浅谈Java代码安全(一)

最新推荐文章于 2024-08-20 21:56:53 发布
最新推荐文章于 2024-08-20 21:56:53 发布
阅读量3.4k 收藏
点赞数
分类专栏: 代码安全 文章标签: java 安全 编程规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010959998/article/details/82623727
版权

对于代码安全这块,工作年限不多的开发人员或许一直不够重视,有的可能是公司规范上存在缺陷,也有的是个人态度上存在问题,之前看到一句话,安全倾向于 “明显没有漏洞”,而不是“没有明显漏洞” 个人觉得说的很对,下面罗列下自己工作上遇到的和觉得可能造成安全问题的地方,不足之处欢迎补充。

import java.text.SimpleDateFormat;
import java.util.Date;
  public class DateFormat {

    private static ThreadLocal<SimpleDateFormat> localsdf = new ThreadLocal<SimpleDateFormat>();

    public static Date parse(String str) throws Exception {
        SimpleDateFormat sdf = localsdf.get();
        if (sdf == null) {
            sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
            localsdf.set(sdf);
        }
        return sdf.parse(str);
    }

    public static Date parse1(String str) throws Exception{
        SimpleDateFormat sdf = localsdf.get();
        if(sdf == null){
            sdf = new SimpleDateFormat("yyyyMMddHHmmss");
            localsdf.set(sdf);
        }
        return sdf.parse(str);
    }
    }

如上面这段代码,初衷是为了方便多次调用减少创建SimpleDateFormat对象次数,但是这里就有问题了,parse和parse1都可以成为localsdf 的共享变量就会存在线程安全问题了,实际中这种类型问题在本地测试并不容易被测试到,同样的还有使用全局变量,静态变量的时候也都要仔细考虑线程安全问题。

