动态编译Java代码

最新推荐文章于 2023-03-30 22:10:57 发布
最新推荐文章于 2023-03-30 22:10:57 发布
阅读量269 收藏 1
点赞数
分类专栏: 编程基础 文章标签: java 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cqu_sgv5/article/details/104060314
版权

Java使得在运行时编译Java代码成为可能…任何Java代码!

编译的入口点是ToolProvider类。它的Javadoc如下:

Provides methods for locating tool providers, for example, providers of compilers. This class complements the functionality of ServiceLoader.

翻译一下就是,提供用于定位工具提供者(例如,编译器的提供者)的方法。此类补充了ServiceLoader的功能。

从10年前发布的1.6版开始,此类就可以在Java中使用,但似乎已被很大程度上忽略了。

代码

示例代码片段:

public class EvilExecutor {
    private String readCode(String sourcePath) throws FileNotFoundException {
        InputStream stream = new FileInputStream(sourcePath);
        String separator = System.getProperty("line.separator");
        BufferedReader reader = new BufferedReader(new InputStreamReader(stream));
        return reader.lines().collect(Collectors.joining(separator));
    }
    private Path saveSource(String source) throws IOException {
        String tmpProperty = System.getProperty("java.io.tmpdir");
        Path sourcePath = Paths.get(tmpProperty, "Harmless.java");
        Files.write(sourcePath, source.getBytes(UTF_8));
        return sourcePath;
    }
    private Path compileSource(Path javaFile) {
        JavaCompiler compiler = ToolProvider.getSystemJavaCompiler();
        compiler.run(null, null, null, javaFile.toFile().getAbsolutePath());
        return javaFile.getParent().resolve("Harmless.class");
    }
    private void runClass(Path javaClass)
            throws MalformedURLException, ClassNotFoundException, IllegalAccessException, InstantiationException {
        URL classUrl = javaClass.getParent().toFile().toURI().toURL();
        URLClassLoader classLoader = URLClassLoader.newInstance(new URL[]{classUrl});
        Class<?> clazz = Class.forName("Harmless", true, classLoader);
        clazz.newInstance();
    }
    public void doEvil(String sourcePath) throws Exception {
        String source = readCode(sourcePath);
        Path javaFile = saveSource(source);
        Path classFile = compileSource(javaFile);
        runClass(classFile);
    }
    public static void main(String... args) throws Exception {
        new EvilExecutor().doEvil(args[0]);
    }
}

解释:

  • readCode():从文件系统上的任意文件读取源代码,并将其作为字符串返回。另一种实现方式是从整个网络获取源。
  • saveSource():根据源代码在已启用读取的目录中创建一个新文件。该文件名是硬编码的,更完善的版本将解析code参数以创建一个根据其包含的类名命名的文件。
  • compileSource():从Java文件中编译类文件。
  • runClass:加载已编译的类并实例化一个新对象。为了独立于任何强制类型转换,应在外部源代码类的构造函数中设置要执行的代码。

问题

从功能的角度来看,与不提供此功能的其他语言相比,即时编译代码可提高Java语言的价值。从安全角度来看,这是一场噩梦! 能够在生产中执行任意代码的想法应该使任何IT组织(包括开发人员)(如果不是大多数)中的任何人都感到不寒而栗。

经验丰富的开发人员/操作人员或普通读者可能还记得Java安全管理器以及如何激活它:

java -Djava.security.manager -cp target/classes ch.frankel.blog.runtimecompile.EvilExecutor harmless.txt

执行上述命令行将产生以下结果:

java.lang.SecurityManager@4e25154f
Exception in thread "main" java.security.AccessControlException:
    access denied ("java.io.FilePermission" "harmless.txt" "read")
  at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472)
  at java.security.AccessController.checkPermission(AccessController.java:884)
  at java.lang.SecurityManager.checkPermission(SecurityManager.java:549)
  at java.lang.SecurityManager.checkRead(SecurityManager.java:888)
  at java.io.FileInputStream.<init>(FileInputStream.java:127)
  at java.io.FileInputStream.<init>(FileInputStream.java:93)
  at ch.frankel.blog.runtimecompile.EvilExecutor.readCode(EvilExecutor.java:19)
  at ch.frankel.blog.runtimecompile.EvilExecutor.doEvil(EvilExecutor.java:47)
  at ch.frankel.blog.runtimecompile.EvilExecutor.main(EvilExecutor.java:56)

