修复Sonar中常见的Java安全代码冲突

最新推荐文章于 2023-05-09 19:20:12 发布
最新推荐文章于 2023-05-09 19:20:12 发布
阅读量522 收藏
点赞数
文章标签: 字符串 数据库 java 编程语言 python
本文旨在向您展示如何快速修复最常见的Java安全代码冲突。 它假定您熟悉代码规则和违规的概念以及Sonar如何对其进行报告。 但是,如果您以前从未听说过这些术语,则可以阅读Sonar Concepts即将出版的有关Sonar的书 ,以获取更详细的解释。

为了获得一个想法,在Sonar分析期间,您的项目会被许多工具扫描,以确保源代码符合您在质量配置文件中创建的规则。 每当违反规则时…就会引发违反。 使用Sonar,您可以通过违规深入视图或在源代码编辑器中跟踪这些违规。 有数百条规则,根据其重要性进行分类。 在以后的文章中,我会尽我所能覆盖尽可能多的内容,但现在让我们来看一些常见的安全规则/违规行为。 我们现在要检查两对规则(在Sonar中它们都被列为关键)。

1.数组直接存储( PMD ),方法返回内部数组( PMD

当内部数组存储或直接从方法返回时,会出现这些冲突。 以下示例说明了违反这些规则的简单类。 

public class CalendarYear {
 private String[] months;
 public String[] getMonths() {
    return months;    
 }
 public void setMonths(String[] months) {
    this.months = months;
 }
}

要消除它们,您必须在存储/返回它之前克隆Array,如以下类实现所示,因此没有人可以修改或获取您类的原始数据,而只能修改它们的副本。 

public class CalendarYear {
 private String[] months;
 public String[] getMonths() {
    return months.clone();    
 }
 public void setMonths(String[] months) {
    this.months = months.clone();
 }
}


 2.传递给SQL语句( findbugs )上的execute方法的非恒定字符串,并从非恒定String (findbugs )生成准备好的语句

使用JDBC库时,这两个规则都与数据库访问有关。 通常,有两种方法可以通过JDBC连接执行SQL Commants:Statement和PreparedStatement。 关于优缺点,有很多讨论,但这超出了本文的范围。 让我们看看如何根据以下源代码片段引发第一次违规。 

Statement stmt = conn.createStatement();
String sqlCommand = 'Select * FROM customers WHERE name = '' + custName + ''';
stmt.execute(sqlCommand);

您已经注意到传递给execute方法的sqlcommand参数是在运行时动态创建的,此规则不接受。 类似情况会导致第二次违规。 

String sqlCommand = 'insert into customers (id, name)  values (?, ?)';
Statement stmt = conn.prepareStatement(sqlCommand);

您可以通过三种不同的方法来克服此问题。 您可以使用StringBuilderString.format方法来创建字符串变量的值。 如果适用,可以在类声明中将SQL Commands定义为Constant,但这仅适用于不需要在运行时更改SQL Command的情况。 让我们使用StringBuilder重新编写第一个代码段 

Statement stmt = conn.createStatement();
stmt.execute(new StringBuilder('Select FROM customers WHERE name = '').
                         append(custName).
                         append(''').toString());

并使用String.format 

Statement stmt = conn.createStatement();
String sqlCommand = String.format('Select * from customers where name = '%s'', custName);
stmt.execute(sqlCommand);

对于第二个示例,您可以仅声明sqlCommand,如下所示 

private static final SQLCOMMAND = insert into customers (id, name)  values (?, ?)';

还有更多安全规则,例如阻止程序Hardcoded常量数据库密码,但是我认为没有人仍然在源代码文件中对密码进行硬编码…

在接下来的文章中,我将向您展示如何遵守性能和不良实践规则。 在此之前,我一直在等待您的意见或建议。

祝您编程愉快,别忘了分享!

