簡(jiǎn)介

在java對(duì)象和字段的初始化過(guò)程中會(huì)遇到哪些安全性問(wèn)題呢？一起來(lái)看看吧。

初始化順序

根據(jù)JLS（Java Language Specification）中的定義，class在初始化過(guò)程中，需要同時(shí)初始化class中定義的靜態(tài)初始化程序和在該類中聲明的靜態(tài)字段（類變量）的初始化程序。

而對(duì)于static變量來(lái)說(shuō)，如果static變量被定義為final并且它值是編譯時(shí)常量值，那么該static變量將會(huì)被優(yōu)先初始化。

那么使用了final static變量，是不是就沒(méi)有初始化問(wèn)題了呢？

我們來(lái)看下面一個(gè)例子：

public class StaticFiledOrder {
  private final int result;
  private static final StaticFiledOrder instance = new StaticFiledOrder();
  private static final int intValue=100;
  public StaticFiledOrder(){
    result= intValue - 10;
  }

  public static void main(String[] args) {
    System.out.println(instance.result);
  }
}

輸出結(jié)果是什么呢？

答案是90。 根據(jù)我們提到的規(guī)則，intValue是final并且被編譯時(shí)常量賦值，所以是最先被初始化的，instance調(diào)用了StaticFiledOrder類的構(gòu)造函數(shù)，最終導(dǎo)致result的值是90。

接下來(lái)，我們換個(gè)寫(xiě)法，將intValue改為隨機(jī)變量：

public class StaticFiledOrder {
  private final int result;
  private static final StaticFiledOrder instance = new StaticFiledOrder();
  private static final int intValue=(int)Math.random()* 1000;
  public StaticFiledOrder(){
    result= intValue - 10;
  }

  public static void main(String[] args) {
    System.out.println(instance.result);
  }
}

運(yùn)行結(jié)果是什么呢？

答案是-10。為什么呢？

因?yàn)閕nstance在調(diào)用StaticFiledOrder構(gòu)造函數(shù)進(jìn)行初始化的過(guò)程中，intValue還沒(méi)有被初始化，所以它有一個(gè)默認(rèn)的值0，從而導(dǎo)致result的最終值是-10。

怎么修改呢？

將順序調(diào)換一下就行了：

public class StaticFiledOrder {
  private final int result;
  private static final int intValue=(int)Math.random()* 1000;
  private static final StaticFiledOrder instance = new StaticFiledOrder();
  public StaticFiledOrder(){
    result= intValue - 10;
  }

  public static void main(String[] args) {
    System.out.println(instance.result);
  }
}

循環(huán)初始化

既然static變量可以調(diào)用構(gòu)造函數(shù)，那么可不可以調(diào)用其他類的方法呢？

看下這個(gè)例子：

public class CycleClassA {
  public static final int a = CycleClassB.b+1;
}
public class CycleClassB {
  public static final int b = CycleClassA.a+1;
}

上面就是一個(gè)循環(huán)初始化的例子，上面的例子中CycleClassA中的a引用了CycleClassB的b，而同樣的CycleClassB中的b引用了CycleClassA的a。

這樣循環(huán)引用雖然不會(huì)報(bào)錯(cuò)，但是根據(jù)class的初始化順序不同，會(huì)導(dǎo)致a和b生成兩種不同的結(jié)果。

所以在我們編寫(xiě)代碼的過(guò)程中，一定要避免這種循環(huán)初始化的情況。

不要使用java標(biāo)準(zhǔn)庫(kù)中的類名作為自己的類名

java標(biāo)準(zhǔn)庫(kù)中為我們定義了很多非常優(yōu)秀的類，我們?cè)诖罱ㄗ约旱膉ava程序時(shí)候可以很方便的使用。

但是我們?cè)趯?xiě)自定義類的情況下，一定要注意避免使用和java標(biāo)準(zhǔn)庫(kù)中一樣的名字。

這個(gè)應(yīng)該很好理解，就是為了避免混淆。以免造成不必要的意外。

這個(gè)很簡(jiǎn)單，就不舉例子了。

不要在增強(qiáng)的for語(yǔ)句中修改變量值

我們?cè)诒闅v集合和數(shù)組的過(guò)程中，除了最原始的for語(yǔ)句之外，java還為我們提供了下面的增強(qiáng)的for循環(huán)：

for (I #i = Expression.iterator(); #i.hasNext(); ) {
  {VariableModifier} TargetType Identifier =
    (TargetType) #i.next();
  Statement
}

在遍歷的過(guò)程中，#i其實(shí)相當(dāng)于一個(gè)本地變量，對(duì)這個(gè)本地變量的修改是不會(huì)影響到集合本身的。

我們看一個(gè)例子：

  public void noncompliantUsage(){
    int[] intArray = new int[]{1,2,3,4,5,6};
    for(int i: intArray){
      i=0;
    }
    for(int i: intArray){
      System.out.println(i);
    }
  }