结论

JVM提供了很多功能。与任何工具一起使用时,无论好坏,它们都可以使用。每个人都有责任确保自己的JVM的安全,在敏感领域——银行业、军事等领域,情况更是如此。

cqu_sgv5
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ToolProvider.getSystemJavaCompiler()返回null
位面旅行者G的博客
02-07 417
解决方法1 刚换jdk为orcale官方版本,简单粗暴 解决方法2 更改JAVA_HOME路径为…/jdk/jre,并且将lib下的tools.jar包复制到jre中 设置JAVA_HOME步骤如下: vi /etc/profile,在最后一行后复制如下内容 export JAVA_HOME=/usr/local/java/jdk1.8.0_211/jre export JRE_HOME=${J...
ToolProvider.getSystemJavaCompiler() 返回 null的问题
热门推荐
liu578182160的专栏
05-06 1万+
最近做一个项目,用到了ToolProvider.getSystemJavaCompiler() 编译javalei文件
动态加载类出现问题 ToolProvider.getSystemJavaCompiler() Return NULL和动态加载pack
阿G
04-17 1366
小G今天使用Java动态加载出现问题总结如下,见笑 问题1: 在spring boot 项目中新增一个动态加载class类使用的是tool.jar ,在eclipse上运行正常,部署到线上,就报错调用getSystemJavaCompiler的时候返回为null; 线上环境如下: 1、jdk 1.8或者OpenJDK1.8 都可以,亲自试验过, 2、部署环境容器docker或者tomcat 3、项...
ToolProvider.getSystemJavaCompiler() return null 的解决方法
PacosonSWJTU的博客
02-22 3271
【1】利用java 编译器API 编译 普通的java文件 1.1)代码如下: package com.corejava.chapter10_2; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.OutputStream; import javax.tools.Jav
ToolProvider.getSystemJavaCompiler() Return NULL!【转】
hunaifei2008的博客
12-12 242
import java.io.IOException;import java.net.URI;import java.net.URISyntaxException;import java.util.Arrays;import java.util.List;import javax.tools.JavaCompiler;import javax.tools.SimpleJavaFileOb...
Java动态编译Java代码,运行在内存中,并执行
01-30
添加动态执行的编译环境 options 是个集合,添加内容,字符集,classpath等 * 6.传入JavaFileObject的java文件,是个集合,创建JavaSourceObject实现这个接口,Kind.SOURCE.extension = '.java' * 7.创建任务并...
java编程进行动态编译加载代码分享
08-28
Java动态编译加载代码分享是Java编程中的一种重要技术,能够动态编译加载Java代码,实现灵活的代码管理和执行。下面是相关的知识点: 1. JavaCompiler类:JavaCompiler类是Java标准库中的一个类,提供了编译Java源...
Java动态编译执行代码示例
08-28
Java动态编译执行代码示例主要介绍了通过JavaCompiler实现java代码动态编译的过程。JavaCompiler是JDK提供的一个工具,用于实现java代码动态编译。 第一步:获取JavaCompiler 在实现java代码动态编译之前,需要...
java动态编译java源文件
08-25
Java的`javax.tools.JavaCompiler` API 提供了这样的能力,让我们能够在运行时动态编译Java源文件。 首先,我们需要引入`javax.tools`和`java.compiler`这两个Java标准库。它们包含了编译Java源文件所需的所有工具...
JDK8 下 SpringBoot 应用动态编译 Java 源码并注入 Spring 容器
最新发布
09-04
SpringBoot 应用动态编译 Java 源码并注入 Spring 容器,实现动态修改接口和抽象类的实现。注意,项目以 Jar 包形式启动时要在命令行引入 tools.jar 的包,IDEA下可直接调试。 基于接口、抽象类实现不停机动态调整...
一文学会 Java 动态编译
Java是世界上最好的语言
03-30 2428
Java动态编译技术可以让我们在程序运行时动态地生成和加载Java代码,从而实现更加灵活和高效的应用程序。本文介绍了Java动态编译的基本概念、实现方法和相关案例。如果你对Java动态编译技术感兴趣,可以通过阅读的官方文档,进一步了解该技术的实现细节。同时,需要注意的是,Java动态编译技术虽然可以提供更高的灵活性和可扩展性,但在实际使用时也存在一些安全隐患。因为动态编译可以在程序运行时生成和加载代码,如果不加以限制和控制,可能会导致恶意代码的注入和执行。
Java动态编译
kj_1314的博客
12-28 1128
自定义函数能力,ETL,动态编译
即时编译Java代码
dlz00001的博客
06-09 110
Java使得它可以在运行时...... 任何 Java代码编译Java代码编译的入口点是ToolProvider类。 从其Javadoc: 提供用于定位工具提供者(例如,编译器的提供者)的方法。 此类补充了ServiceLoader的功能。 从10年前发布的1.6版开始,此类就可以在Java中使用,但似乎已被很大程度上忽略。 编码 这是一个允许的片段: publi...
