【代码调优】Java开发中总结的代码质量优化技巧,springboot企业级开发教程

最新推荐文章于 2023-05-12 10:41:12 发布
最新推荐文章于 2023-05-12 10:41:12 发布
阅读量892 收藏
点赞数
分类专栏: 程序员 文章标签: 面试 java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64867839/article/details/121886760
版权

SELECT * FROM db_user WHERE username=‘validuser’ OR ‘1’=‘1’ AND password=’’

同样,攻击者可以为password提供如下字符串。

’ OR ‘1’='1

当其注入到命令时,命令就会变成:

SELECT * FROM db_user WHERE username=’’ AND password=’’ OR ‘1’=‘1’

解决思路:

使用java.sql.PreparedStatement代替java.sql.Statement,做一个预编译,例如,select * from db_user where username=? and password=?,然后向PreparedStatement对象中添加对应的属性

public void doPrivilegedAction(String username, char[] password) throws SQLException {

Connection connection = getConnection();

if (connection == null) {

// Handle error

}

try {

String pwd = hashPassword(password);

// Ensure that the length of user name is legitimate

if ((username.length() > 8) {

// Handle error

}

String sqlString = “select * from db_user where username=? and password=?”;

PreparedStatement stmt = connection.prepareStatement(sqlString);

stmt.setString(1, username);

stmt.setString(2, pwd);

ResultSet rs = stmt.executeQuery();

if (!rs.next()) {

throw new SecurityException(“User name or password incorrect”);

}

try {

connection.close();

} catch (SQLException x) {

// forward to handler

} finally {

// forward to handler

}

}

3、不安全的随机数

Java API中提供了java.util.Random类实现PRNG(),该PRNG是可移植和可重复的,如果两个java.util.Random类的实例使用相同的种子,会在所有Java实现中生成相同的数值序列。

例如:下面代码片段中,使用了java.util.Random类,该类对每一个指定的种子值生成同一个序列。

import java.

