浅谈Java代码安全(二)

最新推荐文章于 2024-05-01 17:22:39 发布
最新推荐文章于 2024-05-01 17:22:39 发布
阅读量587 收藏
点赞数
分类专栏: 代码安全 文章标签: java 代码安全 编程规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010959998/article/details/82627873
版权

先来看一段代码:

//x, y, z 都是 int 类型
if (x + y < z) {
}

这段代码是否存在问题呢,可能不仔细或者对数据结构不充分了解的同学就直接这么过了,当然大多数情况下可能这段代码也不会产生问题,但是还是那句话,安全倾向于 “明显没有漏洞”,而不是“没有明显漏洞”,这里的问题是数值类型会溢出,不仅仅会导致程序判断出现误判,严重的话还会影响整个业务,而且难以复现。

完全可以这么写

if(z-x>y){
}

还有类似的数组越界问题也是时常发生,如下

public int test(i){
int [] a={1,2}; 
return a[i];
}

这里如果i=2即会报错:
Exception in thread “main” java.lang.ArrayIndexOutOfBoundsException
而这些只要我们做好入参的限制,完全都是可以规避的。

还有如下:

try {  } catch (Exception e){
throw new RuntimeException(hostname + port+"error")
}

有的同学为了方便查找错误直接把出错的信息这么给抛出,一个 Web 应用,异常如果没有良好的包装起来,那么就会把个人信息暴露给客户端,产生信息泄露等问题。

葛小臭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA代码安全性和防御技术探究
C891106的博客
12-09 124
SQL注入是指攻击者通过在用户输入的数据中插入SQL语句,从而绕过数据验证,获取或修改数据库中的数据。为了保证JAVA代码安全性,开发人员应该采取一系列的防御技术,包括输入验证和过滤、安全的编码实践、访问控制和权限管理、异常处理和日志记录、安全测试和漏洞扫描等。然而,随着互联网的普及和技术的不断发展,JAVA代码安全性问题也日益凸显。ACL可以限制用户对资源的访问权限,RBAC可以根据用户的角色来控制其对资源的访问权限。合理的异常处理和日志记录可以帮助发现和解决JAVA代码中的安全问题。
java安全入门
why811的博客
08-23 3592
是所有的类加载器的父类,有非常多的子类加载器,比如我们用于加载jar包的其本身通过继承类,重写了findClass方法从而实现了加载目录class文件甚至是远程资源文件。现在用来尝试写一个加载类器来加载自定义的字节码,并调用hello方法如果类存在的情况下,我们可以使用如下代码即可实现调用hello但是,如果不在我们的classpath中,我们可以通过自定义的类加载器重写findClass方法,然后在调用的时候,传入该类的字节码,最后通过反射机制就可以调用类的hello方法了。/***/
2024年网安最新有效提高java编程安全性的12条黄金法则
最新发布
2401_84239830的博客
05-01 127
解耦组件并使它们在尽可能小的区域内交互。即使您的应用程序的某个区域出现漏洞,其他区域也将是安全的。Java安全规则2:避免使用Java自带的序列化序列化接受远程输入,并将其转换为完全赋值的对象。它省去了构造函数和访问修饰符,并允许未知数据流成为JVM中的运行代码Java序列化从根本上来说是不安全的。Oracle就有长期计划 从Java中删除自带的序列化功能,甲骨文公司Java平台小组的首席架构师Mark Reinhold说,Java漏洞中的三分之一或更多都涉及到序列化的问题。
Java代码中的安全漏洞解决合集(更新中)
纯码农的博客
03-01 1232
汝之观览,吾之幸也!本文主要讲解Java的一些安全漏洞,并且给出浅知的解决方案。
JAVA安全
qq_52216883的博客
04-05 807
JAVA异常处理机制主要依赖于五个关键字:try,catch,finally,throw,throws来进行异常处理。因为原来这个内存地址可能存储着重要数据或者是其他程序运行所占用的,并且使用指针也很容易造成数组越界的问题。由于指针可进行移动运算,指针可以随便指向一个内存区域,不管这个区域是否可用。不需要程序员直接控制内存回收,由垃圾回收器在后台自动回收不再使用的内存。也避免了程序错误回收程序核心类库的内存,导致系统崩溃。1,JAVA取消了强大但又危险的指针,而代以之引用。2,在运行环境提供了。
安全Java代码
dxmdxmw的博客
10-11 325
我们一起来看一段不起眼的条件判断代码,这里可能有什么问题吗 // a, b, c 都是 int 类型的数值 if (a + b < c) { // … } 复制代码 你可能会纳闷,这是再常见不过的一个条件判断了,能有什么安全隐患? 这里的隐患是数值类型需要防范溢出,否则这不仅仅可能会带来逻辑错误,在特定情况下可能导致严重的安全漏洞。 从语言特性来说,Java 和 JVM 提供了很多
浅谈Java代码安全性暴露问题 (2006年)
05-22