java 动态执行代码_java动态执行一段代码
weixin_28886649的博客
02-19 2917
动态的执行一段简单代码,采用生成java文件,调用javac编译,反射执行的方式。只是一个简单测试,有些地方有待完善。代码如下import java.io.*;/*** 动态执行一段代码(生成文件->编译->执行)* @author kingfish* @version 1.0*/public class TestRun {private String fileName = "Test...
Java动态编译动态编译的应用
weixin_43760020的博客
03-20 776
动态编译
Android AOP(三):在Android中Javassist动态编译代码
trinity2015的博客
06-27 1511
Android AOP(三):在Android中Plugin Transform Javassist操作Class文件 Javassist作用是在编译器间修改class文件,与之相似的ASM(热修复框架女娲)也有这个功能,可以让我们直接修改编译后的class二进制代码,首先我们得知道什么时候编译完成,并且我们要赶在class文件被转化为dex文件之前去修改。在Transfrom这个api出...
java动态编译运行代码
weixin_30786657的博客
10-09 175
import java.io.BufferedReader;import java.io.InputStreamReader;import java.net.URI;import java.util.Arrays;import javax.tools.JavaCompiler;import javax.tools.JavaFileObject;import javax.tools.SimpleJ...
java代码_动态编译 Java 代码以及生成 Jar 文件
06-06
动态编译 Java 代码可以使用 Java Compiler API,它提供了一系列的类和接口,可以在 Java 应用程序中动态编译 Java 代码。下面是一个简单的示例: ```java import javax.tools.JavaCompiler; import javax.tools.ToolProvider; public class CompilerExample { public static void main(String[] args) { JavaCompiler compiler = ToolProvider.getSystemJavaCompiler(); int result = compiler.run(null, null, null, "Path/To/Your/Java/File.java"); if (result == 0) { System.out.println("Compilation successful"); } else { System.out.println("Compilation failed"); } } } ``` 上述代码中,我们首先通过 `ToolProvider.getSystemJavaCompiler()` 获取 JavaCompiler 对象,然后调用 `compiler.run()` 方法来编译 Java 代码。最后判断编译结果,如果返回值为 0,则表示编译成功。 接下来是生成 Jar 文件的示例代码: ```java import java.io.File; import java.io.FileOutputStream; import java.io.IOException; import java.util.jar.JarEntry; import java.util.jar.JarOutputStream; public class JarExample { public static void main(String[] args) { String[] files = {"Path/To/Your/Java/File.class"}; try { JarOutputStream jos = new JarOutputStream(new FileOutputStream(new File("Path/To/Your/Jar/File.jar"))); for (String file : files) { JarEntry entry = new JarEntry(new File(file).getName()); jos.putNextEntry(entry); jos.write(readFile(file)); jos.closeEntry(); } jos.close(); System.out.println("Jar file created successfully"); } catch (IOException e) { e.printStackTrace(); } } private static byte[] readFile(String file) throws IOException { FileInputStream fis = new FileInputStream(file); byte[] data = new byte[fis.available()]; fis.read(data); fis.close(); return data; } } ``` 上述代码中,我们首先指定需要打包的文件路径,然后使用 JarOutputStream 创建 Jar 文件并写入文件。最后,关闭 JarOutputStream,Jar 文件就生成了。 需要注意的是,这里只是一个简单的示例,实际应用中可能需要更加复杂的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值