簡介

在java對象和字段的初始化過程中會遇到哪些安全性問題呢？一起來看看吧。

初始化順序

根據JLS（Java Language Specification）中的定義，class在初始化過程中，需要同時初始化class中定義的靜態(tài)初始化程序和在該類中聲明的靜態(tài)字段（類變量）的初始化程序。

而對于static變量來說，如果static變量被定義為final并且它值是編譯時常量值，那么該static變量將會被優(yōu)先初始化。

那么使用了final static變量，是不是就沒有初始化問題了呢？

我們來看下面一個例子：

public class StaticFiledOrder {
  private final int result;
  private static final StaticFiledOrder instance = new StaticFiledOrder();
  private static final int intValue=100;
  public StaticFiledOrder(){
    result= intValue - 10;
  }

  public static void main(String[] args) {
    System.out.println(instance.result);
  }
}

輸出結果是什么呢？

答案是90。 根據我們提到的規(guī)則，intValue是final并且被編譯時常量賦值，所以是最先被初始化的，instance調用了StaticFiledOrder類的構造函數，最終導致result的值是90。

接下來，我們換個寫法，將intValue改為隨機變量：

public class StaticFiledOrder {
  private final int result;
  private static final StaticFiledOrder instance = new StaticFiledOrder();
  private static final int intValue=(int)Math.random()* 1000;
  public StaticFiledOrder(){
    result= intValue - 10;
  }

  public static void main(String[] args) {
    System.out.println(instance.result);
  }
}

運行結果是什么呢？

答案是-10。為什么呢？

因為instance在調用StaticFiledOrder構造函數進行初始化的過程中，intValue還沒有被初始化，所以它有一個默認的值0，從而導致result的最終值是-10。

怎么修改呢？

將順序調換一下就行了：

public class StaticFiledOrder {
  private final int result;
  private static final int intValue=(int)Math.random()* 1000;
  private static final StaticFiledOrder instance = new StaticFiledOrder();
  public StaticFiledOrder(){
    result= intValue - 10;
  }

  public static void main(String[] args) {
    System.out.println(instance.result);
  }
}

循環(huán)初始化

既然static變量可以調用構造函數，那么可不可以調用其他類的方法呢？

看下這個例子：

public class CycleClassA {
  public static final int a = CycleClassB.b+1;
}
public class CycleClassB {
  public static final int b = CycleClassA.a+1;
}

上面就是一個循環(huán)初始化的例子，上面的例子中CycleClassA中的a引用了CycleClassB的b，而同樣的CycleClassB中的b引用了CycleClassA的a。

這樣循環(huán)引用雖然不會報錯，但是根據class的初始化順序不同，會導致a和b生成兩種不同的結果。

所以在我們編寫代碼的過程中，一定要避免這種循環(huán)初始化的情況。

不要使用java標準庫中的類名作為自己的類名

java標準庫中為我們定義了很多非常優(yōu)秀的類，我們在搭建自己的java程序時候可以很方便的使用。

但是我們在寫自定義類的情況下，一定要注意避免使用和java標準庫中一樣的名字。

這個應該很好理解，就是為了避免混淆。以免造成不必要的意外。

這個很簡單，就不舉例子了。

不要在增強的for語句中修改變量值

我們在遍歷集合和數組的過程中，除了最原始的for語句之外，java還為我們提供了下面的增強的for循環(huán)：

for (I #i = Expression.iterator(); #i.hasNext(); ) {
  {VariableModifier} TargetType Identifier =
    (TargetType) #i.next();
  Statement
}

在遍歷的過程中，#i其實相當于一個本地變量，對這個本地變量的修改是不會影響到集合本身的。

我們看一個例子：

  public void noncompliantUsage(){
    int[] intArray = new int[]{1,2,3,4,5,6};
    for(int i: intArray){
      i=0;
    }
    for(int i: intArray){
      System.out.println(i);
    }
  }

