java安全編碼指南之:表達式規(guī)則說明

更新時間：2020年09月14日 10:42:12 作者：flydean程序那些事

這篇文章主要介紹了java安全編碼指南之:表達式規(guī)則說明，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧

簡介

在java編寫過程中，我們會使用到各種各樣的表達式，在使用表達式的過程中，有哪些安全問題需要我們注意的呢？一起來看看吧。

注意表達式的返回值

我們在使用JDK庫的時候，一定要注意認真的讀一下JDK中方法的含義和它的返回值。

有些返回值可能表示這個操作是否成功，有的返回值可能是方法操作的結果。我們看兩個常見的例子：

 public void deleteFileWrong(){
  File file= new File("/tmp/www.dhdzp.com.txt");
  file.delete();
  System.out.println("File delete success!");
 }

 public void deleteFileRight(){
  File file= new File("/tmp/www.dhdzp.com.txt");
  if(file.delete()){
   System.out.println("File delete success!");
  }
 }

先看一個文件刪除的例子，delete方法是有返回值的，所以我們在調(diào)用delete方法之后，一定要判斷一下返回值，看是否刪除成功。

再看一個常見的String中字符替換的例子：

 public void stringReplaceWrong(){
  String url="www.dhdzp.com";
  url.replace("www","WWW");
  System.out.println("replaced url..."+url);
 }
 public void stringReplaceRight(){
  String url="www.dhdzp.com";
  url=url.replace("www","WWW");
  System.out.println("replaced url..."+url);
 }

我們要記住，String是不可變的，所以它的replace方法，會返回一個替換過后的String，但是原String是不變的，所以我們需要將返回值重新賦值。

注意避免NullPointerException

NullPointerException應該是最最常見的運行時異常了。怎么避免這個異常呢？

我們要做的就是在調(diào)用object的方法時候，一定要判斷這個object是不是為空。

在JDK8之后，我們引入了Stream操作：

 public void streamWrong(Collection<Object> collection){
  collection.stream().filter(obj->obj.equals("www.dhdzp.com"));
 }

Stream操作的過程中，我們需要注意stream中的元素是否為空。

有時候，我們可能覺得已經(jīng)判斷是為空了，但是條件判斷不準確，導致未知的異常，看下面這個例子：

 public int countWrong(Collection<Object> collection, Object object){
  int count=0;
  if(collection ==null){
   return count;
  }
  for(Object element: collection){
   if((element ==null && object== null)
    || element.equals(object)){
    count++;
   }
  }
  return count;
 }

這個例子是用來查找collection中到底有多少元素和object相同，如果兩者都為空，也記為相同。

但是上面的例子有一個漏洞，它沒有考慮element ==null 而 object ！=null的情況，所以會導致NullPointerException的生成。

我們需要這樣修改：

 public int countRight(Collection<Object> collection, Object object){
  int count=0;
  if(collection ==null){
   return count;
  }
  for(Object element: collection){
   if((element ==null && object== null)
     || (element !=null && element.equals(object))){
    count++;
   }
  }
  return count;
 }

數(shù)組相等的判斷

如果我們需要比較兩個數(shù)組是否相等，其實我們想比較的是兩個數(shù)組中的元素是否相等。

我們知道數(shù)組是一個特殊的Object，那么數(shù)組對象也有一個equals方法，考慮下面的例子：

 public boolean compareWrong(){
  int[] array1 = new int[10];
  int[] array2 = new int[10];
  return array1.equals(array2);
 }

返回的結果是false，因為數(shù)組直接使用了Object中定義的equals方法，我們看下該方法的定義：

 public boolean equals(Object obj) {
  return (this == obj);
 }

可以看到，該方法比較的是兩個地址是否相等。所以我們的到了false結果。

其實，我們可以使用Arrays.equals工具類中的方法來進行兩個數(shù)組的比較：

 public boolean compareRight(){
  int[] array1 = new int[10];
  int[] array2 = new int[10];
  return Arrays.equals(array1, array2);
 }

基礎類型的封裝類間的比較

在java中，我們知道有一些基礎類型像boolean, byte，char, short, int他們會有相對應的封裝類型：Boolean，Byte，Character，Short，Integer等。

我們可以直接將基礎類型的值賦值給封裝類型，封裝類型會自行進行轉換。

考慮下面的例子：

  Boolean boolA=true;
  Boolean boolB=true;
  System.out.println(boolA==boolB);

結果是多少呢？

答案是true。為什么兩個不同對象的比較會是true呢？

在回答這個問題之前，我們看一下字符串的比較：

  String stringA="www.dhdzp.com";
  String stringB="www.dhdzp.com";
  System.out.println(stringA==stringB);

這個我們大家應該都知道，因為String有一個字符串常量池，直接從字符串常量構建的String對象，其實是同一個對象。

同樣的對于Boolean和Byte來說，如果直接從基礎類值構建的話，也是同一個對象。

而對于Character來說，如果值的范圍在\u0000 to \u007f，則屬于同一個對象，如果超出了這個范圍，則是不同的對象。

對于Integer和Short來說，如果值的范圍在-128 and 127，則屬于同一個對象，如果超出了這個范圍，則是不同的對象。

再考慮下面的例子：

Boolean boolA=true;
Boolean boolC=new Boolean(true);
System.out.println(boolA==boolC);

