簡介

在java對象和字段的初始化過程中會遇到哪些安全性問題呢？一起來看看吧。

初始化順序

根據(jù)JLS（Java Language Specification）中的定義，class在初始化過程中，需要同時初始化class中定義的靜態(tài)初始化程序和在該類中聲明的靜態(tài)字段（類變量）的初始化程序。

而對于static變量來說，如果static變量被定義為final并且它值是編譯時常量值，那么該static變量將會被優(yōu)先初始化。

那么使用了final static變量，是不是就沒有初始化問題了呢？

我們來看下面一個例子：

public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=100; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); }}

輸出結(jié)果是什么呢？

答案是90。 根據(jù)我們提到的規(guī)則，intValue是final并且被編譯時常量賦值，所以是最先被初始化的，instance調(diào)用了StaticFiledOrder類的構(gòu)造函數(shù)，最終導致result的值是90。

接下來，我們換個寫法，將intValue改為隨機變量：

public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=(int)Math.random()* 1000; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); }}

運行結(jié)果是什么呢？

答案是-10。為什么呢？

因為instance在調(diào)用StaticFiledOrder構(gòu)造函數(shù)進行初始化的過程中，intValue還沒有被初始化，所以它有一個默認的值0，從而導致result的最終值是-10。

怎么修改呢？

將順序調(diào)換一下就行了：

public class StaticFiledOrder { private final int result; private static final int intValue=(int)Math.random()* 1000; private static final StaticFiledOrder instance = new StaticFiledOrder(); public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); }}

循環(huán)初始化

既然static變量可以調(diào)用構(gòu)造函數(shù)，那么可不可以調(diào)用其他類的方法呢？

看下這個例子：

public class CycleClassA { public static final int a = CycleClassB.b+1;}public class CycleClassB { public static final int b = CycleClassA.a+1;}

上面就是一個循環(huán)初始化的例子，上面的例子中CycleClassA中的a引用了CycleClassB的b，而同樣的CycleClassB中的b引用了CycleClassA的a。

這樣循環(huán)引用雖然不會報錯，但是根據(jù)class的初始化順序不同，會導致a和b生成兩種不同的結(jié)果。

所以在我們編寫代碼的過程中，一定要避免這種循環(huán)初始化的情況。

不要使用java標準庫中的類名作為自己的類名

java標準庫中為我們定義了很多非常優(yōu)秀的類，我們在搭建自己的java程序時候可以很方便的使用。

但是我們在寫自定義類的情況下，一定要注意避免使用和java標準庫中一樣的名字。

這個應(yīng)該很好理解，就是為了避免混淆。以免造成不必要的意外。

這個很簡單，就不舉例子了。

不要在增強的for語句中修改變量值

我們在遍歷集合和數(shù)組的過程中，除了最原始的for語句之外，java還為我們提供了下面的增強的for循環(huán)：

for (I #i = Expression.iterator(); #i.hasNext(); ) { {VariableModifier} TargetType Identifier = (TargetType) #i.next(); Statement}

在遍歷的過程中，#i其實相當于一個本地變量，對這個本地變量的修改是不會影響到集合本身的。

我們看一個例子：

public void noncompliantUsage(){ int[] intArray = new int[]{1,2,3,4,5,6}; for(int i: intArray){ i=0; } for(int i: intArray){ System.out.println(i); } }

我們在遍歷過程中，嘗試將i都設(shè)置為0，但是最后輸出intArray的結(jié)果，發(fā)現(xiàn)沒有任何變化。

所以，一般來說我們需要在增強的for語句中，將#i設(shè)置成為final，從而消除這種不必要的邏輯誤會。

public void compliantUsage(){ int[] intArray = new int[]{1,2,3,4,5,6}; for(final int i: intArray){ } for(int i: intArray){ System.out.println(i); } }

本文的例子：

learn-java-base-9-to-20/tree/master/security

補充知識：Java中String字符串初始化細節(jié)

Java中String類型細節(jié)

一 . String兩種初始化方式

1 . String str1= “abc”;//String類特有的創(chuàng)建字符對象的方式，更高效

在字符串緩沖區(qū)中檢測”abc”是否存在

若存在則不重復創(chuàng)建，將地址賦值給str1.