有两类攻击可能会威胁应用程序的安全性:静态威胁和动态威胁。开发人员不能完全控制动态威胁,但对于静态威胁,是可以采取一些...本文讨论的重点是可能潜伏在Java应用程序中的Java代码安全性暴露及消除静态威胁的方法。
浅谈Java StringBuilder为什么线程不安全
08-25
浅谈Java StringBuilder为什么线程不安全 Java StringBuilder是一个可变的字符串对象,它可以动态地增加或删除字符,然而,它却不是线程安全的。在多线程环境下,使用StringBuilder可能会出现一些问题,例如输出值...
浅谈java封装
09-03
然后,我们提供公共的getter和setter方法,允许外部代码安全地获取和修改这些私有属性。 例如: ```java class Person { private String name; public String getName() { return this.name; } public void ...
浅谈java集合类以及示例
12-20
Java集合框架是Java编程语言中不可或缺的一部分,它提供了一种高效、灵活的数据组织方式。本文将深入探讨Java集合类的基本概念、分类以及示例。...正确理解和使用这些集合类,对于编写高效、优雅的Java代码至关重要。
浅谈java多线程编程
08-18
**、创建Java多线程** 1. **创建Thread子类** - 可以直接继承`Thread`类,重写`run()`方法,然后通过`start()`启动线程。 - 例如: ```java public class MyThread extends Thread { public void run(){ ...
浅谈Java代码安全(三)
u010959998的博客
09-11 1264
说完了内部一些代码安全的问题,再来谈谈外部可能会引起的代码安全问题,以前在一个老项目里用过拼接sql的方式去请求数据库: 登陆接口,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如: String sql=”select * from users where use...
java代码安全策略
调皮的写代码
05-12 1422
一、所有的明文进行加密        数据库连接要加密,而且配置固定ip访问        memcache要配置授权,而且要授权固定ip访问        redis也要进行授权配置,而且要进行授权ip访问、默认端口进行修改        mysql的默认端口是3306,要修改为其他的        memcache要修改为其他的端口        redis三、防火墙只打开服务的四、...
java代码安全性_Java代码安全性的解析
weixin_39717825的博客
02-19 372
java的设计者已经编写了颇有影响力的白皮书,内容摘要可以用11个关键术语进行组织:简单性、可移植性、面向对象、解释型、网络技能、高性能、健壮性、多线程、安全性、动态性、体系结构中立,这11个术语,也可以说是官网给出的java语言带有的特性。下面详细解释一下面试中常问的有关安全性的问题。通常安全性问题,很广很大,不能深入研究,所以大多数安全性的发问点都是和代码安全性有关系,相关的术语有编译器、解释...
Java安全架构概览
热门推荐
哎呦哥哥的博客
01-30 1万+
介绍 Java平台在设计的时候就着重与安全方面,在Java核心设计中,Java语言本身就是类型安全的,并且提供了自动垃圾收集机制,用于增强代码的健壮性,类在加载时需要被验证,用于保证只有合法的Java代码会被执行。 初始的Java平台创建了一个安全的运行环境,用于执行那些可能不被信任的代码,例如从公共网络上下载下来的Java applets。随着平台的成长以及部署范围的扩展,Java安全体系结
Java语言的安全性的体现
weixin_30954607的博客
05-19 703
Java语言的安全性的体现 1、严格遵循面向对象的规范。这样封装了数据细节,只提供接口给用户。增加了数据级的安全性。 2、无指针运算。java中的操作,除了基本类型都是引用的操作。引用是不能进行增减运算,不能被直接赋予内存地址的,从而增加了内存级的安全性。 3、数组边界检查。这样就不会出现C/C++中的缓存溢出等安全漏洞。 4、强制类型转换。非同类型的对象之间不能进行转换,否则会抛出Cla...
模型评估中测试集的选择方法
weixin_41370083的博客
08-15 8165
前言 对训练好的模型进行评估,目的是为了测试我们所训练的模型是否拥有好的泛化能力。为此,需使用一个“测试集”来测试学习器对新样本的判别能力,然后以测试集上的“测试误差”作为泛化误差的近似。通常我们假设测试样本也是从样本真实分布中独立同分布采样而得。但需注意的是,测试集应该尽可能与训练集互斥,即测试样本尽量不在训练集中出现,未在训练过程中使用过。因此本文介绍如何从数据集中选择测试集的方法。 ...
Java编程入门指南:深入浅出第
"深入浅出Java (第版)" 本书《深入浅出Java (第版)》是一本旨在帮助读者步步为营地学习Java编程语言的指南。作者通过开发思维的学习方式,引导读者逐步掌握Java的核心概念和技术。书中的内容涵盖了从基础到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值