我們?cè)诒闅v過(guò)程中，嘗試將i都設(shè)置為0，但是最后輸出intArray的結(jié)果，發(fā)現(xiàn)沒(méi)有任何變化。

所以，一般來(lái)說(shuō)我們需要在增強(qiáng)的for語(yǔ)句中，將#i設(shè)置成為final，從而消除這種不必要的邏輯誤會(huì)。

  public void compliantUsage(){
    int[] intArray = new int[]{1,2,3,4,5,6};
    for(final int i: intArray){
    }
    for(int i: intArray){
      System.out.println(i);
    }
  }

本文的例子：

learn-java-base-9-to-20/tree/master/security

補(bǔ)充知識(shí)：Java中String字符串初始化細(xì)節(jié)

Java中String類型細(xì)節(jié)

一 . String兩種初始化方式

1 . String str1= “abc”;//String類特有的創(chuàng)建字符對(duì)象的方式，更高效

在字符串緩沖區(qū)中檢測(cè)”abc”是否存在

若存在則不重復(fù)創(chuàng)建，將地址賦值給str1.

若不存在，則在字符串緩沖區(qū)中創(chuàng)建對(duì)象并賦地址給str1.

2 . String str1= new String( “abc”); //構(gòu)造函數(shù)初始化

　或者

　char [] ch={‘a(chǎn)','b','c'};

　String str1=new String (ch);

先有 “abc” 對(duì)象，然后拷貝給構(gòu)造函數(shù)創(chuàng)建的對(duì)象（相當(dāng)于str1得到的是構(gòu)造函數(shù)的副本）

String對(duì)象是不可變的，它的內(nèi)容不能改變，而在程序中字符串頻繁使用，為了提高效率，對(duì)具有相同字符串序列的字符串直接量使用同一個(gè)實(shí)例，這樣的實(shí)例被稱之為限定的（interned）

注意，第二種方式的參數(shù)只支持字符串直接量或字符數(shù)組創(chuàng)建，這種方式是錯(cuò)誤的 String strA = “asd”;

String strbB = new Strint(strA);

比較兩種創(chuàng)建方式，第一種更高效，只創(chuàng)建了一個(gè)對(duì)象，第二種創(chuàng)建了兩個(gè)對(duì)象。

二 . 初始化細(xì)節(jié)

棧中保存基本類型與對(duì)象的引用，基本類型在創(chuàng)建前會(huì)查看Stack中是否已經(jīng)有, 有則賦值指向, 沒(méi)有則創(chuàng)建。

String str1= “abc”;

String str1= new String( “abc”);

前者首先在棧中創(chuàng)建一個(gè)引用型變量str1，然后查看棧中是否存在“abc”如果沒(méi)有，則將“abc”存放進(jìn)棧，并令引用變量str指向它；如果有，則直接令str1指向它；后者是java中標(biāo)準(zhǔn)的對(duì)象創(chuàng)建方式，其創(chuàng)建的對(duì)象將直接放置到堆中，每調(diào)用一次就會(huì)創(chuàng)建一個(gè)新的對(duì)象。

String str = “abc”+”def”;

這條語(yǔ)句創(chuàng)建對(duì)象個(gè)數(shù)？ 1個(gè)。

編譯器會(huì)自己調(diào)用Stringbuilder的append方法來(lái)合成abcdef，最后只生成一個(gè)對(duì)象.

實(shí)際上，字符串直接量屬于常量，在編譯的時(shí)候已確定，兩個(gè)常量相加，先檢測(cè)棧內(nèi)存中是否有”abcdef” 如有有，指向已有的棧中的”abcdef”空間，若沒(méi)有，則創(chuàng)建。

package stringDemo;
public class stringInitial
{
  public static void main(String[] args)
  {
  String str1 = "abc";
  String str2 = new String("abc");
  // String str2 = new String(new char[] { 'a', 'b', 'c' });
  // String str2 = new String(str1);錯(cuò)誤寫(xiě)法

  System.out.println(str1 == str2);// false
  System.out.println(str1.equals(str2));// true這里的equals()方法已經(jīng)被覆蓋，比較的是字符串不是地址

  String str3 = "123";
  String str4 = "abc123";
  String str5 = "abc" + "123";
  String str = str1 + str3;
  System.out.println(str4 == str5);// true
  System.out.println(str4 == str1+"123");// false
  System.out.println(str4 == str);// false

  }
}

可以看出，只要是+中出現(xiàn)非字符串直接量，就會(huì)在堆中產(chǎn)生新的對(duì)象，并不會(huì)檢測(cè)棧內(nèi)存

三.關(guān)于String str=null;String str;String str=”“;

String str=null;

聲明了一個(gè)String的引用型變量并初始化為空，及未指向任何地址，不占用任何空間

String str;

只是聲明了一個(gè)String的引用型變量，并未初始化(作為對(duì)象屬性時(shí)會(huì)有默認(rèn)的隱式初始化str=null)，如果后面未用此變量編譯會(huì)通過(guò)

String str=”“;

正常的字符串初始化，只不過(guò)字符串內(nèi)容為空。

以上這篇java安全編碼指南之:聲明和初始化說(shuō)明就是小編分享給大家的全部?jī)?nèi)容了，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論