簡介

在java對象和字段的初始化過程中會遇到哪些安全性問題呢？一起來看看吧。

初始化順序

根據JLS（Java Language Specification）中的定義，class在初始化過程中，需要同時初始化class中定義的靜態初始化程序和在該類中聲明的靜態字段（類變量）的初始化程序。

而對于static變量來說，如果static變量被定義為final并且它值是編譯時常量值，那么該static變量將會被優先初始化。

那么使用了final static變量，是不是就沒有初始化問題了呢？

我們來看下面一個例子：

public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=100; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); }}

輸出結果是什么呢？

答案是90。 根據我們提到的規則，intValue是final并且被編譯時常量賦值，所以是最先被初始化的，instance調用了StaticFiledOrder類的構造函數，最終導致result的值是90。

接下來，我們換個寫法，將intValue改為隨機變量：

public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=(int)Math.random()* 1000; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); }}

運行結果是什么呢？

答案是-10。為什么呢？

因為instance在調用StaticFiledOrder構造函數進行初始化的過程中，intValue還沒有被初始化，所以它有一個默認的值0，從而導致result的最終值是-10。

怎么修改呢？

將順序調換一下就行了：

public class StaticFiledOrder { private final int result; private static final int intValue=(int)Math.random()* 1000; private static final StaticFiledOrder instance = new StaticFiledOrder(); public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); }}

循環初始化

既然static變量可以調用構造函數，那么可不可以調用其他類的方法呢？

看下這個例子：

public class CycleClassA { public static final int a = CycleClassB.b+1;}public class CycleClassB { public static final int b = CycleClassA.a+1;}

上面就是一個循環初始化的例子，上面的例子中CycleClassA中的a引用了CycleClassB的b，而同樣的CycleClassB中的b引用了CycleClassA的a。

這樣循環引用雖然不會報錯，但是根據class的初始化順序不同，會導致a和b生成兩種不同的結果。

所以在我們編寫代碼的過程中，一定要避免這種循環初始化的情況。

不要使用java標準庫中的類名作為自己的類名

java標準庫中為我們定義了很多非常優秀的類，我們在搭建自己的java程序時候可以很方便的使用。

但是我們在寫自定義類的情況下，一定要注意避免使用和java標準庫中一樣的名字。

這個應該很好理解，就是為了避免混淆。以免造成不必要的意外。

這個很簡單，就不舉例子了。

不要在增強的for語句中修改變量值

我們在遍歷集合和數組的過程中，除了最原始的for語句之外，java還為我們提供了下面的增強的for循環：

for (I #i = Expression.iterator(); #i.hasNext(); ) { {VariableModifier} TargetType Identifier = (TargetType) #i.next(); Statement}

在遍歷的過程中，#i其實相當于一個本地變量，對這個本地變量的修改是不會影響到集合本身的。

我們看一個例子：

public void noncompliantUsage(){ int[] intArray = new int[]{1,2,3,4,5,6}; for(int i: intArray){ i=0; } for(int i: intArray){ System.out.println(i); } }

我們在遍歷過程中，嘗試將i都設置為0，但是最后輸出intArray的結果，發現沒有任何變化。

所以，一般來說我們需要在增強的for語句中，將#i設置成為final，從而消除這種不必要的邏輯誤會。

public void compliantUsage(){ int[] intArray = new int[]{1,2,3,4,5,6}; for(final int i: intArray){ } for(int i: intArray){ System.out.println(i); } }

本文的例子：

learn-java-base-9-to-20/tree/master/security

補充知識：Java中String字符串初始化細節

Java中String類型細節

一 . String兩種初始化方式

1 . String str1= “abc”;//String類特有的創建字符對象的方式，更高效

在字符串緩沖區中檢測”abc”是否存在

若存在則不重復創建，將地址賦值給str1.

若不存在，則在字符串緩沖區中創建對象并賦地址給str1.

2 . String str1= new String( “abc”); //構造函數初始化

　或者

　char [] ch={‘a’,’b’,’c’};

　String str1=new String (ch);

先有 “abc” 對象，然后拷貝給構造函數創建的對象（相當于str1得到的是構造函數的副本）

String對象是不可變的，它的內容不能改變，而在程序中字符串頻繁使用，為了提高效率，對具有相同字符串序列的字符串直接量使用同一個實例，這樣的實例被稱之為限定的（interned）

注意，第二種方式的參數只支持字符串直接量或字符數組創建，這種方式是錯誤的 String strA = “asd”;

String strbB = new Strint(strA);

比較兩種創建方式，第一種更高效，只創建了一個對象，第二種創建了兩個對象。

二 . 初始化細節

棧中保存基本類型與對象的引用，基本類型在創建前會查看Stack中是否已經有, 有則賦值指向, 沒有則創建。

String str1= “abc”;

String str1= new String( “abc”);

前者首先在棧中創建一個引用型變量str1，然后查看棧中是否存在“abc”如果沒有，則將“abc”存放進棧，并令引用變量str指向它；如果有，則直接令str1指向它；后者是java中標準的對象創建方式，其創建的對象將直接放置到堆中，每調用一次就會創建一個新的對象。

String str = “abc”+”def”;

這條語句創建對象個數？ 1個。

編譯器會自己調用Stringbuilder的append方法來合成abcdef，最后只生成一個對象.

實際上，字符串直接量屬于常量，在編譯的時候已確定，兩個常量相加，先檢測棧內存中是否有”abcdef” 如有有，指向已有的棧中的”abcdef”空間，若沒有，則創建。

package stringDemo;public class stringInitial{ public static void main(String[] args) { String str1 = 'abc'; String str2 = new String('abc'); // String str2 = new String(new char[] { ’a’, ’b’, ’c’ }); // String str2 = new String(str1);錯誤寫法 System.out.println(str1 == str2);// false System.out.println(str1.equals(str2));// true這里的equals()方法已經被覆蓋，比較的是字符串不是地址 String str3 = '123'; String str4 = 'abc123'; String str5 = 'abc' + '123'; String str = str1 + str3; System.out.println(str4 == str5);// true System.out.println(str4 == str1+'123');// false System.out.println(str4 == str);// false }}

可以看出，只要是+中出現非字符串直接量，就會在堆中產生新的對象，并不會檢測棧內存

三.關于String str=null;String str;String str=”“;

String str=null;

聲明了一個String的引用型變量并初始化為空，及未指向任何地址，不占用任何空間

String str;

只是聲明了一個String的引用型變量，并未初始化(作為對象屬性時會有默認的隱式初始化str=null)，如果后面未用此變量編譯會通過

String str=”“;

正常的字符串初始化，只不過字符串內容為空。

以上這篇java安全編碼指南之:聲明和初始化說明就是小編分享給大家的全部內容了，希望能給大家一個參考，也希望大家多多支持好吧啦網。