我們在遍歷過程中，嘗試將i都設置為0，但是最后輸出intArray的結果，發(fā)現沒有任何變化。

所以，一般來說我們需要在增強的for語句中，將#i設置成為final，從而消除這種不必要的邏輯誤會。

  public void compliantUsage(){
    int[] intArray = new int[]{1,2,3,4,5,6};
    for(final int i: intArray){
    }
    for(int i: intArray){
      System.out.println(i);
    }
  }

本文的例子：

learn-java-base-9-to-20/tree/master/security

補充知識：Java中String字符串初始化細節(jié)

Java中String類型細節(jié)

一 . String兩種初始化方式

1 . String str1= “abc”;//String類特有的創(chuàng)建字符對象的方式，更高效

在字符串緩沖區(qū)中檢測”abc”是否存在

若存在則不重復創(chuàng)建，將地址賦值給str1.

若不存在，則在字符串緩沖區(qū)中創(chuàng)建對象并賦地址給str1.

2 . String str1= new String( “abc”); //構造函數初始化

　或者

　char [] ch={‘a','b','c'};

　String str1=new String (ch);

先有 “abc” 對象，然后拷貝給構造函數創(chuàng)建的對象（相當于str1得到的是構造函數的副本）

String對象是不可變的，它的內容不能改變，而在程序中字符串頻繁使用，為了提高效率，對具有相同字符串序列的字符串直接量使用同一個實例，這樣的實例被稱之為限定的（interned）

注意，第二種方式的參數只支持字符串直接量或字符數組創(chuàng)建，這種方式是錯誤的 String strA = “asd”;

String strbB = new Strint(strA);

比較兩種創(chuàng)建方式，第一種更高效，只創(chuàng)建了一個對象，第二種創(chuàng)建了兩個對象。

二 . 初始化細節(jié)

棧中保存基本類型與對象的引用，基本類型在創(chuàng)建前會查看Stack中是否已經有, 有則賦值指向, 沒有則創(chuàng)建。

String str1= “abc”;

String str1= new String( “abc”);

前者首先在棧中創(chuàng)建一個引用型變量str1，然后查看棧中是否存在“abc”如果沒有，則將“abc”存放進棧，并令引用變量str指向它；如果有，則直接令str1指向它；后者是java中標準的對象創(chuàng)建方式，其創(chuàng)建的對象將直接放置到堆中，每調用一次就會創(chuàng)建一個新的對象。

String str = “abc”+”def”;

這條語句創(chuàng)建對象個數？ 1個。

編譯器會自己調用Stringbuilder的append方法來合成abcdef，最后只生成一個對象.

實際上，字符串直接量屬于常量，在編譯的時候已確定，兩個常量相加，先檢測棧內存中是否有”abcdef” 如有有，指向已有的棧中的”abcdef”空間，若沒有，則創(chuàng)建。

package stringDemo;
public class stringInitial
{
  public static void main(String[] args)
  {
  String str1 = "abc";
  String str2 = new String("abc");
  // String str2 = new String(new char[] { 'a', 'b', 'c' });
  // String str2 = new String(str1);錯誤寫法

  System.out.println(str1 == str2);// false
  System.out.println(str1.equals(str2));// true這里的equals()方法已經被覆蓋，比較的是字符串不是地址

  String str3 = "123";
  String str4 = "abc123";
  String str5 = "abc" + "123";
  String str = str1 + str3;
  System.out.println(str4 == str5);// true
  System.out.println(str4 == str1+"123");// false
  System.out.println(str4 == str);// false

  }
}

可以看出，只要是+中出現非字符串直接量，就會在堆中產生新的對象，并不會檢測棧內存

三.關于String str=null;String str;String str=”“;

String str=null;

聲明了一個String的引用型變量并初始化為空，及未指向任何地址，不占用任何空間

String str;

只是聲明了一個String的引用型變量，并未初始化(作為對象屬性時會有默認的隱式初始化str=null)，如果后面未用此變量編譯會通過

String str=”“;

正常的字符串初始化，只不過字符串內容為空。

以上這篇java安全編碼指南之:聲明和初始化說明就是小編分享給大家的全部內容了，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論