当前位置:首页 > 开发 > 编程语言 > 编程 > 正文

findbugs:may expose internal representation by returning

发表于: 2013-11-25   作者:bijian1013   来源:转载   浏览次数:
摘要: findbugs:1. *** getXXX() may expose internal representation by returning ***.getXXX 2. *** setXXX(DATE )may expose internal representation by storing an externally mutable object into setXXX *** 翻译:1.

findbugs:
1. *** getXXX() may expose internal representation by returning ***.getXXX
2. *** setXXX(DATE )may expose internal representation by storing an externally mutable object into setXXX ***

翻译:
1. getXXX()这个返回数据的方法可能会暴露内部的实现,也就是影响原本对象内部的数据安全。
2. setXXX(DATE)方法这个设置属性值的方法可能会暴露内部的实现,也会影响原本对象内部的数据安全。

分析:
上述findbugs的bug常出现在JavaBean中的setXXX(Object)、getXXX()、构造方法等中,原因都是一个,类似数组、Date等和其他所有java对象一样传递的都是引用,当你外部改变了这些引用值的时候,显然会影响使用这些引用的JavaBean。

解决:
所有的对象型如数组、Date等都人为采用传值(并增加空逻辑判断)。

public Date getDate() {
    if(date == null) {
        return null;
    }
    return (Date) date.clone();  
}  
public void setDate(Date date) { 
    if(date == null) {
        this.date = null;
    }else {
        this.date = (Date) date.clone();
    }  
}

 

举例:
一个JavaBean中定义了如下属性和getXXX(),setXXX(),构造方法:

package com.bijian.study;

import java.util.Date;
import java.util.concurrent.TimeUnit;

public class Message {

    private String[] messages;  
    private Date date;  
      
    public Message(String[] messages, Date date) {  
        this.messages = messages;  
        this.date = date;  
    }  
      
    public void setMessages(String[] messages) {  
        this.messages = messages;  
    }  
      
    public String[] getMessages() {  
        return messages;  
    }  
    public Date getDate() {  
        return date;  
    }  
    public void setDate(Date date) {  
        this.date = date;  
    }  
    
    @SuppressWarnings("deprecation")
    public static void main(String[] args) throws InterruptedException {  
        String[] msg = new String[]{"msg1","msg2"};  
        Message message = new Message(msg,  new Date());  
        System.out.println("原本date\t"+message.getDate());  
          
        /* getXXX() */
        Date date2 = message.getDate(); // 获取引用  
        date2.setHours(2);              // 更改引用  
        System.out.println("getXXX()后\t"+message.getDate());  
          
        /* setXXX() */
        TimeUnit.SECONDS.sleep(2);  
        Date date3 = new Date();  
        message.setDate(date3);         // 主动更改  
        System.out.println("主动更改date\t"+message.getDate());  
        date3.setHours(2);              // 更改date3的值,看引用这个值的数据是否会编号  
        System.out.println("setXXX()后\t"+message.getDate());  
          
        /* Constructor() */  
        System.out.println("\r\n原本message\t"+message.getMessages()[0]);  
        msg[0] = "mofify-msg1";  
        System.out.println("构造对象的数组来源引用发生改变\t"+message.getMessages()[0]);  
    }
}

 运行结果:

原本date	Mon Nov 25 19:41:10 CST 2013
getXXX()后	Mon Nov 25 02:41:10 CST 2013
主动更改date	Mon Nov 25 19:41:12 CST 2013
setXXX()后	Mon Nov 25 02:41:12 CST 2013

原本message	msg1
构造对象的数组来源引用发生改变	mofify-msg1

参考: http://stackoverflow.com/questions/8951107/malicious-code-vulnerability-may-expose-internal-representation-by-returning-r

findbugs:may expose internal representation by returning

  • 0

    开心

    开心

  • 0

    板砖

    板砖

  • 0

    感动

    感动

  • 0

    有用

    有用

  • 0

    疑问

    疑问

  • 0

    难过

    难过

  • 0

    无聊

    无聊

  • 0

    震惊

    震惊

编辑推荐
FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的
bug详细描述http://findbugs.sourceforge.net/bugDescriptions.html Myeclipse7.5安装方法 (1)下载e
FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能
Codes for the Representation of Names of Languages Alpha-3 codes arranged alphabetically by t
OpenCascade Shape Representation in OpenSceneGraph eryar@163.com 摘要Abstract:本文通过程序实
选择你的项目,右键 => Properties => FindBugs =>     可以配置的信息包括如上图所示
===================================================== http://blog.sina.com.cn/s/blog_6d0e97bb
An Efficient Representation for Irradiance Environment Maps link: http://www.eecs.berkeley.ed
FindBugs 是由马里兰大学提供的一款开源 Java静态代码分析工具。FindBugs通过检查类文件或 JAR文件
一、简介 Findbugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以
版权所有 IT知识库 CopyRight © 2009-2015 IT知识库 IT610.com , All Rights Reserved. 京ICP备09083238号