java安全編碼指南之:宣告和初始化說明
簡介
在java物件和欄位的初始化過程中會遇到哪些安全性問題呢?一起來看看吧。
初始化順序
根據JLS(Java Language Specification)中的定義,class在初始化過程中,需要同時初始化class中定義的靜態初始化程式和在該類中宣告的靜態欄位(類變數)的初始化程式。
而對於static變數來說,如果static變數被定義為final並且它值是編譯時常量值,那麼該static變數將會被優先初始化。
那麼使用了final static變數,是不是就沒有初始化問題了呢?
我們來看下面一個例子:
public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=100; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); } }
輸出結果是什麼呢?
答案是90。 根據我們提到的規則,intValue是final並且被編譯時常量賦值,所以是最先被初始化的,instance呼叫了StaticFiledOrder類的建構函式,最終導致result的值是90。
接下來,我們換個寫法,將intValue改為隨機變數:
public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=(int)Math.random()* 1000; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); } }
執行結果是什麼呢?
答案是-10。為什麼呢?
因為instance在呼叫StaticFiledOrder建構函式進行初始化的過程中,intValue還沒有被初始化,所以它有一個預設的值0,從而導致result的最終值是-10。
怎麼修改呢?
將順序調換一下就行了:
public class StaticFiledOrder { private final int result; private static final int intValue=(int)Math.random()* 1000; private static final StaticFiledOrder instance = new StaticFiledOrder(); public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); } }
迴圈初始化
既然static變數可以呼叫建構函式,那麼可不可以呼叫其他類的方法呢?
看下這個例子:
public class CycleClassA { public static final int a = CycleClassB.b+1; } public class CycleClassB { public static final int b = CycleClassA.a+1; }
上面就是一個迴圈初始化的例子,上面的例子中CycleClassA中的a引用了CycleClassB的b,而同樣的CycleClassB中的b引用了CycleClassA的a。
這樣迴圈引用雖然不會報錯,但是根據class的初始化順序不同,會導致a和b生成兩種不同的結果。
所以在我們編寫程式碼的過程中,一定要避免這種迴圈初始化的情況。
不要使用java標準庫中的類名作為自己的類名
java標準庫中為我們定義了很多非常優秀的類,我們在搭建自己的java程式時候可以很方便的使用。
但是我們在寫自定義類的情況下,一定要注意避免使用和java標準庫中一樣的名字。
這個應該很好理解,就是為了避免混淆。以免造成不必要的意外。
這個很簡單,就不舉例子了。
不要在增強的for語句中修改變數值
我們在遍歷集合和陣列的過程中,除了最原始的for語句之外,java還為我們提供了下面的增強的for迴圈:
for (I #i = Expression.iterator(); #i.hasNext(); ) { {VariableModifier} TargetType Identifier = (TargetType) #i.next(); Statement }
在遍歷的過程中,#i其實相當於一個本地變數,對這個本地變數的修改是不會影響到集合本身的。
我們看一個例子:
public void noncompliantUsage(){ int[] intArray = new int[]{1,2,3,4,5,6}; for(int i: intArray){ i=0; } for(int i: intArray){ System.out.println(i); } }
我們在遍歷過程中,嘗試將i都設定為0,但是最後輸出intArray的結果,發現沒有任何變化。
所以,一般來說我們需要在增強的for語句中,將#i設定成為final,從而消除這種不必要的邏輯誤會。
public void compliantUsage(){ int[] intArray = new int[]{1,6}; for(final int i: intArray){ } for(int i: intArray){ System.out.println(i); } }
本文的例子:
learn-java-base-9-to-20/tree/master/security
補充知識:Java中String字串初始化細節
Java中String型別細節
一 . String兩種初始化方式
1 . String str1= “abc”;//String類特有的建立字元物件的方式,更高效
在字串緩衝區中檢測”abc”是否存在
若存在則不重複建立,將地址賦值給str1.
若不存在,則在字串緩衝區中建立物件並賦地址給str1.
2 . String str1= new String( “abc”); //建構函式初始化
或者
char [] ch={‘a','b','c'};
String str1=new String (ch);
先有 “abc” 物件,然後拷貝給建構函式建立的物件(相當於str1得到的是建構函式的副本)
String物件是不可變的,它的內容不能改變,而在程式中字串頻繁使用,為了提高效率,對具有相同字串序列的字串直接量使用同一個例項,這樣的例項被稱之為限定的(interned)
注意,第二種方式的引數只支援字串直接量或字元陣列建立,這種方式是錯誤的 String strA = “asd”;
String strbB = new Strint(strA);
比較兩種建立方式,第一種更高效,只建立了一個物件,第二種建立了兩個物件。
二 . 初始化細節
棧中儲存基本型別與物件的引用,基本型別在建立前會檢視Stack中是否已經有,有則賦值指向,沒有則建立。
String str1= “abc”;
String str1= new String( “abc”);
前者首先在棧中建立一個引用型變數str1,然後檢視棧中是否存在“abc”如果沒有,則將“abc”存放進棧,並令引用變數str指向它;如果有,則直接令str1指向它;後者是java中標準的物件建立方式,其建立的物件將直接放置到堆中,每呼叫一次就會建立一個新的物件。
String str = “abc”+”def”;
這條語句建立物件個數? 1個。
編譯器會自己呼叫Stringbuilder的append方法來合成abcdef,最後只生成一個物件.
實際上,字串直接量屬於常量,在編譯的時候已確定,兩個常量相加,先檢測棧記憶體中是否有”abcdef” 如有有,指向已有的棧中的”abcdef”空間,若沒有,則建立。
package stringDemo; public class stringInitial { public static void main(String[] args) { String str1 = "abc"; String str2 = new String("abc"); // String str2 = new String(new char[] { 'a','c' }); // String str2 = new String(str1);錯誤寫法 System.out.println(str1 == str2);// false System.out.println(str1.equals(str2));// true這裡的equals()方法已經被覆蓋,比較的是字串不是地址 String str3 = "123"; String str4 = "abc123"; String str5 = "abc" + "123"; String str = str1 + str3; System.out.println(str4 == str5);// true System.out.println(str4 == str1+"123");// false System.out.println(str4 == str);// false } }
可以看出,只要是+中出現非字串直接量,就會在堆中產生新的物件,並不會檢測棧記憶體
三.關於String str=null;String str;String str=”“;
String str=null;
聲明瞭一個String的引用型變數並初始化為空,及未指向任何地址,不佔用任何空間
String str;
只是聲明瞭一個String的引用型變數,並未初始化(作為物件屬性時會有預設的隱式初始化str=null),如果後面未用此變數編譯會通過
String str=”“;
正常的字串初始化,只不過字串內容為空。
以上這篇java安全編碼指南之:宣告和初始化說明就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支援我們。