时间:2021-05-19
简介
在java编写过程中,我们会使用到各种各样的表达式,在使用表达式的过程中,有哪些安全问题需要我们注意的呢?一起来看看吧。
注意表达式的返回值
我们在使用JDK库的时候,一定要注意认真的读一下JDK中方法的含义和它的返回值。
有些返回值可能表示这个操作是否成功,有的返回值可能是方法操作的结果。我们看两个常见的例子:
public void deleteFileWrong(){ File file= new File("/tmp/.txt"); file.delete(); System.out.println("File delete success!"); } public void deleteFileRight(){ File file= new File("/tmp/.txt"); if(file.delete()){ System.out.println("File delete success!"); } }先看一个文件删除的例子,delete方法是有返回值的,所以我们在调用delete方法之后,一定要判断一下返回值,看是否删除成功。
再看一个常见的String中字符替换的例子:
public void stringReplaceWrong(){ String url=""; url.replace("pareRight(){ int[] array1 = new int[10]; int[] array2 = new int[10]; return Arrays.equals(array1, array2); }基础类型的封装类间的比较
在java中,我们知道有一些基础类型像boolean, byte,char, short, int他们会有相对应的封装类型:Boolean,Byte,Character,Short,Integer等。
我们可以直接将基础类型的值赋值给封装类型,封装类型会自行进行转换。
考虑下面的例子:
Boolean boolA=true; Boolean boolB=true; System.out.println(boolA==boolB);结果是多少呢?
答案是true。为什么两个不同对象的比较会是true呢?
在回答这个问题之前,我们看一下字符串的比较:
String stringA=""; String stringB=""; System.out.println(stringA==stringB);这个我们大家应该都知道,因为String有一个字符串常量池,直接从字符串常量构建的String对象,其实是同一个对象。
同样的对于Boolean和Byte来说,如果直接从基础类值构建的话,也是同一个对象。
而对于Character来说,如果值的范围在\u0000 to \u007f,则属于同一个对象,如果超出了这个范围,则是不同的对象。
对于Integer和Short来说,如果值的范围在-128 and 127,则属于同一个对象,如果超出了这个范围,则是不同的对象。
再考虑下面的例子:
Boolean boolA=true;Boolean boolC=new Boolean(true);System.out.println(boolA==boolC);输出的结果是false,因为boolC使用了new关键字,构建了一个新的对象。
集合中类型不匹配
现在java集合可以通过指定类型,从而只存储特定类型的对象。考虑下面的一个例子:
public void typeMismatch(){ HashSet<Short> shortSet= new HashSet<>(); for(int i=0;i<10;i++){ shortSet.add((short)i); shortSet.remove(i); } System.out.println(shortSet.size()); }上面代码我们定义了一个Short的集合,然后将0-9添加进去,接着我们又调用了remove方法把i从集合删除。
但是最后输出结果是10,表明我们并没有删除成功。为什么呢?
看下HashSet的remove方法:
public boolean remove(Object o) { return map.remove(o)==PRESENT; }remove方法的参数是Object,我们传入的i是int类型的,跟short不匹配,所以导致删除失败。
我们需要这样修改:
public void typeMatch(){ HashSet<Short> shortSet= new HashSet<>(); for(int i=0;i<10;i++){ shortSet.add((short)i); shortSet.remove((short)i); } System.out.println(shortSet.size()); }Asset的副作用
我们会使用Asset语句在代码中做调试使用,在使用的过程中需要注意Asset语句不要对系统的业务逻辑产生副作用,也就是说即使Asset语句不运行,也不会修改代码的业务逻辑。
看下面的例子:
public void assetWrong(ArrayList<Integer> list){ assert list.remove(0)>0; }上的代码我们从list中删除第一个元素,并判断删除的元素是否大于0.
上面的代码如果assert语句不执行的话,会导致业务逻辑也不执行,所以需要修改成下面这样:
public void assetRight(ArrayList<Integer> list){ int result=list.remove(0); assert result>0; }本文的例子:
learn-java-base-9-to-20/tree/master/security
补充知识:Slow HTTP Denial of Service Attack 漏洞解决
解决漏洞需要修改tomcat conf 下 server.xml 文件
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="2000" redirectPort="8443" URIEncoding="UTF-8"/> connectionTimeout="20"
以上这篇java安全编码指南之:表达式规则说明就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持。
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
本文实例讲述了Python爬虫之正则表达式基本用法。分享给大家供大家参考,具体如下:一、简介正则表达式,又称正规表示式、正规表示法、正规表达式、规则表达式、常规
1、正则表达式包括两部分①定义正则表达式的规则;②正则表达式的模式(i/g/m);2、声明正则表达式①字面量声明:varreg=/表达式规则/表达式模式; e
什么是Lambda表达式,java8为什么使用Lambda表达式?“Lambda表达式”(lambdaexpression)是一个匿名函数,Lambda表达式基
表达式用于应用程序数据绑定到HTML。表达式都写在双括号就像{{表达式}}。表达式中的行为跟ng-bind指令方式相同。AngularJS应用表达式是纯java
表达式用于应用程序数据绑定到HTML。表达式都写在双括号就像{{表达式}}。表达式中的行为跟ng-bind指令方式相同。AngularJS应用表达式是纯java