輸出的結果是false，因為boolC使用了new關鍵字，構建了一個新的對象。

集合中類型不匹配

現(xiàn)在java集合可以通過指定類型，從而只存儲特定類型的對象。考慮下面的一個例子：

 public void typeMismatch(){
  HashSet<Short> shortSet= new HashSet<>();
  for(int i=0;i<10;i++){
   shortSet.add((short)i);
   shortSet.remove(i);
  }
  System.out.println(shortSet.size());
 }

上面代碼我們定義了一個Short的集合，然后將0-9添加進去，接著我們又調(diào)用了remove方法把i從集合刪除。

但是最后輸出結果是10，表明我們并沒有刪除成功。為什么呢？

看下HashSet的remove方法：

 public boolean remove(Object o) {
  return map.remove(o)==PRESENT;
 }

remove方法的參數(shù)是Object，我們傳入的i是int類型的，跟short不匹配，所以導致刪除失敗。

我們需要這樣修改：

 public void typeMatch(){
  HashSet<Short> shortSet= new HashSet<>();
  for(int i=0;i<10;i++){
   shortSet.add((short)i);
   shortSet.remove((short)i);
  }
  System.out.println(shortSet.size());
 }

Asset的副作用

我們會使用Asset語句在代碼中做調(diào)試使用，在使用的過程中需要注意Asset語句不要對系統(tǒng)的業(yè)務邏輯產(chǎn)生副作用，也就是說即使Asset語句不運行，也不會修改代碼的業(yè)務邏輯。

看下面的例子：

 public void assetWrong(ArrayList<Integer> list){
  assert list.remove(0)>0;
 }

上的代碼我們從list中刪除第一個元素，并判斷刪除的元素是否大于0.

上面的代碼如果assert語句不執(zhí)行的話，會導致業(yè)務邏輯也不執(zhí)行，所以需要修改成下面這樣：

 public void assetRight(ArrayList<Integer> list){
  int result=list.remove(0);
  assert result>0;
 }

本文的例子：

learn-java-base-9-to-20/tree/master/security

補充知識：Slow HTTP Denial of Service Attack 漏洞解決

解決漏洞需要修改tomcat conf 下 server.xml 文件

<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="2000" redirectPort="8443" URIEncoding="UTF-8"/> connectionTimeout="20"

以上這篇java安全編碼指南之:表達式規(guī)則說明就是小編分享給大家的全部內(nèi)容了，希望能給大家一個參考，也希望大家多多支持腳本之家。

您可能感興趣的文章:

利用Java實現(xiàn)復制Excel工作表功能
這篇文章主要給大家介紹了關于如何利用Java實現(xiàn)復制Excel工作表功能的相關資料，文中通過示例代碼介紹的非常詳細，對大家學習或者使用java具有一定的參考學習價值，需要的朋友們下面來一起學習學習吧
2019-12-12
詳解Spring bean的注解注入之@Autowired的原理及使用
之前講過bean注入是什么,也使用了xml的配置文件進行bean注入,這也是Spring的最原始的注入方式（xml注入）.本文主要講解的注解有以下幾個：@Autowired、 @Service、@Repository、@Controller 、@Component、@Bean、@Configuration、@Resource ,需要的朋友可以參考下
2021-06-06
Spring中OpenFeign的使用方法最佳實踐
這篇文章主要介紹了Spring中OpenFeign使用的相關資料,OpenFeign是一個聲明式的WebService客戶端,簡化了微服務之間的調(diào)用,類似于Controller調(diào)用Service,文中通過代碼介紹的非常詳細,需要的朋友可以參考下
2025-02-02
jxls2.4.5如何動態(tài)導出excel表頭與數(shù)據(jù)
這篇文章主要介紹了jxls2.4.5如何動態(tài)導出excel表頭與數(shù)據(jù)問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
2024-08-08
Spring?AI借助全局參數(shù)實現(xiàn)智能數(shù)據(jù)庫操作與個性化待辦管理
這篇文章主要介紹了Spring?AI借助全局參數(shù)實現(xiàn)智能數(shù)據(jù)庫操作與個性化待辦管理,本文給大家介紹的非常詳細,需要的朋友可以參考下
2024-11-11
使用棧的迷宮算法java版代碼
這篇文章主要為大家詳細介紹了使用棧的迷宮算法java版代碼，文中示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2018-01-01
JavaAPI中BigInteger、BigDecimal的使用方法及應用
這篇文章主要給大家介紹了關于JavaAPI中BigInteger、BigDecimal的使用方法及應用,BigInteger是Java中用于表示任意大小整數(shù)的類,它提供了加、減、乘、除等多種運算方法,適用于大整數(shù)處理和高精度計算場景,需要的朋友可以參考下
2024-11-11
用java實現(xiàn)跳動的小球示例代碼
這篇文章主要介紹了用java實現(xiàn)跳動的小球，本文通過實例代碼給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下
2020-05-05
SpringBoot中各個層級結構的具體實現(xiàn)
在SpringBoot項目中,常常會把代碼文件放入不同的包中,本文主要介紹了SpringBoot中各個層級結構的具體實現(xiàn),具有一定的參考價值,感興趣的可以了解一下
2024-05-05
java開源區(qū)塊鏈jdchain入門
這篇文章主要介紹了java開源區(qū)塊鏈jdchain入門，文中為大家講解了關于部署及組件遇到的一些問題，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進步
2022-02-02