简介

mutable(可变)和immutable(不可变)对象是我们在java程序编写的过程中经常会使用到的。

可变类型对象就是说,对象在创建之后,其内部的数据可能会被修改。所以它的安全性没有保证。

而不可变类型对象就是说,对象一旦创建之后,其内部的数据就不能够被修改,我们可以完全相信这个对象。

虽然mutable对象安全性不够,但是因为其可以被修改,所以会有效的减少对该对象的拷贝。

而immutable对象因为不可改变,所以尝试对该对象的修改都会导致对象的拷贝,从而生成新的对象。

我们最常使用的String就是一个immutable对象。

那么可变性在java的安全编码中的最佳实践是怎么样的呢? 一起来看看吧。

可变对象和不可变对象

知道了可变对象和不可变对象的不同之处之后,我们看一下怎么才能判断这个对象是可变对象还是不可变对象呢?

首先,最简单的一点就是,不可变对象创建之后就不能够被修改,所以不可变对象里面基本上没有setXXX之类的方法,而可变对象提供了setXXX这些可以修改内部变量状态的方法。

看一个例子java.util.Date是一个可变对象,而java.time.LocalTime是不可变对象。

看下他们的方法定义有什么区别呢?

首先是Date,我们可以看到在其中定义了很多setXXX方法。

而在LocalTime中,我们基本上看不到setXXX方法。

同时不可变对象的字段基本上都是final的,防止被二次修改。

第二,不可变对象一般来说是不可继承的,在java中就是以final关键字做限定的:

public class Date

public final class LocalTime

第三,不可变对象一般会隐藏构造函数,而是使用类似工厂模式的方法来创建对象,这样为实例的创建提供了更多的机动性。

创建mutable对象的拷贝

那么如果我们想使用mutable对象,又不想被别人修改怎么办呢?

简单的办法就是拷贝一份要使用的对象:

public class CopyOutput {

            private final java.util.Date date;

            ...

            public java.util.Date getDate() {

                return (java.util.Date)date.clone();

            }

        }

这里大家还要注意深拷贝和浅拷贝的问题。

为mutable类创建copy方法

既然要为mutable对象创建拷贝,那么相应的mutable类也需要提供一个copy方法来协助拷贝。

这里需要考虑一个深拷贝和浅拷贝的问题。

不要相信equals

我们知道在HashMap中怎么去查找一个key呢?先去找这个key的hash值,然后去判断key.equals方法是否相等,考虑下面这种情况:

private final Map<Window,Extra> extras = new HashMap<>();

        public void op(Window window) {

            Extra extra = extras.get(window);

        }

op方法接收一个Window对象,然后将其当成key从HashMap中取出对应的value。

如果,这个时候,我们有一个类A继承了Window,并且hash值和equals都和另外一个Window对象B相同,那么使用A这个key可以获取到B这个key存储的数据!

怎么解决这个问题呢?

Java中有一个特别的HashMap:IdentityHashMap,这个Map的key和value比较是用==而不是equals方法,所以可以有效的避免上面出现的问题。

private final Map<Window,Extra> extras = new IdentityHashMap<>();

        public void op(Window window) {

            Extra extra = extras.get(window);

        }

如果没有这样的Map可用,那么可以使用不可变对象作为key或者使用Window的私有变量,从而恶意攻击者无法获得这个变量。

public class Window {

            /* pp */

            class PrivateKey {

                Window getWindow() {

                    return Window.this;

                }

            }

            final PrivateKey privateKey = new PrivateKey();

            private final Map<Window.PrivateKey,Extra> extras =

                 new WeakHashMap<>();

            ...

        }

        public class WindowOps {

            public void op(Window window) {

                // Window.equals may be overridden,

                // but safe as we don't use it.

                Extra extra = extras.get(window.privateKey);

                ...

            }

        }

不要直接暴露可修改的属性

如果一个可变类中的某个属性确实需要暴露被外部使用,那么一定要将这个属性定义为private,并且使用wrapper方法将其包装起来。

如果直接暴露出去,那么基本上就没有权限控制可言,任何程序只要能够拿到你这个对象,就可以对属性进行修改。考虑下下面的应用方式,我们在修改state的方法中加入了一个参数校验和权限控制。

public final class WrappedState {

            // private immutable object

            private String state;

            // wrapper method

            public String getState() {

                return state;

            }

            // wrapper method

            public void setState(final String newState) {

                this.state = requireValidation(newState);

            }

            private static String requireValidation(final String state) {

                if (...) {

                    throw new IllegalArgumentException("...");

                }

                return state;

            }

        }

public static fields应该被置位final

同样的,如果你是一个类变量,当然不希望这个变量会被任何人修改,那么需要将其置位final。

public class Files {

            public static final String separator = "/";

            public static final String pathSeparator = ":";

        }

public static final field 应该是不可变的

如果类变量是public static final的,那么这个变量一定要是不可变的。

有人会问了,都定义成了final了,是不是就已经不可变了?

其实不然,比如我们定义了一个final的List,虽然这个list不能变化,但是list里面的值是可以变化的。我们需要将可变变量修改为不可变变量,如下所示:

import static java.util.Arrays.asList;

        import static java.util.Collections.unmodifiableList;

        ...

        public static final List<String> names = unmodifiableList(asList(

            "Fred", "Jim", "Sheila"

        ));

如果使用JDK9中引入的of()或者ofEntries()方法,可以直接创建不可修改的集合:

public static final List

<String> names =

 List.of("Fred", "Jim", "Sheila");

本文已收录于 http://www.flydean.com/java-security-code-line-mutability/

最通俗的解读,最深刻的干货,最简洁的教程,众多你不知道的小技巧等你来发现!

