Java代码弱点与修复之——Dereference before null check 空检查前间接引用

已于 2023-02-14 21:53:54 修改
阅读量974 收藏
点赞数
分类专栏: Java 基础、进阶与实战和笔试面试 Web开发安全 文章标签: java 弱点修复 代码质量
于 2023-02-13 21:53:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscar999/article/details/129017890
版权

Dereference before null check,空检查前间接引用。通俗一点就是一个可能为空的变量, 先使用了, 后面又进行非空判断。

Coverity 扫描的错误信息是:

Dereference before null check (REVERSE_INULL)
There may be a null pointer exception, or else the comparison against null is unnecessary.

翻译一下:

空检查前间接引用 (反向无效)
可能存在空指针异常,或者不需要与 null 进行比较。

示例

看示例代码:

	public String reverseInull3(String userName) {
		String rtnStr = "";
		String userName2 = userName.substring(1);
		if(userName != null) { //  提升有弱点
			rtnStr += userName2;
		}
		return rtnStr;
	}

上面的代码中:

  • userName 在没有判空前调用substring() 方法进行截取, 并且把结果赋给userName2 ,但是接下来又对userName 进行判空。 在判空代码处就会提示。也就是说: 这个判空其实没有什么作用,这个判空已经晚了,或者不需要。

但是如果上面的userName 被赋值了,则不会提示, 如下代码:

