final的安全发布

最新推荐文章于 2024-09-15 23:59:42 发布

程序员小肖

最新推荐文章于 2024-09-15 23:59:42 发布

阅读量812

点赞数 23

文章标签：安全

本文链接：https://blog.csdn.net/qq_53058639/article/details/136183176

版权

本文讨论了Java中不安全的对象发布问题，重点介绍了如何通过final关键字和锁机制确保对象在被其他线程使用前完成初始化，以避免并发问题。作者还提供了实例和学习计划，强调了final关键字在对象安全发布中的重要性。

摘要由CSDN通过智能技术生成

final的安全发布

两个关键字“发布”“安全”
所谓发布通俗一点的理解就是创建一个对象，使这个对象能被当前范围之外的代码所使用
比如Object o = new Object();
然后接下来使用对象o
但是对于普通变量的创建，之前分析过，大致分为三个步骤：
1、分配内存空间
2、将o指向分配的内存空间
3、调用构造函数来初始化对象
这三个步骤不是原子的，如果执行到第二步，还没有进行初始化，此时对象已经不是null了，如果被其他代码访问，这将收获一个错误的结果。
或者说对象尚未完全创建就被使用了，其他线程看到的结果可能是不一致的，这就是不安全的发布
根本原因就是JVM创建对象的过程涉及到分配空间、指针设置、数据初始化等步骤，并不是同步的，涉及到主存与缓存、处理器与寄存器等，可见性没办法得到保障
所以说，什么是安全发布，简单理解就是对象的创建能够保障在被别人使用前，已经完成了数据的构造设置，或者说一个对象在使用时，已经完成了初始化。
不幸的是，Java对此并没有进行保障，你需要自己进行保障，比如synchronized关键字，原子性、排他性就可以做到这一点

不安全的发布实例

怎么保障安全发布？有几种方法：

一种是刚才提到的锁机制，通过加锁可以保障中间状态不会被读取
另外还有：
1、借助于volatile或者AtomicReference声明对象
2、借助于final关键字
3、在静态初始化块中，进行初始化（JVM会保障）
4、将对象引用保存到一个由锁保护的域中
5、借助AtomicReference

很显然，对于锁机制，那些线程安全的容器比如ConcurrentMap，也是满足这条的，所以也是安全发布
对于final，当你创建一个对象时，使用final关键字能够使得另一个线程不会访问到处于“部分创建”的对象
因为：当构造函数退出时，final字段的值保证对访问构造对象的其他线程可见
如果某个成员是final的，JVM规范做出如下明确的保证：
一旦对象引用对其他线程可见，则其final成员也必须正确的赋值
所以说借助于final，就如同你对对象的创建访问加锁了一般，天然的就保障了对象的安全发布。
对于普通的变量，对象的内存空间分配、指针设置、数据初始化，和将这个变量的引用赋值给另一个引用，之间是可能发生重排序的，所以也就导致了其他线程可能读取到不一致的中间状态
但是对于final修饰的变量，JVM会保障顺序
不会在对final变量的写操作完成之前，与将变量引用赋值给其他变量之间进行重排序，也就是final变量的设置完成始终会在被读取之前
final除了不可变的定义之外，还与线程安全发布息息相关
借助于final，可以达到对象安全发布的保障，只需要借助于final，不在需要任何额外的付出，他能够保障在多线程环境下，总是能够读取到正确的初始化的值
所以，如果你不希望变量后续被修改，你应该总是使用final关键字
而且，很显然在某些场景下，final也可以解决一定的安全问题

实例

使用synchronized锁的时候，作为锁的对象最好要加上final修饰符，因为可能线程会改变锁变量持有的具体的对象。
demo如下：

public class Test02 {
static Object lock = new Object();

public static void main(String[] args) {
    Thread t1 = new Thread(() -> {
        lock = new Object();
        synchronized (lock) {
            for (int i = 0; i < 10; i++) {
                try {
                    Thread.sleep(5);
                } catch (InterruptedException e) {
                    e.printStackTrace();
                }
                System.out.println("A");
            }
        }
    });

    Thread t2 = new Thread(() -> {
        lock = new Object();
        synchronized (lock) {
            for (int i = 0; i < 10; i++) {
                try {
                    Thread.sleep(5);
                } catch (InterruptedException e) {
                    e.printStackTrace();
                }
                System.out.println("B");
            }
        }
    });

    t1.start();
    t2.start();
}

}

但是要是把锁改成final的。代码如下：

public class Test02 {
    static final Object lock = new Object();

    public static void main(String[] args) {
        Thread t1 = new Thread(() -> {
//            lock = new Object(); // 编译出错，final不能修改
            synchronized (lock) {
                for (int i = 0; i < 10; i++) {
                    try {
                        Thread.sleep(5);
                    } catch (InterruptedException e) {
                        e.printStackTrace();
                    }
                    System.out.println("A");
                }
            }
        });

        Thread t2 = new Thread(() -> {
//            lock = new Object();
            synchronized (lock) {
                for (int i = 0; i < 10; i++) {
                    try {
                        Thread.sleep(5);
                    } catch (InterruptedException e) {
                        e.printStackTrace();
                    }
                    System.out.println("B");
                }
            }
        });

        t1.start();
        t2.start();
    }
}

实例参考：https://juejin.cn/post/7104070219806539806
原理参考：https://www.cnblogs.com/noteless/p/10416678.html

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。