導致a和b生成兩種不同的結果。
所以在我們編寫代碼的過程中,一定要避免這種循環初始化的情況。
不要使用java標準庫中的類名作為自己的類名
java標準庫中為我們定義了很多非常優秀的類,我們在搭建自己的java程序時候可以很方便的使用。
但是我們在寫自定義類的情況下,一定要注意避免使用和java標準庫中一樣的名字。
這個應該很好理解,就是為了避免混淆。以免造成不必要的意外。
這個很簡單,就不舉例子了。
不要在增強的for語句中修改變量值
我們在遍歷集合和數組的過程中,除了最原始的for語句之外,java還為我們提供了下面的增強的for循環:
for (I #i = Expression.iterator(); #i.hasNext(); ) {
{VariableModifier} TargetType Identifier =
(TargetType) #i.next();
Statement
}
在遍歷的過程中,#i其實相當于一個本地變量,對這個本地變量的修改是不會影響到集合本身的。
我們看一個例子:
public void noncompliantUsage(){
int[] intArray = new int[]{1,2,3,4,5,6};
for(int i: intArray){
i=0;
}
for(int i: intArray){
System.out.println(i);
}
}
我們在遍歷過程中,嘗試將i都設置為0,但是最后輸出intArray的結果,發現沒有任何變化。
所以,一般來說我們需要在增強的for語句中,將#i設置成為final,從而消除這種不必要的邏輯誤會。
public void compliantUsage(){
int[] intArray = new int[]{1,6};
for(final int i: intArray){
}
for(int i: intArray){
System.out.println(i);
}
}
本文的例子:
最通俗的解讀,最深刻的干貨,最簡潔的教程,眾多你不知道的小技巧等你來發現!
歡迎關注我的公眾號:「程序那些事」,懂技術,更懂你!
相關文章
總結
如果覺得編程之家網站內容還不錯,歡迎將編程之家網站推薦給程序員好友。
本圖文內容來源于網友網絡收集整理提供,作為學習參考使用,版權屬于原作者。
如您喜歡交流學習經驗,點擊鏈接加入交流1群:1065694478(已滿)交流2群:163560250
總結
以上是生活随笔為你收集整理的java安全初始化_java安全编码指南之:声明和初始化的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python 图像处理与识别书籍_Pyt
- 下一篇: java jstat gc_分析JVM