参考:Only Only软件问题博客上,从我们的JCG合作伙伴 Papapetrou P. Patroklos 修复了Sonar中常见的Java安全代码冲突


翻译自: https://www.javacodegeeks.com/2012/09/fixing-common-java-security-code.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java代码集成sonar接口,实现sonar操作的demo
04-01
利用java代码,调用sonar接口,实现在sonar里面创建,更改,用户,组,权限等一系列操作
代码质量控制sonar方案
韩小熙(Java)
01-16 869
背景及价值一、背景随着项目数量的增加,项目的长期维护和演进,代码代码数量会不断增长,特别是在大型项目或团队合作项目。这意味着会有越来越多的代码需要管理和维护,同时也会带来更多潜在的代码质量问题SonarQube作为一个强大的静态代码分析工具,可以有效地处理大量代码并提供全面的问题识别和改进建议SonarQube作为一个强大的代码质量管理工具,并持续提供关于代码质量的准确分析和改进建议。每个项目可能由不同的开发团队或开发者开发和维护。
Sonar代码扫描常见规则总结
F道人
05-22 1万+
Sonar代码扫描常见规则 最近公司项目交付,交付前集成,功能,性能,安全种种测试工作就来了,由于测试离职,被抓壮丁,兼职起测试修改工作。小公司,平时敲(ctrl+c)代码(ctrl+v) 时,同事也不在意一些代码规范,以及一些常见的规约要求(阿里规约),所以代码扫描一地bug,漏洞,以及坏味道,道人委实因为这恨加了几天班。(心疼道人3秒) 因此,如果项目交付需要进行代码质量扫描等工作,一定要将代码规范写进公司代码规范,并严格遵守。 程序员啦,代码提交时,idea编辑工具的话,可以使用sonarLine插
Sonar常见问题及修改
Java程序媛,欢迎大家一起交流学习~
05-09 7185
柚子之前在重构项目的时候,参考了sonar给出的修改意见,下面是对sonar常见问题的一番总结。提示:以下是本篇文章正文内容,下面案例可供参考问题主要存在以下几类:(1)变量和方法名命名不规范,条件语句不规范:前者按照驼峰命名法进行修改,后者主要出现的是if语句合并问题,将其合并到上一级。(2)单个方法复杂度太高:对其方法进行拆分,降低复杂度到15。(3)涉及Java基础知识的改进建议:根据其建议进行相应的修改。
代码质量管理工具:SonarQube常见问题及正确解决方案
盲目的拾荒者的博客
04-29 8661
代码质量管理工具:SonarQube常见问题及正确解决方案 SonarQube 简介 Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具。 与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通...
Findbugs 缺陷详解与英文代号的对照表
kuyuyingzi的专栏
08-02 1665
最近的工作涉及到了 findbugs 的使用,从官方网站上下载了二进制包之后,仔细阅读了下它们的文档,并且小小的尝试了下 findbugs 的几种使用方法。如果使用 eclipse 插件或者图形界面的形式,界面上会显示出每個 BUG 的详细说明以及修改建议。但是如果将 BUG 列表以文档的形式导出之后,发现里面只有 BUG 的错误类型代码,而没有具体的说明,使用起来颇为不便,所以我就在网上找了找...
sonar文插件1.28
07-28
SonarQube是一款强大的静态代码分析工具,广泛用于软件质量管理,它能检测代码的缺陷、漏洞、重复代码以及代码质量状况。"sonar文插件1.28"是专门为SonarQube设计的一个本地化插件,目的是为了提供文界面和...
sonar-JAVA检查规则指南.docx
03-20
SonarQube JAVA检查规则指南 SonarQube 是一个广泛使用的静态代码分析工具,用于检查 Java 项目的 bug、漏洞和坏味道...这些规则SonarQube 的一些基本内置规则,旨在帮助开发者编写高质量、安全Java 代码
sonar-java-custom-rules.zip
05-26
在这个项目,它可能是用来构建和部署自定义SonarJava规则的命令。 8. **src目录**: 这是源代码目录,通常包含自定义规则Java源文件。在这里,开发者可能已经实现了特定的代码检查逻辑。 9. **target目录**: ...
sonar-java:用于Java代码质量和安全性的SonarSource静态分析器
02-03
Java代码质量和安全性 该SonarSource项目是Java项目的代码分析器。 有关Java功能分析的信息可。产品特点500多个规则(包括100多个错误检测规则和300多个代码气味) 指标(复杂度,行数等) 导入有用的链接有问题或...
sonarqubepmd插件优化
12-11
sonaqube,新增加的pmd插件,代码显示在一行上,无法呈现格式化的情景,通过修改包内代码解决,使用时,请对准pmd的版本,sonaqube的版本为7.4,其他版本未测试,请自行试用
FindBugs错误描述
github_30662571的博客
06-08 7299