	public String reverseInull
了解本专栏 订阅专栏 解锁全文 超级会员免费看
oscar999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Java代码弱点修复之——Dereference after null check-检查后间接引用
oscar999的专栏
03-02 854
Dereference after null check-检查后间接引用。 在Java语言中,通俗点的说明就是: 对于一个可能为的变量,面使用的时候进行了非判断,后面使用的时候又没有进行非判断。 是指在复制和粘贴代码时产生的错误。这种错误通常是由于程序员在复制代码时未正确编辑所复制的代码或编辑复制后的代码时忘记更改一些值或参数而导致的。复制粘贴错误可能会导致程序逻辑错误、编译错误或运行时错误。
Android代码检查——Coverity中风险日志分析(十七)
小旭的专栏
07-19 607
面已经介绍了 Coverity 代码检查,以及常见的高风险和低风险日志的相关分析,这里我们主要看一下中风险日志的分析。
Java判断相关的弱点类型汇总与比较
oscar999的专栏
03-08 413
缺少非判断可能会导致`NullPointerException`异常,严重会发生程序崩溃或出现其他异常, 而编码过程中非判断的类型也有多种。
2.Nullcheck of value previously dereferenced
hty68024352的专栏
06-08 4417
[hyddd的FindBugs分析记录][M C RCN] Nullcheck of value previously dereferenced [ M C RCN] Nullcheck of value previously dereferenced [RCN_REDUNDANT_NULLCHECK_WOULD_HAVE_BEEN_A_NPE] A value...
Findbugs中常见错误的分类和原因分析
devin_xin的博客
03-09 6607
Findbugs 中的常用的bug pattern配置 Bug pattern description Bad practice 不好的习惯 Correctness 代码的正确性 Dodgy 小问题 Malicious code vulnerability 恶意代码 Internationalization 国际化问题 Performance 性能问题 Security 安全性问题 Multithreaded currectness 线程问题 Experrim
findbugs问题解决
本然233的博客
10-23 3832
1)NP_ALWAYS_NULL: Null pointer dereference A null pointer is dereferenced here. This will lead to a NullPointerException when the code is executed. 解释:有一条语句的分支,如果执行该分支,则将引用值,这将在执行代码时生成NullPointerE...
java代码检查工具 findBugs eclipse插件1.39最新
04-23
比较典型的,如引用指针(null pointer dereference), 特定的资源(db connection)未关闭,等等。如果用人工检查的方式,这些bug可能很难才会被发现,或许永远也无法发现,直到运行时发作…当除掉了这些典型的...
Detecting Null-dereference Bugs via a Backward Analysis
02-10
Detecting Null-dereference Bugs via a Backward Analysis
静态代码检查插件之findbug
01-11
FindBugs对此有特别的关注,它能够检测出可能导致NPE(Null Pointer Dereference)的情况,如未检查null引用、对null对象的方法调用等,并提供详细的报告,指导开发者进行修正。 FindBugs的使用并不复杂,它可以...
reftools:用于处理Javascript对象中的引用的工具。 现在是oas-kit的一部分
05-15
引用给定的对象 ⇒ 将对象展平为属性数组 使用〜0表示〜和〜1表示/来转义JSON指针 使用〜0表示〜和〜1表示/来取消JSON指针的转义 jptr(obj,prop,newValue) ⇒ 从obj返回带有JSON指针道具的属性,可以...
CWE476
03-15
CWE476通常被称为"Null Pointer Dereference",即指针解引用。这个弱点Java等编程语言中尤其常见,因为它们支持指针的概念。 在Java中,当一个对象的引用被设置为null,意味着它没有指向任何实际的对象实例。...
java缺陷修复
while(life)++;
03-13 3836
输入验证:日志伪造 问题 允许日志记录未经验证的用户输入,会导致日志伪造攻击。 解决
Java代码漏洞检测-常见漏洞与修复建议
最新发布
晨港飞燕的专栏
11-19 6202
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
C/C++代码错误总结 zz
hi
08-15 2034
from: http://www.51testing.com/?uid-10851-action-viewspace-itemid-73347 1 FORWARD_NULL通常发生的情况是,一个指针先被判断是否等于NULL,然后指针被非法引用。非法引用NULL的指针会导致程序崩溃。程序员在判断指针是否等于NULL时,没能正确的处理好,或者是忘记了NULL代码路径的情况。举例说明:in
指针异常
sdbaibxjksnacsa的博客
01-19 146
今天遇到了一个问题,才发现之指针异常的理解有错 看一下Objects.equals的源码 当时很奇怪为什么这里a如果为的话,用==不会发生指针异常 然后看了看自己以码的,还提示如果对对象不判断的话会出现指针异常 然后自己试了一下对象比较,确实没有异常 最后看了下指针异常的解释才发现自己之都疏忽了,只有对象在调用方法时候才会触发异常,对象本身在进行比较的时候并不会发生异常 这一点之都疏忽了。。吐槽一下自己正儿八经地避开指针异常,但异常触发的原理一直是我以自以为的 ...
通过代码静态工具检查看编码细节
春夜喜雨的专栏
10-12 3037
近来做代码静态检视,发现除了比较严重的内存泄漏、逻辑错误等问题外,代码的细节、规范性问题很多。 静态工具检查出的点,经不起推敲,会发现代码逻辑中确实有许多不严谨的地方。
代码质量】C++代码质量扫描主流工具深度比较
wetest_tencent的博客
05-27 2082
本文由腾讯WeTest团队提供,未经授权严禁转载!更多资讯可直接戳链接查看:http://wetest.qq.com/lab/ 微信号:TencentWeTest文/张蓓 引言 静态代码分析是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷,如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的指针引用等等。统计证...
Java注解和反射
qq479850581的博客
09-16 167
注解的含义 Annotation是从JDK5.0开始弓|入的新技术. Annotation的作用: ➢不是程序本身,可以对程序作出解释.(这一点和注释(comment)没什么区别) ➢可以被其他程序(比如:编译器等)读取. Annotation的格式: ➢注解是以"@注释名"在代码中存在的,还可以添加一-些参数值,例如:@SuppressWarnings(value=“unchecked”). Annotation在哪里使用? ➢可以附加在package , class , method , field
如何在浏览器中下载网站的https证书
热门推荐
oscar999的专栏
02-05 1万+
Chrome的证书管理其实是调用IE的那一套, 所以两者的界面是一样的。 在IE 11 中打开证书管理的方式: 点击最右边的齿轮状按钮 在弹出菜单选择 Internet Options 进入 Content 标签页 点击 “Certificates” 按钮 Microsoft Edge 打开证书管理的方式 1.查看和导出特定网站的证书。 点击地址栏面的锁 点击 “连接安全” 点击显示证书的按钮 4.进入“详细信息”的标签页, 点击“复制到文件…”按钮可以导出该证
Possible null pointer dereference
07-12
您好!针对您提到的可能的指针解引用问题,我可以给出一些常见的解决方法和建议。请注意,以下建议是一般性的,具体解决方法可能因代码和情况而异,需要根据具体情况进行调整和实施。 1. 检查指针是否为null:在使用指针之,确保先进行指针检查。可以使用条件语句(如if语句)来检查指针是否为null,只有在指针不为null时才进行后续操作。 2. 初始化指针:在声明指针变量时,可以将其初始化为null或合适的值。这样可以避免未初始化的指针引发指针异常。 3. 避免重复释放:在使用指针之,确保它已经被分配了合适的内存,并且没有被重复释放。重复释放可能会导致指针变为野指针,进而引发指针异常。 4. 合理使用条件语句:在代码中使用条件语句来处理可能的指针情况。例如,可以使用条件运算符(如三元运算符)来设置默认值或执行备选操作。 5. 使用断言或异常处理:在关键的代码段中,可以使用断言或异常处理机制来捕获和处理指针异常。这样可以增加代码的健壮性,并提供更好的错误处理机制。 请注意,以上建议是一般性的,具体实施方法需要根据您的代码和开发环境进行调整。希望这些建议对您有所帮助!如果您有任何进一步的问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oscar999

送以玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值