最低0.47元/天 解锁文章
m0_64867839
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JVM优化经验总结Java开发Java经验技巧共15页.p
11-22
【标题】"JVM优化经验总结Java开发Java经验技巧共15页.p" 提供的信息表明,这是一份关于Java开发的JVM优化经验的详细总结,共有15页的内容。在Java开发过程,理解并掌握JVM(Java虚拟机)的优化技巧是至关重要的...
连接池大小Java开发Java经验技巧共8页.pdf
12-03
这份名为“连接池大小Java开发Java经验技巧共8页.pdf”的资料可能详细阐述了以下几点关键知识点: 1. **连接池原理**:连接池的基本概念,包括如何创建、管理和复用数据库连接,减少每次建立和关闭连接的开销。...
JVM活学活用——优化springboot
weixin_33937778的博客
03-30 325
介绍 在SpringBoot的Web项目,默认采用的是内置Tomcat,当然也可以配置支持内置的jetty,内置有什么好处呢? 1. 方便微服务部署。 2. 方便项目启动,不需要下载Tomcat或者Jetty 针对目前的容器优化,目前来说没有太多地方,需要考虑如下几个点 线程数 超时时间 jvm优化 ...
总结Java开发代码质量和细节
yechengchao的博客
07-09 486
尽量指定类、方法的final修饰符 带有final修饰符的类是不可派生的。在Java核心API,有许多应用final的例子,例如java.lang.String, 整个类都是final的。为类指定final修饰符可以让类不可以被继承,为方法指定final修饰符可以让方法不可以被重写。 如果指定了一个类为final,则该类所有的方法都是final的。Java编译器会寻找机会内联所有的final...
SpringBoot企业开发
hanjingjava的专栏
05-06 2510
根据书籍《SpringBoot企业开发教程》梳理SpringBoot开发框架,代码在本人Mac运行通过,IDE是IntelliJ。 SpringBoot知识图谱: 链接: https://pan.baidu.com/s/15syAvklFVDhzJFYwOHrfNA 密码: s74a 部分截图: 建议学习方式: clone 我的代码:https://github.com/hanjing5024064/springboot-edevhttps://github.com/hanjing502..
阿里内部传疯了的企业级 Spring Boot 项目开发实战教程,我先收藏了
xxxzzzqqq_的博客
05-12 486
本书结合大量的实际开发经验,由浅入深地讲解 Spring Boot 的技术原理和企业级应用开发涉及的的技术及其完整流程。无论是对 Java 企业开发人员,还是 对其他相关技术爱好者,本书都极具参考价值。学习效果好涵盖 Spring Boot 企业级项目开发的大部分技术详解 Spring Boot Web 开发的相关组件精讲 Spring Boot 的扩展知识,提高开发效率详解真实项目案例开发的完整流程。
我同事说我写代码像写诗
Java团长的博客
01-18 264
把自己平时写代码的习惯跟大家分享一下1.定义配置文件信息 有时候我们为了统一管理会把一些变量放到yml配置文件例如用 @ConfigurationProperties 代替@Value使...
解析Android开发优化之:从代码角度进行优化技巧
01-05
下面我们就从几个方面来了解Android开发过程代码优化。 1)静态变量引起内存泄露 在代码优化的过程,我们需要对代码的静态变量特别留意。静态变量是类相关的变量,它的生命周期是从这个类被声明,到这个类...
JvmSpringBoot项目优化的详细教程
09-07
SpringBoot项目,还可以考虑其他优化措施,如启用Gzip压缩减少网络传输,配置缓存策略以减少数据库访问,优化数据库查询,使用负载均衡和集群部署提高系统可用性,以及使用AOP(面向切面编程)进行代码优化等。...
Java高级开发-JVM性能总结
最新发布
05-26
以脑图的方式,结构非常清晰的整理JVm涉及的内容。帮助大家更加快速的掌握。
怎样编写高质量Java 代码
java面试笔试
04-18 404
代码质量概述怎样辨别一个项目代码写得好还是坏?秀的代码和腐化的代码区别在哪里?怎么让自己写的代码既漂亮又有生命力?接下来将对代码质量的问题进行一些粗略的介绍。也请有过代...
springboot 瘦身优化技巧
踏雪江南的博客
04-01 296
1 背景介绍 随着Spring Boot的流行,大家体验到只需构建输出一个jar文件,然后只需一个java -jar命令就能部署运行应用的爽快。常见一些单体应用随着项目规模的扩展单个jar文件的大小越来越大,动辄两三百MB。如果再引入微服务架构,动辄一二十个微服务,所有模块jar加起来整个系统光部署文件就一两个GB。 一个系统一旦上线运行,无论新需求迭代还是Bug修复,免不了需要做部署更新,尤其对于一些交付类型项目,首次部署或异地更新, 动不动就需要传输几百MB或几个GB的部署文件,确实是一个让人头疼的问题
如何使用工具提高Java代码质量(基于Eclipse)-3
Li_Xiang_996的博客
08-16 462
评判代码质量, 性能是一个重要的考量。大多数的软件都会对响应时间和吞吐量有要求。对应用程序进行性能测试是检验产品性能的重要手段, 而在编码阶段我们也需要对一些关键或者频繁用的代码进行性能测试, 以验证代码的性能; 当对已有的接口实现添加新的业务逻辑时, 我们也需要通过测试来评估变更带来的性能影响; … 我们常规的做法是在代码的开始位置记录下开始时间戳(例如通过System.currentTimeMillis()),再在结束位置记录结束时间戳, 通过计算时间差来获得执行时间。更雅的做法是通过第三方的Com
Java 代码质量 四大原则 六大技巧
m0_62220641的博客
08-07 704
Java 代码质量 四大原则 六大技巧
Spring Boot 个人博客系统能解决什么问题
weixin_42593130的博客
02-10 86
Spring Boot 是一种快速构建企业级应用的框架。在建立个人博客系统时,它可以帮助开发人员快速构建博客系统的后端架构,并使用其内置的自动配置功能为博客系统提供各种功能,如数据持久化、安全认证、文件上传和下载等。 使用 Spring Boot 开发个人博客系统可以解决以下问题: 快速构建后端架构:Spring Boot 内置了许多常用的框架和库,可以帮助开发人员快速构建出博客系统的后端架构。...
代码Java开发总结代码质量优化技巧
haohaoxuexiyai的博客
06-02 667
目录1、MyBatis导致的SQL注入2.SQL注入3.不安全的随机数4、硬编码的密码5、SimpleDateFormat的线程不安全6、null引用7、可以通过try - with - resources优化资源释放8、合理使用线程安全类9、不安全的哈希算法10、对常量CONST的声明11、使用了Number构造函数12、判"" 1、MyBatis导致的SQL注入 SQL注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原SQL语句的含义,进而执行任意SQL命令,达到入侵数据库乃至操作系统的
一次真实的Java面试的代码优化的问题
Y_eatMeat的博客
02-22 498
一次真实的Java面试问题的代码优化的问题
【fingBugs】可能空指针的间接引用,造成NullPointerException
山月风成的博客
08-24 2707
Possible null pointer dereference There is a branch of statement that, if executed, guarantees that a null value will be dereferenced, which would generate a NullPointerException when the code is exe...
【web漏洞百例】2.路径操纵、密码硬编码
热门推荐
程序猿之洞
03-27 1万+
一、路径操纵 描述: 通过用户输入控制file System操作所用的路径,借此攻击者可以访问或修改其他受保护的系统资源。 举例: 当满足以下两个条件时,就会产生“路径操纵”错误: 1.攻击者能够指定某一file system操作所使用的路径。 2.攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的。 例如,在某一程序,攻击者可以获得指定的权限
springboot企业开发教程源码
12-22
Spring Boot是一个快速开发、简化配置和部署的Java应用程序框架。它被广泛应用于企业开发,并且拥有丰富的教程和源码资源供开发者学习和参考。在Spring Boot企业开发教程源码,通常包含了各种实际应用场景下的代码示例和解决方案,帮助开发者快速上手和应用Spring Boot框架。 教程源码通常包括了Spring Boot的基础知识、核心概念、常用功能模块等方面的代码实现,涵盖了Web开发、数据库操作、安全认证、日志管理、性能优化等多个方面。通过学习这些源码,开发者可以深入了解Spring Boot的工作原理,掌握其最佳实践和高效开发技巧。 此外,Spring Boot企业开发教程源码还会涉及到一些实际项目常见的业务场景和问题,比如如何进行微服务架构、如何实现分布式系统、如何进行性能等方面的代码案例。这些源码不仅能够帮助开发者快速理解Spring Boot的应用方法,还能够提升开发者解决实际问题的能力。 总之,Spring Boot企业开发教程源码是非常宝贵的学习资源,通过学习和阅读这些源码,开发者可以更快地掌握Spring Boot框架的高级应用技巧,提升自己的开发水平和能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值