FindBugs错误描述本文档列出了FindBugs 3.0.1版报告的标准错误模式 。概要描述 类别 BC:Equals方法不应该假定它的参数类型 坏习惯 位:检查按位操作的符号 坏习惯 CN:类实现可克隆但不定义或使用克隆方法 坏习惯 CN:克隆方法不调用super.clone() 坏习惯 CN:类定义clone()但不实现Cloneable 坏习惯 CNT:已知常数的粗
sonar java_修复Sonar常见Java安全代码冲突
最佳 Java 编程
06-04 485
sonar java 本文旨在向您展示如何快速修复常见Java安全代码冲突。 它假定您熟悉代码规则和违规的概念以及Sonar如何对其进行报告。 但是,如果您以前从未听过这些术语,则可以阅读Sonar Concepts或即将出版的有关Sonar的书 ,以获取更详细的解释。 为了获得一个想法,在Sonar分析期间,您的项目会被许多工具扫描,以确保源代码符合您在质量配置文件创建的规则。 每当...
新版sonar代码审查问题总结
邢超的博客
10-14 4万+
主要问题列表: 格式:问题名字+问题出现的次数 Resources should be closed2 资源未关闭,打开发现有两处用到的IO流没有关闭 Conditions should not unconditionally evaluate to "TRUE" or to "FALSE"1 if/else判断里出现了重复判断,比如在if(a>10)的执行体里面又判断i
Sonar&&Fortify漏洞修复
遇到对你这么好的女孩,唯有在她一丈之内。
09-02 5963
Sonar&&Fortify漏洞修复
Sonar常见问题解决方案
热门推荐
claireliu(Java)
08-30 5万+
阻断 1、Close this"FileInputStream" in a "finally" clause. 在finally关闭FileInputStream,这个最为常见,主要是关闭方式不对,finally代码,应该要对每个stream进行单独关闭,而不能统一写在一个try-catch代码,jdk 7 可以考虑try-resources方式关闭,代码相对优雅。   另外数据库
java api存在问题改进措施_Sonar常见问题解决方案
weixin_39956612的博客
03-06 1961
一、阻断1、Close this"FileInputStream" in a "finally" clause.在流使用完之后,应该关闭该流,finally代码,应该要对每个流进行单独关闭,而不能统一写在一个try-catch代码。而且还要遵守一个原则:先打开的后关闭,后打开的先关闭。2、A"NullPointerException" could be thrown; "tom" is nu...
sonarqube8.4报告系列-安全热点统计
Mia专栏
11-12 1059
sonarqube我还没有研究透彻,技术太菜了,还无法深入原理去分析源代码,只是从外面知道sonar-scanner扫描会先经过ES,再传结果给sonarqube界面显示。 我的问题是:我要获取安全热点低等级的所有问题及数据,统计出结果给上面看。 需求分析 数据库直接查询 issues表数据的severity与实际问题等级不相符 ES结果分析自己对ES处理逻辑知之甚少,现学恐怕是来不及了 selenium爬界面数据 做了哪些工作 静默后台形式运行chromeDriver .
SonarQube部署、运行常见错误解决
罗锦天的博客
06-04 3万+
Sonar Error - Can not execute Sonar: You must install a plugin that supports the language ‘java’ 在扫描项目时报缺少扫描插件 检查路径 ${SONAR_HOME}/extensions/plugins 是否有扫描插件 1. 有对应插件:则查看项目根路径 sonar-project.p...
sonar手动 扫描java代码
最新发布
03-01
Sonar是一个用于代码质量管理的开源平台,可以帮助开发团队发现和修复代码的缺陷、漏洞和技术债务。Sonar提供了一个插件式的架构,可以支持多种编程语言,包括Java。 要进行Sonar手动扫描Java代码,可以按照以下步骤进行操作: 1. 安装SonarQube服务器:首先,需要在本地或者服务器上安装SonarQube服务器。你可以从SonarQube官方网站下载最新版本的服务器,并按照官方文档进行安装和配置。 2. 配置SonarQube服务器:安装完成后,需要对SonarQube服务器进行一些配置。你可以通过编辑SonarQube的配置文件来设置数据库连接、端口号等参数。 3. 创建项目:在SonarQube服务器上创建一个新项目,将要扫描的Java代码添加到该项目。 4. 配置扫描参数:为了对Java代码进行扫描,你需要配置一些扫描参数。这些参数包括代码覆盖率、代码复杂度、代码规范等。 5. 运行扫描:使用SonarQube提供的命令行工具或者集成开发环境(IDE)插件,运行扫描命令。命令会将Java代码发送到SonarQube服务器进行分析和评估。 6. 查看扫描结果:扫描完成后,你可以在SonarQube的Web界面上查看扫描结果。SonarQube会生成一个详细的报告,包括代码质量指标、问题列表、技术债务等信息。 通过以上步骤,你可以手动扫描Java代码并使用SonarQube进行代码质量管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值