java安全編碼指南之:聲明和初始化

簡介

在java對象和字段的初始化過程中會遇到哪些安全性問題呢？一起來看看吧。

初始化順序

根據JLS（Java Language Specification）中的定義，class在初始化過程中，需要同時初始化class中定義的靜态初始化程式和在該類中聲明的靜态字段（類變量）的初始化程式。

而對于static變量來說，如果static變量被定義為final并且它值是編譯時常量值，那麼該static變量将會被優先初始化。

那麼使用了final static變量，是不是就沒有初始化問題了呢？

我們來看下面一個例子：

public class StaticFiledOrder {
    private final int result;
    private static final StaticFiledOrder instance = new StaticFiledOrder();
    private static final int intValue=100;
    public StaticFiledOrder(){
        result= intValue - 10;
    }

    public static void main(String[] args) {
        System.out.println(instance.result);
    }
}           

輸出結果是什麼呢？

答案是90。 根據我們提到的規則，intValue是final并且被編譯時常量指派，是以是最先被初始化的，instance調用了StaticFiledOrder類的構造函數，最終導緻result的值是90。

接下來，我們換個寫法，将intValue改為随機變量：

public class StaticFiledOrder {
    private final int result;
    private static final StaticFiledOrder instance = new StaticFiledOrder();
    private static final int intValue=(int)Math.random()* 1000;
    public StaticFiledOrder(){
        result= intValue - 10;
    }

    public static void main(String[] args) {
        System.out.println(instance.result);
    }
}           

運作結果是什麼呢？

答案是-10。為什麼呢？

因為instance在調用StaticFiledOrder構造函數進行初始化的過程中，intValue還沒有被初始化，是以它有一個預設的值0，進而導緻result的最終值是-10。

怎麼修改呢？

将順序調換一下就行了：

public class StaticFiledOrder {
    private final int result;
    private static final int intValue=(int)Math.random()* 1000;
    private static final StaticFiledOrder instance = new StaticFiledOrder();
    public StaticFiledOrder(){
        result= intValue - 10;
    }

    public static void main(String[] args) {
        System.out.println(instance.result);
    }
}           

循環初始化

既然static變量可以調用構造函數，那麼可不可以調用其他類的方法呢？

看下這個例子：

public class CycleClassA {
    public static final int a = CycleClassB.b+1;
}
public class CycleClassB {
    public static final int b = CycleClassA.a+1;
}           

上面就是一個循環初始化的例子，上面的例子中CycleClassA中的a引用了CycleClassB的b，而同樣的CycleClassB中的b引用了CycleClassA的a。

這樣循環引用雖然不會報錯，但是根據class的初始化順序不同，會導緻a和b生成兩種不同的結果。

是以在我們編寫代碼的過程中，一定要避免這種循環初始化的情況。

不要使用java标準庫中的類名作為自己的類名

java标準庫中為我們定義了很多非常優秀的類，我們在搭建自己的java程式時候可以很友善的使用。

但是我們在寫自定義類的情況下，一定要注意避免使用和java标準庫中一樣的名字。

這個應該很好了解，就是為了避免混淆。以免造成不必要的意外。

這個很簡單，就不舉例子了。

不要在增強的for語句中修改變量值

我們在周遊集合和數組的過程中，除了最原始的for語句之外，java還為我們提供了下面的增強的for循環：

for (I #i = Expression.iterator(); #i.hasNext(); ) {
    {VariableModifier} TargetType Identifier =
        (TargetType) #i.next();
    Statement
}           

在周遊的過程中，#i其實相當于一個本地變量，對這個本地變量的修改是不會影響到集合本身的。

我們看一個例子：

public void noncompliantUsage(){
        int[] intArray = new int[]{1,2,3,4,5,6};
        for(int i: intArray){
            i=0;
        }
        for(int i: intArray){
            System.out.println(i);
        }
    }           

我們在周遊過程中，嘗試将i都設定為0，但是最後輸出intArray的結果，發現沒有任何變化。

是以，一般來說我們需要在增強的for語句中，将#i設定成為final，進而消除這種不必要的邏輯誤會。

public void compliantUsage(){
        int[] intArray = new int[]{1,2,3,4,5,6};
        for(final int i: intArray){
        }
        for(int i: intArray){
            System.out.println(i);
        }
    }           

本文的例子：

learn-java-base-9-to-20/tree/master/security

本文已收錄于 http://www.flydean.com/java-security-code-line-dlc/

最通俗的解讀，最深刻的幹貨，最簡潔的教程，衆多你不知道的小技巧等你來發現！

歡迎關注我的公衆号:「程式那些事」,懂技術，更懂你！