葛小臭
关注
专栏目录
安全工具】浅谈编写Java代码审计工具
HBohan的博客
09-27 1104
介绍 笔者是大四学生,初涉安全的萌新,如果文章有错误之处还请大佬指出! 最初考虑采用纯正则等方式匹配,但这种方式过于严格,程序员编写的代码有各种可能的组合 于是尝试自行实现Java词法分析和语法分析,稍作尝试后发现这不现实,一方面涉及到编译原理的一些算法,另外相比C语言等,Java语言本身较复杂,不是短时间能搞定的,深入研究编译原理背离了做审计工具的目的 后来找到了几种解决方案:Antlr,JavaCC,JDT,javaparser 经过对比,最终选择javaparser项目,该项目似乎是基于JavaCC.
Java安全技术
10-07
Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术Java安全技术
您的 Java 代码安全吗?
Herr Apfel的专栏
06-10 1354
  虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁,但在开发应用程序时,您可以采取一些预防措施来消除静态威胁。本文概括并解释了 13 种类型的静态暴露 ― 它们是系统中的缺陷,它使系统暴露在想要篡夺该系统的特权的攻击者面前。您将学会如何处理这些暴露,以
Java 安全编程:揭秘加密与解密的艺术
最新发布
qq_44771627的博客
08-20 980
在这个数字化时代,信息安全已成为各行各业关注的焦点。无论是个人隐私保护还是企业数据安全,加密技术都是维护网络安全的重要手段之一。Java作为一门广泛应用于服务器端开发的语言,其内置的安全机制和强大的第三方库支持,使得Java成为构建安全系统的理想选择。本文将带你深入了解Java中的加密与解密技术,从基础知识到实战应用,逐步揭开这一领域的神秘面纱。
编写安全Java代码
xzc0202
12-29 388
作者:Radic     来源:sun 摘要:本文是来自Sun官方站点的一篇关于如何编写安全Java代码的指南,开发者在编写一般代码时,可以参照本文的指南 工具箱 本站收藏 美味书签 投票评分 发表评论 复制链接 &lt;!-- end of summary ...
[转载]您的JAVA代码安全吗?
Beadle的专栏
07-16 444
本文来自51CTO[url]http://developer.51cto.com/art/200508/1364.htm[/url] 虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁,但在开发应用程序时,您可以采取一些预防措施来消除静态威胁...
【转】InfoQ的Java安全认证机制
weixin_34270606的博客
05-31 124
原文链接:http://www.infoq.com/cn/articles/cf-java-securityJackrabbit的安全认证机制完全遵循了Java的安装机制,所以这里将其列入JCR内容管理范围。 安全性是Java应用程序的非功能性需求的重要组成部分,如同其它的非功能性需求一样,安全性很容易被开发人员所忽略。当然,对于Java EE的开发人员来说,安全性的话题可能没那么陌生...
浅谈Java代码安全性暴露问题 (2006年)
05-22
有两类攻击可能会威胁应用程序的安全性:静态威胁和动态威胁。开发人员不能完全控制动态威胁,但对于静态威胁,是可以采取一些...本文讨论的重点是可能潜伏在Java应用程序中的Java代码安全性暴露及消除静态威胁的方法。
浅谈Java StringBuilder为什么线程不安全
08-25
浅谈Java StringBuilder为什么线程不安全 Java StringBuilder是一个可变的字符串对象,它可以动态地增加或删除字符,然而,它却不是线程安全的。在多线程环境下,使用StringBuilder可能会出现一些问题,例如输出值...
浅谈Java多线程的优点及代码示例
08-28
Java多线程是一种编程技术,允许程序同时执行多个任务,从而提高资源利用率、简化程序设计并加快程序响应速度。在Java中,多线程通过创建线程对象来实现,每个线程代表程序中的一个独立执行流。 **资源利用率更好**...
浅谈java封装
09-03
然后,我们提供公共的getter和setter方法,允许外部代码安全地获取和修改这些私有属性。 例如: ```java class Person { private String name; public String getName() { return this.name; } public void ...
Java安全概述
David.turing's Security Blog
09-21 184
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Java安全体系,博大精深,这个体系按照Sun的Java安全白皮书,基本上可以分为5个部分:1. Java平台Java语言本身嵌入了安全特性,其中包括编译器&lt;sp lang="EN-US" an=""&gt;/JVM对强数据类型的支持,自动的内存管理,字节代码的验证机制以及独特的安全类加载方式,这些...
安全Java代码
dxmdxmw的博客
10-11 336
我们一起来看一段不起眼的条件判断代码,这里可能有什么问题吗 // a, b, c 都是 int 类型的数值 if (a + b < c) { // … } 复制代码 你可能会纳闷,这是再常见不过的一个条件判断了,能有什么安全隐患? 这里的隐患是数值类型需要防范溢出,否则这不仅仅可能会带来逻辑错误,在特定情况下可能导致严重的安全漏洞。 从语言特性来说,Java 和 JVM 提供了很多
您的java代码安全吗?
lcj325的专栏
11-14 210
在开发 Java Web 应用程序时,您需要确保应用程序拥有完善的安全性特征补充。这里在谈到 Java 安全性时,我们并不谈及 Java 语言提供的安全性 API,也不涉及使用 Java 代码来保护应用程序。本文将着重讨论可能潜伏在您的 Java 应用程序中的 安全性暴露。安全性暴露是系统中的缺陷,它使系统无法 ― 即使系统被正常使用 ― 防止攻击者篡夺对系统的特权、控制系统的运行、危及系...
浅谈Java代码安全(三)
u010959998的博客
09-11 1276
说完了内部一些代码安全的问题,再来谈谈外部可能会引起的代码安全问题,以前在一个老项目里用过拼接sql的方式去请求数据库: 登陆接口,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如: String sql=”select * from users where use...
代码安全问题
weixin_33935505的博客
01-26 103
反编译 --- 工具 reflector 防止反编译工具 --- 工具   1. Dotfuscator Community Edition //微软推荐的东东 (当然,Professional 版也有流程混淆 功能,但由于得不到,无法破解,其实,流程混淆都是一样的)2. XenoCode //最近最好的混淆器,有可取点.它号称安全 3. MaxtoCode //我的共享软件...
您的 Java 代码安全吗 — 还是暴露在外?
飞行鱼的专栏
01-24 1076
虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁,但在开发应用程序时,您可以采取一些预防措施来消除静态威胁。本文概括并解释了 13 种类型的静态暴露 — 它们是系统中的缺陷,它使系统暴露在想要篡夺该系统的特权的攻击者面前。您将学会如何处理这些暴露,以及如
全面保护你的Java程序安全(上)
FreeXploiT
10-24 1364
第一部分:Java安全基础——虚拟机和字节码安全 概论:安全问题对很多数人来说都非常重要。从其历史看,Java安全主要意味着虚拟机和字节码安全。然而这个看法忽略了两个重要方面—应用程序和网络安全。在下面一系列文章中,Todd Sundsted讲解了JAVA虚拟机安全,应用程序安全,网络安全,解释了应该采取什么样的措施来全面巩固你的Java安全。在这第一部分,他向我们解释了Java安全的基础:虚拟
java 安全
u012449548的博客
10-23 109
一、三种确保安全的机制: 1、语言设计特性 2、访问控制机制 3、代码签名 二、类加载器 1、引导类加载器 2、扩展类加载器 3、系统类加载器 解析:加载某个类所依赖的所有类的过程称为类的解析 自定义类加载器:继承自ClassLoader,实现findClass()方法 字节码校验:校验器负责检查那些指令无法执行的明显有破坏作用的操作,例如:                 ...
java session 使用_浅谈Session的使用(原创)
06-08
下面我来浅谈一下Session的使用。 Session的创建 在Servlet中,可以通过HttpServletRequest的getSession()方法来获取或创建Session对象。如果请求中已经存在Session,则返回已经存在的对象,否则创建一个新的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值