本文整理了SonarQube检测出的代码问题,包括如何修复bug、处理漏洞和消除代码异味。针对instanceof比较、int提升、非线程安全字段、InterruptedException处理等问题给出了修复建议,并探讨了关于日志记录、密码安全、XML安全、文件删除处理等方面的漏洞。同时,文章提到在消除代码异味中涉及泛型简化、switch语句、空语句和重复字符串等方面的改进措施。
在类中定义一个Random,然后在方法中可以重复使用,但是我按照这个方法试了一下没发现并不可行,导入下面的两个包都会报错,应该是需要什么额外的jar包才行感觉。
所以做了一个消除bug的方法。如下图,其实感觉变复杂了哈哈,但是消除了bug
8.Use an “instanceof” comparison instead.
上面代码都是报这个bug,提示不应该按照名称来比较类。
不要求类名是唯一的,只要它们在包中是唯一的。 因此,尝试根据类名确定对象的类型是一种充满危险的练习。 其中一个危险是恶意用户将发送与受信任类同名的对象,从而获得可信访问。
相反,应该使用instanceof运算符或Class.isAssignableFrom()方法来检查对象的基础类型。
下面我是通过isAssignableFrom()来消除bug的。如下图:
9.Prevent “int” promotion by adding “& 0xff” to this expression.
提示原始字节值不应与逐位运算结合使用,读取字节以构建其他原始值(如整数或长整数)时,将自动提升字节值,但该提升可能会产生意外结果。要防止此类意外值转换,请使用按位和(&)将字节值与0xff(255)组合,然后关闭所有较高位。所以在后面就加上“&0xff”如图:
10.Make “df” an instance variable
提示非线程安全字段不应该是静态的,所以把前面的static 修饰符去掉就可以。
11.Either re-interrupt this method or rethrow the “InterruptedException”
这种interrupt异常,需要在catch中加上Thread.currentThread().interrupt();
12.Remove the unboxing from “Integer”
提示是这个Integer封装是多余的,所以直接用强类型转换就可以吧。
最低0.47元/天 解锁文章
203
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
