<p>编写Servlet和JSP的时候,线程安全问题很容易被忽略,如果忽视了这个问题,你的程序就存在潜在的隐患.</p>
<p>1.Servlet的生命周期<br>Servlet的生命周期是由Web容器负责的,当客户端第一次请求Servlet时,容器负责初始化Servlet,也就是实例化这个Servlet类.以后这个实例就负责客户端的请求,一般不会再实例化其他Servlet类,也就是有多个线程在使用这个实例.Servlet之所以比CGI效率高就是因为Servlet是多线程的.如果该Servlet被声明为单线程模型的话,容器就会维护一个实例池,那么将存在多个实例.</p>
<p>2.Servlet的线程安全<br>Servlet规范已经声明Servlet不是线程安全的,所以在开发Servlet的时候要注要这个问题.这里以一个现实的模型来说明问题,先定义一个Servlet类,再定义一个SmulateMultiThread类和WebContainer类.<br>import javax.servlet.http.HttpServlet;<br>import javax.servlet.ServletException;<br>import javax.servlet.http.HttpServletRequest;<br>import javax.servlet.http.HttpServletResponse;<br>import java.io.IOException;</p>
<p>//该类模拟多线程Servlet的情况<br>public class SmulateMultiThread implements Runnable{<br> public SmulateMultiThread() {<br> }<br> public static void main(String[] args) {<br> //处理100个请求<br> for(int i=0;i<100;i++)<br> {<br> new Thread(new SmulateMultiThread()).start();<br> }<br> }<br> public void run() {<br> HttpServletRequest request=null;<br> HttpServletResponse response=null;<br> try {<br> WebContainer.getServlet().doGet(request, response);<br> }<br> catch (IOException ex) {<br> }<br> catch (ServletException ex) {<br> }<br> }<br>}<br>//这是一个Servlet类<br>class UnsafeServlet extends HttpServlet{<br> private String unsafe;<br> public void init() throws ServletException {<br> }<br> //Process the HTTP Get request<br> public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {<br> unsafe=Thread.currentThread().getName();<br> System.out.println(unsafe);<br> }<br>}<br>//这个是容器类<br>class WebContainer{<br> private static UnsafeServlet us=new UnsafeServlet();<br> public static UnsafeServlet getServlet(){<br> return us;<br> }<br>}<br>输出了100不同的线程名称,如果有100个请求同时被这个Servlet处理的话,那么unsafe就可能有100种去值,最后客户端将得到错误的值.比如客户1请求的线程名为thread-1,但是返回给他的可能是thread-20.表现在现实中就是,我登陆的用户名是user1,登陆后变成了user2.<br>那么怎样才能是Servlet安全呢,凡是多个线程可以共享的就不要使用(实例变量+类变量),就这么简单.也可以使用synchronized同步方法,但是这样效率不高,还可以使用单线程模型,这样的话效率就更低了,100个请求同时来的时候就要实例化100个实例.<br>方法中的临时变量是不会影响线程安全的,因为他们是在栈上分配空间,而且每个线程都有自己私有的栈空间.</p>
<p>3.JSP中线程安全<br>JSP的本质是Servlet,所有只要明白了Servlet的安全问题,JSP的安全问题应该很容易理解.使用<%! %>声明的变量是Servlet的实例变量,不是线程安全的,其他都是线程安全的.<br><%! String unsafeVar; %> //不是线程安全的<br><% String safeVar; %> // 线程安全的</p>
<p>总结:线程安全问题主要是由实例变量造成的,不管在Servlet还是JSP,或者在Struts的Action里面,不要使用实例变量,任何方法里面都不要出现实例变量,你的程序就是线程安全的.</p>
<p>1.Servlet的生命周期<br>Servlet的生命周期是由Web容器负责的,当客户端第一次请求Servlet时,容器负责初始化Servlet,也就是实例化这个Servlet类.以后这个实例就负责客户端的请求,一般不会再实例化其他Servlet类,也就是有多个线程在使用这个实例.Servlet之所以比CGI效率高就是因为Servlet是多线程的.如果该Servlet被声明为单线程模型的话,容器就会维护一个实例池,那么将存在多个实例.</p>
<p>2.Servlet的线程安全<br>Servlet规范已经声明Servlet不是线程安全的,所以在开发Servlet的时候要注要这个问题.这里以一个现实的模型来说明问题,先定义一个Servlet类,再定义一个SmulateMultiThread类和WebContainer类.<br>import javax.servlet.http.HttpServlet;<br>import javax.servlet.ServletException;<br>import javax.servlet.http.HttpServletRequest;<br>import javax.servlet.http.HttpServletResponse;<br>import java.io.IOException;</p>
<p>//该类模拟多线程Servlet的情况<br>public class SmulateMultiThread implements Runnable{<br> public SmulateMultiThread() {<br> }<br> public static void main(String[] args) {<br> //处理100个请求<br> for(int i=0;i<100;i++)<br> {<br> new Thread(new SmulateMultiThread()).start();<br> }<br> }<br> public void run() {<br> HttpServletRequest request=null;<br> HttpServletResponse response=null;<br> try {<br> WebContainer.getServlet().doGet(request, response);<br> }<br> catch (IOException ex) {<br> }<br> catch (ServletException ex) {<br> }<br> }<br>}<br>//这是一个Servlet类<br>class UnsafeServlet extends HttpServlet{<br> private String unsafe;<br> public void init() throws ServletException {<br> }<br> //Process the HTTP Get request<br> public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {<br> unsafe=Thread.currentThread().getName();<br> System.out.println(unsafe);<br> }<br>}<br>//这个是容器类<br>class WebContainer{<br> private static UnsafeServlet us=new UnsafeServlet();<br> public static UnsafeServlet getServlet(){<br> return us;<br> }<br>}<br>输出了100不同的线程名称,如果有100个请求同时被这个Servlet处理的话,那么unsafe就可能有100种去值,最后客户端将得到错误的值.比如客户1请求的线程名为thread-1,但是返回给他的可能是thread-20.表现在现实中就是,我登陆的用户名是user1,登陆后变成了user2.<br>那么怎样才能是Servlet安全呢,凡是多个线程可以共享的就不要使用(实例变量+类变量),就这么简单.也可以使用synchronized同步方法,但是这样效率不高,还可以使用单线程模型,这样的话效率就更低了,100个请求同时来的时候就要实例化100个实例.<br>方法中的临时变量是不会影响线程安全的,因为他们是在栈上分配空间,而且每个线程都有自己私有的栈空间.</p>
<p>3.JSP中线程安全<br>JSP的本质是Servlet,所有只要明白了Servlet的安全问题,JSP的安全问题应该很容易理解.使用<%! %>声明的变量是Servlet的实例变量,不是线程安全的,其他都是线程安全的.<br><%! String unsafeVar; %> //不是线程安全的<br><% String safeVar; %> // 线程安全的</p>
<p>总结:线程安全问题主要是由实例变量造成的,不管在Servlet还是JSP,或者在Struts的Action里面,不要使用实例变量,任何方法里面都不要出现实例变量,你的程序就是线程安全的.</p>
622
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
