Java代码弱点与修复之——Dereference before null check 空检查前间接引用

已于 2023-02-14 21:53:54 修改
阅读量924 收藏
点赞数
分类专栏: Java 基础、进阶与实战和笔试面试 Web开发安全 文章标签: java 弱点修复 代码质量
于 2023-02-13 21:53:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscar999/article/details/129017890
版权

Dereference before null check,空检查前间接引用。通俗一点就是一个可能为空的变量, 先使用了, 后面又进行非空判断。

Coverity 扫描的错误信息是:

Dereference before null check (REVERSE_INULL)
There may be a null pointer exception, or else the comparison against null is unnecessary.

翻译一下:

空检查前间接引用 (反向无效)
可能存在空指针异常,或者不需要与 null 进行比较。

示例

看示例代码:

	public String reverseInull3(String userName) {
		String rtnStr = "";
		String userName2 = userName.substring(1);
		if(userName != null) { //  提升有弱点
			rtnStr += userName2;
		}
		return rtnStr;
	}

上面的代码中:

  • userName 在没有判空前调用substring() 方法进行截取, 并且把结果赋给userName2 ,但是接下来又对userName 进行判空。 在判空代码处就会提示。也就是说: 这个判空其实没有什么作用,这个判空已经晚了,或者不需要。

但是如果上面的userName 被赋值了,则不会提示, 如下代码:

	public String reverseInull
了解本专栏 订阅专栏 解锁全文 超级会员免费看
oscar999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Java代码弱点修复之——Dereference after null check-检查后间接引用
oscar999的专栏
03-02 806
Dereference after null check-检查后间接引用。 在Java语言中,通俗点的说明就是: 对于一个可能为的变量,面使用的时候进行了非判断,后面使用的时候又没有进行非判断。 是指在复制和粘贴代码时产生的错误。这种错误通常是由于程序员在复制代码时未正确编辑所复制的代码或编辑复制后的代码时忘记更改一些值或参数而导致的。复制粘贴错误可能会导致程序逻辑错误、编译错误或运行时错误。
reftools:用于处理Javascript对象中的引用的工具。 现在是oas-kit的一部分
05-15
reftools 常数 TopoSort函数为LICENSE:MIT,其余均为BSD-3-Clause 职能 ⇒ 一个无操作占位符,它在不传递给定对象但无需克隆的情况下返回给定对象的原样 ⇒ 使用JSON.parse和JSON.stringify克隆给定的对象 ⇒ 浅克隆给定对象的属性,忽略原型中的属性 ⇒ 深入克隆给定对象的属性,忽略原型中的属性 ⇒ 使用Object.assign浅浅地克隆给定对象的属性 资料来源:stackoverflow ⇒ 解引用给定的对象 ⇒ 将对象展平为属性数组 使用〜0表示〜和〜1表示/来转义JSON指针 使用〜0表示〜和〜1表示/来取消JSON指针的转义 jptr(obj,prop,newValue) ⇒ 从obj返回带有JSON指针道具的属性,可以选择将其设置为newValue 递归(对象,状态,回调) 遍历对
谨慎使用PHP的引用原因分析
01-21
引用类型(Reference)在许多计算机语言中都被使用,而且是作为一个非常强大而实用的特性存在。它有类似指针(Pointer)的实现,却又有不同于指针的表现。例如C++的引用,可以让不同变量指向同一个对象,同时又保有直接使用dot来获取对象成员,不用繁琐的使用dereference运算符(*)和Pointer to Member运算符(->)。Java和C#中就直接以引用为主要类型,尽量让开发人员避免使用指针。 PHP中也引入了引用类型,在对对象赋值传递上,基本可视为是同于Java/C#的引用传递(具体请见Objects and references)。但同时又支持在基础类型上通过引用运算符
Detecting Null-dereference Bugs via a Backward Analysis
02-10
Detecting Null-dereference Bugs via a Backward Analysis
android libusbcamera jni 动态库 修复拔下camera崩溃问题
04-02
在android libusbcamear module中,默认JNI库存在bug,在预览过程中拔下usb摄像头,会出现signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x0 的指针异常,此so已修改源码重新打包,替换可修复该异常
java代码检查工具 findBugs eclipse插件1.39最新
04-23
FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。不是通过分析类文件的形式或结构来确定程序的意图,而是通常使用 Visitor 模式(请参阅 参考资料)。图 1 显示了分析一个匿名项目的结果(为防止可怕的犯罪,这里不给出它的名字):   在FindBugs的GUI中,需要先选择待扫描的.class文件(FindBugs其实就是对编译后的class进行扫描,藉以发现一些隐藏的bug。)。如果你拥有这些.class档对应的源文件,可把这些.java文件再选上,这样便可以从稍后得出的报告中快捷的定位到出问题的代码上面。此外,还可以选上工程所使用的library,这样似乎可以帮助FindBugs做一些高阶的检查,藉以发现一些更深层的bug。   选定了以上各项后,便可以开始检测了。检测的过程可能会花好几分钟,具体视工程的规模而定。检测完毕可生成一份详细的报告,藉由这份报告,可以发现许多代码中间潜在的bug。比较典型的,如引用指针(null pointer dereference), 特定的资源(db connection)未关闭,等等。如果用人工检查的方式,这些bug可能很难才会被发现,或许永远也无法发现,直到运行时发作…当除掉了这些典型的(classic) bug后,可以确信的是,我们的系统稳定度将会上一个新的台阶。
2.Nullcheck of value previously dereferenced
hty68024352的专栏
06-08 4333
[hyddd的FindBugs分析记录][M C RCN] Nullcheck of value previously dereferenced [ M C RCN] Nullcheck of value previously dereferenced [RCN_REDUNDANT_NULLCHECK_WOULD_HAVE_BEEN_A_NPE] A value...
Javac中的nullcheck
10-26 157
Javac会通过调用引用对象的getClass()来判,主要有几处: (1)JCMethodInvocation()方法中,如下实例: class A{ class B{} } public class Test06 extends A.B{ public Test06(A a){ a.super(); } } 要保证a不能为nul...
Android代码检查——Coverity中风险日志分析(十七)
最新发布
小旭的专栏
07-19 558
面已经介绍了 Coverity 代码检查,以及常见的高风险和低风险日志的相关分析,这里我们主要看一下中风险日志的分析。
处理iOS开发中的各种警告
03-25 2105
iOS开发中我们会遇到各种警告,包括第三方不再支持更新导致的警告,苹果一些过时方法的警告,其中尤其是ASIHttpRequest的不支持更新导致有很多的警告,所以我在这里做了罗列 Semantic Warnings WarningMessage -WCFString-literal input conversion stopped due to an inpu...
evaluate函数使用无效_C++核心准则编译边学-F.23 使用not_null表明“”是无效值...
weixin_39609423的博客
11-22 246
F.23: Use a not_null to indicate that "null" is not a valid value(使用not_null表明“”是无效值)Reason(原因)Clarity. A function with a not_null parameter makes it clear that the caller of the function is responsi...
指针异常
sdbaibxjksnacsa的博客
01-19 133
今天遇到了一个问题,才发现之指针异常的理解有错 看一下Objects.equals的源码 当时很奇怪为什么这里a如果为的话,用==不会发生指针异常 然后看了看自己以码的,还提示如果对对象不判断的话会出现指针异常 然后自己试了一下对象比较,确实没有异常 最后看了下指针异常的解释才发现自己之都疏忽了,只有对象在调用方法时候才会触发异常,对象本身在进行比较的时候并不会发生异常 这一点之都疏忽了。。吐槽一下自己正儿八经地避开指针异常,但异常触发的原理一直是我以自以为的 ...
Java判断相关的弱点类型汇总与比较
oscar999的专栏
03-08 404
缺少非判断可能会导致`NullPointerException`异常,严重会发生程序崩溃或出现其他异常, 而编码过程中非判断的类型也有多种。
如何在浏览器中下载网站的https证书
热门推荐
oscar999的专栏
02-05 1万+
Chrome的证书管理其实是调用IE的那一套, 所以两者的界面是一样的。 在IE 11 中打开证书管理的方式: 点击最右边的齿轮状按钮 在弹出菜单选择 Internet Options 进入 Content 标签页 点击 “Certificates” 按钮 Microsoft Edge 打开证书管理的方式 1.查看和导出特定网站的证书。 点击地址栏面的锁 点击 “连接安全” 点击显示证书的按钮 4.进入“详细信息”的标签页, 点击“复制到文件…”按钮可以导出该证
The valid characters are defined in RFC 7230 and RFC 3986-Tomcat解决方案
oscar999的专栏
03-16 1万+
The valid characters are defined in RFC 7230 and RFC 3986
公钥、私钥、数字签名和数字证书的概念及解密
oscar999的专栏
03-14 9817
* 密钥: 对称加密设置的密码 * 公钥: 公钥用于加密信息和解密数字签名 * 私钥: 私钥用于解密信息和加密消息摘要 * 消息摘要,数字指纹 : 对消息使用HASH算法获取的固定长度的字符串 * 数字签名: 使用私钥加密的消息摘要 * 数字证书:CA用自己的私钥,对需要认证的公钥及相关的信息进行加密
Access to XMLHttpRequest at ‘file:///D:/xx/xxx.json‘ from origin ‘null‘ has been blocked by CORS问题解决
oscar999的专栏
04-12 9418
在浏览器打开本地的html文件, 上面proxy中的url获取的就是一个本地文件, 协议是file://,如果是在服务器启动的话,则使用的是http或者https协议。 出于安全性考虑, Chrome默认禁止了这种用法,file协议和http/https协议不同,会被Chrome认为是跨域访问,所以会报被CORS(Cross-Origin Resource Sharing,跨域资源共享)的安全策略阻止。
Java防御路径操作(Path Manipulation) 的正确姿势
oscar999的专栏
01-11 6427
本篇介绍在 Java应用中如何防御路径操作(Path Manipulation)的攻击。
Possible null pointer dereference
07-12
您好!针对您提到的可能的指针解引用问题,我可以给出一些常见的解决方法和建议。请注意,以下建议是一般性的,具体解决方法可能因代码和情况而异,需要根据具体情况进行调整和实施。 1. 检查指针是否为null:在使用指针之,确保先进行指针检查。可以使用条件语句(如if语句)来检查指针是否为null,只有在指针不为null时才进行后续操作。 2. 初始化指针:在声明指针变量时,可以将其初始化为null或合适的值。这样可以避免未初始化的指针引发指针异常。 3. 避免重复释放:在使用指针之,确保它已经被分配了合适的内存,并且没有被重复释放。重复释放可能会导致指针变为野指针,进而引发指针异常。 4. 合理使用条件语句:在代码中使用条件语句来处理可能的指针情况。例如,可以使用条件运算符(如三元运算符)来设置默认值或执行备选操作。 5. 使用断言或异常处理:在关键的代码段中,可以使用断言或异常处理机制来捕获和处理指针异常。这样可以增加代码的健壮性,并提供更好的错误处理机制。 请注意,以上建议是一般性的,具体实施方法需要根据您的代码和开发环境进行调整。希望这些建议对您有所帮助!如果您有任何进一步的问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oscar999

送以玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值