欢迎关注我的公众号:「程序那些事」,懂技术,更懂你!

java安全编码指南之:Mutability可变性的更多相关文章

  1. java安全编码指南之:基础篇

    目录 简介 java平台本身的安全性 安全第一,不要写聪明的代码 在代码设计之初就考虑安全性 避免重复的代码 限制权限 构建可信边界 封装 写文档 简介 作为一个程序员,只是写出好用的代码是不够的,我 ...

  2. java安全编码指南之:字符串和编码

    目录 简介 使用变长编码的不完全字符来创建字符串 char不能表示所有的Unicode 注意Locale的使用 文件读写中的编码格式 不要将非字符数据编码为字符串 简介 字符串是我们日常编码过程中使用 ...

  3. java安全编码指南之:输入校验

    目录 简介 在字符串标准化之后进行校验 注意不可信字符串的格式化 小心使用Runtime.exec() 正则表达式的匹配 简介 为了保证java程序的安全,任何外部用户的输入我们都认为是可能有恶意攻击 ...

  4. java安全编码指南之:可见性和原子性

    目录 简介 不可变对象的可见性 保证共享变量的复合操作的原子性 保证多个Atomic原子类操作的原子性 保证方法调用链的原子性 读写64bits的值 简介 java类中会定义很多变量,有类变量也有实例 ...

  5. java安全编码指南之:声明和初始化

    目录 简介 初始化顺序 循环初始化 不要使用java标准库中的类名作为自己的类名 不要在增强的for语句中修改变量值 简介 在java对象和字段的初始化过程中会遇到哪些安全性问题呢?一起来看看吧. 初 ...

  6. java安全编码指南之:Number操作

    目录 简介 Number的范围 区分位运算和算数运算 注意不要使用0作为除数 兼容C++的无符号整数类型 NAN和INFINITY 不要使用float或者double作为循环的计数器 BigDecim ...

  7. java安全编码指南之:堆污染Heap pollution

    目录 简介 产生堆污染的例子 更通用的例子 可变参数 简介 什么是堆污染呢?堆污染是指当参数化类型变量引用的对象不是该参数化类型的对象时而发生的. 我们知道在JDK5中,引入了泛型的概念,我们可以在创 ...

  8. java安全编码指南之:异常处理

    目录 简介 异常简介 不要忽略checked exceptions 不要在异常中暴露敏感信息 在处理捕获的异常时,需要恢复对象的初始状态 不要手动完成finally block 不要捕获NullPoi ...

  9. java安全编码指南之:死锁dead lock

    目录 简介 不同的加锁顺序 使用private类变量 使用相同的Order 释放掉已占有的锁 简介 java中为了保证共享数据的安全性,我们引入了锁的机制.有了锁就有可能产生死锁. 死锁的原因就是多个 ...

随机推荐

  1. 用大白话的方式讲明白Java的StringBuilder、StringBuffer的扩容机制

    StringBuffer和StringBuilder,它们的底层char数组value默认的初始化容量是16,扩容只需要修改底层的char数组,两者的扩容最终都会调用到AbstractStringBu ...

  2. c++中包含string成员的结构体拷贝导致的double free问题

    最近调试代码遇到一个的问题,提示double free,但是找了好久也没有找到释放两次的地方,后来调试发现,是由于使用了一个包含string成员的结构体,这个结构体使用memcpy拷贝导致的问题: 代 ...

  3. 【av68676164(p23-p24)】临界区和锁

    4.4.1 临界资源和临界区 临界资源(Critical Resource) 一次只允许一个进程独占访问(使用)的资源 例:例子中的共享变量i 临界区(Critical Section) 进程中访问临 ...

  4. java_字节流、字符流的使用方法

    字节流 字节输出流[OutputStream] java.io.OutputStream 抽象类是表示字节输出流的所有类的超类,将指定的字节信息写出到目的地.它定义了字节输出流的基本共性功能方法. p ...

  5. GaussDB连接与登出

    连接 连接命令1: gsql -d ${dbName} -U ${userName} -p {port:默认为25308} -h {ip} -W {password} 连接命令2: gsql -d p ...

  6. 太厉害了,阿里大牛居然把Git,GitHub总结的这么全面,撸源码去

    “版本控制系统”( Version Control System, vcs)是程序代码管理软件的通称,是用来保存程序文件的修改记录以及历史版本,以便日后查看或是使用.Vcs已经有数十年的发展历史,最早 ...

  7. google protocol buffer——protobuf的基本使用和模型分析

    这一系列文章主要是对protocol buffer这种编码格式的使用方式.特点.使用技巧进行说明,并在原生protobuf的基础上进行扩展和优化,使得它能更好地为我们服务. 1.什么是protobuf ...

  8. html表格、表单

    知识点一:表格 1.表格标签  table 2.表格的组成  行 tr  单元格  td 3.建立表格步骤 1.建立表格, 2.判断行数和列数 3.用行去包含单元格 4.在每个单元格中去添加内容 4. ...

  9. 感谢 Vue.js 拯救我这个前端渣渣,让 PowerJob 有了管理后台界面

    本文适合有 Java 基础知识的人群 作者:HelloGitHub-Salieri HelloGitHub 推出的<讲解开源项目>系列. 对于大部分非前端程序员来说,写网页无疑是一件非常痛 ...

  10. 使用CrashHandler获取应用crash信息

      Android应用不可避免会发生crash,也称之为崩溃.发生原因可能是由于Android系统底层的bug,也可能是由于不充分的机型适配或者是糟糕的网络情况.当crash发生时,系统会kill掉正 ...