目录
简介
在java对象和字段的初始化过程中会遇到哪些安全性问题呢?一起来看看吧。
初始化顺序
根据JLS(Java Language Specification)中的定义,class在初始化过程中,需要同时初始化class中定义的静态初始化程序和在该类中声明的静态字段(类变量)的初始化程序。
而对于static变量来说,如果static变量被定义为final并且它值是编译时常量值,那么该static变量将会被优先初始化。
那么使用了final static变量,是不是就没有初始化问题了呢?
我们来看下面一个例子:
public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=100; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); } }
输出结果是什么呢?
答案是90。 根据我们提到的规则,intValue是final并且被编译时常量赋值,所以是最先被初始化的,instance调用了StaticFiledOrder类的构造函数,最终导致result的值是90。
接下来,我们换个写法,将intValue改为随机变量:
public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=(int)Math.random()* 1000; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); } }
运行结果是什么呢?
答案是-10。为什么呢?
因为instance在调用StaticFiledOrder构造函数进行初始化的过程中,intValue还没有被初始化,所以它有一个默认的值0,从而导致result的最终值是-10。
怎么修改呢?
将顺序调换一下就行了:
public class StaticFiledOrder { private final int result; private static final int intValue=(int)Math.random()* 1000; private static final StaticFiledOrder instance = new StaticFiledOrder(); public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); } }
循环初始化
既然static变量可以调用构造函数,那么可不可以调用其他类的方法呢?
看下这个例子:
public class CycleClassA { public static final int a = CycleClassB.b+1; } public class CycleClassB { public static final int b = CycleClassA.a+1; }
上面就是一个循环初始化的例子,上面的例子中CycleClassA中的a引用了CycleClassB的b,而同样的CycleClassB中的b引用了CycleClassA的a。
这样循环引用虽然不会报错,但是根据class的初始化顺序不同,会导致a和b生成两种不同的结果。
所以在我们编写代码的过程中,一定要避免这种循环初始化的情况。
不要使用java标准库中的类名作为自己的类名
java标准库中为我们定义了很多非常优秀的类,我们在搭建自己的java程序时候可以很方便的使用。
但是我们在写自定义类的情况下,一定要注意避免使用和java标准库中一样的名字。
这个应该很好理解,就是为了避免混淆。以免造成不必要的意外。
这个很简单,就不举例子了。
不要在增强的for语句中修改变量值
我们在遍历集合和数组的过程中,除了最原始的for语句之外,java还为我们提供了下面的增强的for循环:
for (I #i = Expression.iterator(); #i.hasNext(); ) { {VariableModifier} TargetType Identifier = (TargetType) #i.next(); Statement }
在遍历的过程中,#i其实相当于一个本地变量,对这个本地变量的修改是不会影响到集合本身的。
我们看一个例子:
public void noncompliantUsage(){ int[] intArray = new int[]{1,2,3,4,5,6}; for(int i: intArray){ i=0; } for(int i: intArray){ System.out.println(i); } }
我们在遍历过程中,尝试将i都设置为0,但是最后输出intArray的结果,发现没有任何变化。
所以,一般来说我们需要在增强的for语句中,将#i设置成为final,从而消除这种不必要的逻辑误会。
public void compliantUsage(){ int[] intArray = new int[]{1,2,3,4,5,6}; for(final int i: intArray){ } for(int i: intArray){ System.out.println(i); } }
