java安全编码指南之:声明和初始化说明

 更新时间:2020年09月14日 11:08:58   投稿:jingxian  
这篇文章主要介绍了java安全编码指南之:声明和初始化说明,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧

简介

在java对象和字段的初始化过程中会遇到哪些安全性问题呢?一起来看看吧。

初始化顺序

根据JLS(Java Language Specification)中的定义,class在初始化过程中,需要同时初始化class中定义的静态初始化程序和在该类中声明的静态字段(类变量)的初始化程序。

而对于static变量来说,如果static变量被定义为final并且它值是编译时常量值,那么该static变量将会被优先初始化。

那么使用了final static变量,是不是就没有初始化问题了呢?

我们来看下面一个例子:

public class StaticFiledOrder {
  private final int result;
  private static final StaticFiledOrder instance = new StaticFiledOrder();
  private static final int intValue=100;
  public StaticFiledOrder(){
    result= intValue - 10;
  }

  public static void main(String[] args) {
    System.out.println(instance.result);
  }
}

输出结果是什么呢?

答案是90。 根据我们提到的规则,intValue是final并且被编译时常量赋值,所以是最先被初始化的,instance调用了StaticFiledOrder类的构造函数,最终导致result的值是90。

接下来,我们换个写法,将intValue改为随机变量:

public class StaticFiledOrder {
  private final int result;
  private static final StaticFiledOrder instance = new StaticFiledOrder();
  private static final int intValue=(int)Math.random()* 1000;
  public StaticFiledOrder(){
    result= intValue - 10;
  }

  public static void main(String[] args) {
    System.out.println(instance.result);
  }
}

运行结果是什么呢?

答案是-10。为什么呢?

因为instance在调用StaticFiledOrder构造函数进行初始化的过程中,intValue还没有被初始化,所以它有一个默认的值0,从而导致result的最终值是-10。

怎么修改呢?

将顺序调换一下就行了:

public class StaticFiledOrder {
  private final int result;
  private static final int intValue=(int)Math.random()* 1000;
  private static final StaticFiledOrder instance = new StaticFiledOrder();
  public StaticFiledOrder(){
    result= intValue - 10;
  }

  public static void main(String[] args) {
    System.out.println(instance.result);
  }
}

循环初始化

既然static变量可以调用构造函数,那么可不可以调用其他类的方法呢?

看下这个例子:

public class CycleClassA {
  public static final int a = CycleClassB.b+1;
}
public class CycleClassB {
  public static final int b = CycleClassA.a+1;
}

上面就是一个循环初始化的例子,上面的例子中CycleClassA中的a引用了CycleClassB的b,而同样的CycleClassB中的b引用了CycleClassA的a。

这样循环引用虽然不会报错,但是根据class的初始化顺序不同,会导致a和b生成两种不同的结果。

所以在我们编写代码的过程中,一定要避免这种循环初始化的情况。

不要使用java标准库中的类名作为自己的类名

java标准库中为我们定义了很多非常优秀的类,我们在搭建自己的java程序时候可以很方便的使用。

但是我们在写自定义类的情况下,一定要注意避免使用和java标准库中一样的名字。

这个应该很好理解,就是为了避免混淆。以免造成不必要的意外。

这个很简单,就不举例子了。

不要在增强的for语句中修改变量值

我们在遍历集合和数组的过程中,除了最原始的for语句之外,java还为我们提供了下面的增强的for循环:

for (I #i = Expression.iterator(); #i.hasNext(); ) {
  {VariableModifier} TargetType Identifier =
    (TargetType) #i.next();
  Statement
}

在遍历的过程中,#i其实相当于一个本地变量,对这个本地变量的修改是不会影响到集合本身的。

我们看一个例子:

  public void noncompliantUsage(){
    int[] intArray = new int[]{1,2,3,4,5,6};
    for(int i: intArray){
      i=0;
    }
    for(int i: intArray){
      System.out.println(i);
    }
  }

我们在遍历过程中,尝试将i都设置为0,但是最后输出intArray的结果,发现没有任何变化。

所以,一般来说我们需要在增强的for语句中,将#i设置成为final,从而消除这种不必要的逻辑误会。

  public void compliantUsage(){
    int[] intArray = new int[]{1,2,3,4,5,6};
    for(final int i: intArray){
    }
    for(int i: intArray){
      System.out.println(i);
    }
  }

本文的例子:

learn-java-base-9-to-20/tree/master/security

补充知识:Java中String字符串初始化细节

Java中String类型细节

一 . String两种初始化方式

1 . String str1= “abc”;//String类特有的创建字符对象的方式,更高效

在字符串缓冲区中检测”abc”是否存在

若存在则不重复创建,将地址赋值给str1.

若不存在,则在字符串缓冲区中创建对象并赋地址给str1.

