造成类在多线程时不安全的原因

线程安全的类定义： 不存在竞态条件（类中不存在被修改的成员变量），或存在时进行了同步控制。

多线程不安全的原因-竞态条件/临界区

同一个程序运行在多个线程中本身不会有线程安全问题，问题在于多个线程访问共享资源时存在，如：类成员变量（普通或静态变量），系统共享资源（文件，数据库）等。

同时只有多个线程同时对这些资源进行了写的操作时才会发生线程安全问题，不对资源的进行修改时就不会存在问题。

// 线程不安全的计数器
public class Counter {// 多个线程时存在的共享成员变量，产生竞态条件protected long count = 0;public void add(long value){//此处包含三个操作：1.获取count当前值 2.加上value值 3.将结果值赋给countthis.count = this.count + value;}
} 

如：线程A和B同时执行同一个Counter实例的add（）方法，我们不知道操作系统何时在线程之间切换，JVM并不是将该方法当作单条指令执行的，而是按下列顺序执行的：

1. 从内存中获取this.count的值放到寄存器中
2. 将寄存器值加value
3. 将寄存器中的结果值写回内存 

但多个线程执行时，会共享同一个实例的count成员变量，被调度执行时，可能会按照下列顺序执行：

A: 读取内存中this.count的值0到寄存器,被挂起
B: 读取内存中this.count的值0到寄存器
B: 将寄存器值加value=2
B: 将寄存器结果写回内存,此时内存中this.count值为2，执行结束
A: 再此调度A继续执行，将寄存器值加value=3
A: 将寄存器中结果写回内存，覆盖原来的结果值为3，执行结束 

两个线程分别对count加2和3，两个线程执行结束后，应该为5，实际为3。在两个线程交叉执行时，读到的初始值都为0，分别写回2或3，后者覆盖前者，如果不对这样的多线程访问进行同步控制，就会造成这种线程不安全的结果。

• 竞态条件&临界区

当多个线程访问同一个资源时，对先后顺序敏感，就存在竞态条件。导致竞态条件发生的代码区称为临界区。

上例中add()方法是一个临界区，它会产生竞态条件。在临界区中使用适当的同步就可以避免竞态条件。

类中能造成线程不安全的共享资源

当多个线程访问共享资源变量时，并且进行了写操作，会引发竞态条件。同时读不会产生竞态条件。

• 方法中的局部基本类型变量

多线程中同时运行类的方法时（包括静态方法和成员方法），方法中局部变量会在每个线程的堆栈空间中存在副本，对它的修改不会影响其他线程，所以不存在线程安全问题，而成员变量根据不同情况会产生线程安全问题。

public void someMethod(){long threadSafeInt = 0;threadSafeInt++;
} 

• 方法中的局部对象引用变量

对象引用存在每个线程的线程栈中，但new出来的对象实例在共享堆中，如果在某个方法中创建的局部对象不逃逸出该方法，则该类就是线程安全的。哪怕将该对象作为参数传递给其他方法，只要其他线程获取不到，就还是线程安全的。

逃逸：即该对象不会被其他方法获得，也不会被非局部变量引用。

public void someMethod(){LocalObject localObject = new LocalObject();localObject.callMethod();method2(localObject);
}
​
public void method2(LocalObject localObject){localObject.setValue("value");
} 

样例中LocalObject对象没有被方法返回，也没有被传递给someMethod()方法外的对象。每个执行someMethod()的线程都会创建自己的LocalObject对象，并赋值给localObject引用。因此，这里的LocalObject是线程安全的。事实上，整个someMethod()都是线程安全的。即使将LocalObject作为参数传给同一个类的其它方法或其它类的方法时，它仍然是线程安全的。当然，如果LocalObject通过某些方法被传给了别的线程，那它就不再是线程安全的了。

• 对象成员变量

对象成员存储在堆上。如果两个线程同时更新同一个对象的同一个成员，那这个代码就不是线程安全的。

public class NotThreadSafe{StringBuilder builder = new StringBuilder();public add(String text){this.builder.append(text);}} 

如果两个线程同时调用同一个NotThreadSafe实例上的add()方法，就会有竞态条件问题。

注意两个MyRunnable共享了同一个NotThreadSafe对象。
因此，当它们调用add()方法时会造成竞态条件。
​
NotThreadSafe sharedInstance = new NotThreadSafe();
new Thread(new MyRunnable(sharedInstance)).start();
new Thread(new MyRunnable(sharedInstance)).start();
​
public class MyRunnable implements Runnable{NotThreadSafe instance = null;public MyRunnable(NotThreadSafe instance){this.instance = instance;}public void run(){this.instance.add("some text");}
} 

当然，如果这两个线程在不同的NotThreadSafe实例上调用call()方法，
就不会导致竞态条件。下面是稍微修改后的例子：
​
new Thread(new MyRunnable(new NotThreadSafe())).start();
new Thread(new MyRunnable(new NotThreadSafe())).start(); 

现在两个线程都有自己单独的NotThreadSafe对象，调用add()方法时就会互不干扰，再也不会有竞态条件问题了。所以非线程安全的对象仍可以通过某种方式来消除竞态条件。

• 线程控制逃逸规则

线程安全的类：不包含竞态条件，即多线程时不存在共享资源变量或存在共享资源变量时进行了适当的同步控制

不可变对象保证线程安全

我们可以通过创建不可变的共享对象来保证对象在线程间共享时不会被修改，从而实现线程安全。如下示例：

请注意add()方法以加法操作的结果作为一个新的ImmutableValue类实例返回
而不是直接对它自己的value变量进行操作。
​
public class ImmutableValue{private int value = 0;public ImmutableValue(int value){this.value = value;}public int getValue(){return this.value;}public ImmutableValue add(int valueToAdd){return new ImmutableValue(this.value + valueToAdd);}
} 

请注意ImmutableValue类的成员变量value是通过构造函数赋值的，并且在类中没有set方法。这意味着一旦ImmutableValue实例被创建，value变量就不能再被修改，这就是不可变性。但你可以通过getValue()方法读取这个变量的值。

• 即使一个对象是线程安全的不可变对象，但在另一个包含这个对象的一个引用的类中，该类可能不是线程安全的。

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图： 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！ 想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！ 再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！ 网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！