若不存在，則在字符串緩沖區(qū)中創(chuàng)建對象并賦地址給str1.

2 . String str1= new String( “abc”); //構(gòu)造函數(shù)初始化

　或者

　char [] ch={‘a(chǎn)’,’b’,’c’};

　String str1=new String (ch);

先有 “abc” 對象，然后拷貝給構(gòu)造函數(shù)創(chuàng)建的對象（相當于str1得到的是構(gòu)造函數(shù)的副本）

String對象是不可變的，它的內(nèi)容不能改變，而在程序中字符串頻繁使用，為了提高效率，對具有相同字符串序列的字符串直接量使用同一個實例，這樣的實例被稱之為限定的（interned）

注意，第二種方式的參數(shù)只支持字符串直接量或字符數(shù)組創(chuàng)建，這種方式是錯誤的 String strA = “asd”;

String strbB = new Strint(strA);

比較兩種創(chuàng)建方式，第一種更高效，只創(chuàng)建了一個對象，第二種創(chuàng)建了兩個對象。

二 . 初始化細節(jié)

棧中保存基本類型與對象的引用，基本類型在創(chuàng)建前會查看Stack中是否已經(jīng)有, 有則賦值指向, 沒有則創(chuàng)建。

String str1= “abc”;

String str1= new String( “abc”);

前者首先在棧中創(chuàng)建一個引用型變量str1，然后查看棧中是否存在“abc”如果沒有，則將“abc”存放進棧，并令引用變量str指向它；如果有，則直接令str1指向它；后者是java中標準的對象創(chuàng)建方式，其創(chuàng)建的對象將直接放置到堆中，每調(diào)用一次就會創(chuàng)建一個新的對象。

String str = “abc”+”def”;

這條語句創(chuàng)建對象個數(shù)？ 1個。

編譯器會自己調(diào)用Stringbuilder的append方法來合成abcdef，最后只生成一個對象.

實際上，字符串直接量屬于常量，在編譯的時候已確定，兩個常量相加，先檢測棧內(nèi)存中是否有”abcdef” 如有有，指向已有的棧中的”abcdef”空間，若沒有，則創(chuàng)建。

package stringDemo;public class stringInitial{ public static void main(String[] args) { String str1 = 'abc'; String str2 = new String('abc'); // String str2 = new String(new char[] { ’a’, ’b’, ’c’ }); // String str2 = new String(str1);錯誤寫法 System.out.println(str1 == str2);// false System.out.println(str1.equals(str2));// true這里的equals()方法已經(jīng)被覆蓋，比較的是字符串不是地址 String str3 = '123'; String str4 = 'abc123'; String str5 = 'abc' + '123'; String str = str1 + str3; System.out.println(str4 == str5);// true System.out.println(str4 == str1+'123');// false System.out.println(str4 == str);// false }}

可以看出，只要是+中出現(xiàn)非字符串直接量，就會在堆中產(chǎn)生新的對象，并不會檢測棧內(nèi)存

三.關(guān)于String str=null;String str;String str=”“;

String str=null;

聲明了一個String的引用型變量并初始化為空，及未指向任何地址，不占用任何空間

String str;

只是聲明了一個String的引用型變量，并未初始化(作為對象屬性時會有默認的隱式初始化str=null)，如果后面未用此變量編譯會通過

String str=”“;

正常的字符串初始化，只不過字符串內(nèi)容為空。

以上這篇java安全編碼指南之:聲明和初始化說明就是小編分享給大家的全部內(nèi)容了，希望能給大家一個參考，也希望大家多多支持好吧啦網(wǎng)。