2 . String str1= new String( “abc”); //构造函数初始化

 或者

 char [] ch={‘a','b','c'};

 String str1=new String (ch);

先有 “abc” 对象,然后拷贝给构造函数创建的对象(相当于str1得到的是构造函数的副本)

String对象是不可变的,它的内容不能改变,而在程序中字符串频繁使用,为了提高效率,对具有相同字符串序列的字符串直接量使用同一个实例,这样的实例被称之为限定的(interned)

注意,第二种方式的参数只支持字符串直接量或字符数组创建,这种方式是错误的 String strA = “asd”;

String strbB = new Strint(strA);

比较两种创建方式,第一种更高效,只创建了一个对象,第二种创建了两个对象。

二 . 初始化细节

栈中保存基本类型与对象的引用,基本类型在创建前会查看Stack中是否已经有, 有则赋值指向, 没有则创建。

String str1= “abc”;

String str1= new String( “abc”);

前者首先在栈中创建一个引用型变量str1,然后查看栈中是否存在“abc”如果没有,则将“abc”存放进栈,并令引用变量str指向它;如果有,则直接令str1指向它;后者是java中标准的对象创建方式,其创建的对象将直接放置到堆中,每调用一次就会创建一个新的对象。

String str = “abc”+”def”;

这条语句创建对象个数? 1个。

编译器会自己调用Stringbuilder的append方法来合成abcdef,最后只生成一个对象.

实际上,字符串直接量属于常量,在编译的时候已确定,两个常量相加,先检测栈内存中是否有”abcdef” 如有有,指向已有的栈中的”abcdef”空间,若没有,则创建。

package stringDemo;
public class stringInitial
{
  public static void main(String[] args)
  {
  String str1 = "abc";
  String str2 = new String("abc");
  // String str2 = new String(new char[] { 'a', 'b', 'c' });
  // String str2 = new String(str1);错误写法

  System.out.println(str1 == str2);// false
  System.out.println(str1.equals(str2));// true这里的equals()方法已经被覆盖,比较的是字符串不是地址

  String str3 = "123";
  String str4 = "abc123";
  String str5 = "abc" + "123";
  String str = str1 + str3;
  System.out.println(str4 == str5);// true
  System.out.println(str4 == str1+"123");// false
  System.out.println(str4 == str);// false

  }
}

可以看出,只要是+中出现非字符串直接量,就会在堆中产生新的对象,并不会检测栈内存

三.关于String str=null;String str;String str=”“;

String str=null;

声明了一个String的引用型变量并初始化为空,及未指向任何地址,不占用任何空间

String str;

只是声明了一个String的引用型变量,并未初始化(作为对象属性时会有默认的隐式初始化str=null),如果后面未用此变量编译会通过

String str=”“;

正常的字符串初始化,只不过字符串内容为空。

以上这篇java安全编码指南之:声明和初始化说明就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持脚本之家。

相关文章

  • JAVA生成八位不重复随机数最快的方法总结(省时间省空间)

    JAVA生成八位不重复随机数最快的方法总结(省时间省空间)

    随机数在实际中使用很广泛,比如要随即生成一个固定长度的字符串、数字,这篇文章主要给大家介绍了关于JAVA生成八位不重复随机数最快的方法,文中介绍的方法省时间省空间,需要的朋友可以参考下
    2024-03-03
  • Java Web项目创建并实现前后端交互

    Java Web项目创建并实现前后端交互

    本文主要介绍了Java Web项目创建并实现前后端交互,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2023-07-07
  • Java绘制迷宫动画并显示的示例代码

    Java绘制迷宫动画并显示的示例代码

    这篇文章主要为大家详细介绍了如何利用Java语言实现绘制迷宫动画并显示,文中的示例代码讲解详细,对我们学习Java有一定帮助,需要的可以参考一下
    2022-08-08
  • SpringCloud如何实现Zuul集群(负载均衡)

    SpringCloud如何实现Zuul集群(负载均衡)

    这篇文章主要介绍了SpringCloud如何实现Zuul集群(负载均衡)的操作,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-07-07
  • SpringBoot项目没有把依赖的jar包一起打包的问题解决

    SpringBoot项目没有把依赖的jar包一起打包的问题解决

    这篇文章主要介绍了SpringBoot项目没有把依赖的jar包一起打包的问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2019-09-09
  • SpringBoot整合liquibase的实现方法

    SpringBoot整合liquibase的实现方法

    这篇文章主要介绍了SpringBoot整合liquibase的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-08-08
  • Java流程控制语句最全汇总(上篇)

    Java流程控制语句最全汇总(上篇)

    这篇文章主要介绍了Java流程控制语句最全汇总(上篇),本文章内容详细,通过案例可以更好的理解数组的相关知识,本模块分为了三部分,本次为上篇,需要的朋友可以参考下
    2023-01-01
  • Java Web开发中过滤器和监听器使用详解

    Java Web开发中过滤器和监听器使用详解

    这篇文章主要为大家详细介绍了Java中的过滤器Filter和监听器Listener的使用以及二者的区别,文中的示例代码讲解详细,需要的可以参考一下
    2022-10-10
  • SpringSecurity解决POST方式下CSRF问题

    SpringSecurity解决POST方式下CSRF问题

    本文主要介绍了SpringSecurity解决POST方式下CSRF问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2022-07-07
  • springboot之如何获取项目目录路径

    springboot之如何获取项目目录路径

    这篇文章主要介绍了springboot之如何获取项目目录路径问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2023-05-05

最新评论