java安全编程标准笔记(四)

最新推荐文章于 2022-04-18 11:55:43 发布
最新推荐文章于 2022-04-18 11:55:43 发布
阅读量436 收藏
点赞数
分类专栏: java安全编程规范 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40563850/article/details/107785621
版权

java安全编程标准笔记(四)

一、异常行为

1. 记录日志时应避免异常

简介

  如果没有考虑到写入日志时发生异常的可能性,则会造成安全漏铜,例如允许攻击者阻止对关键的安全异常进行记录。从而,即使抛出异常,程序也必须确保日志记录能正确地继续执行。

违反规则代码示例一
try{
	//....
} catch (IOException ioe) {
	System.err.println(ioe);
}
问题说明

  将这样的异常写到错误流是不能满足记录的目的的。首先,标准错误流可能会被耗尽或关闭,这妨碍了随后的异常记录。其次,标准错误流的信任级别也许不能满足不泄露敏感信息的要求。如果在写入关键异常发生I/O错误,catch程序段会抛出IOException,从而造成了关键的安全异常的丢失。

符合规则的实例一
try{
	//....
} catch (IOException ioe) {
	logger.log(Level.SERVER,ioe)
}

2.在方法失败时恢复对象先前的状态

简介

  一般来说,即使发生异常情况,应该维持对象尤其是关乎安全的对象的状态一致性。常用的维持对象一致性的技术包括:

  1. 输入校验(例如对方法的参数进行检测)
  2. 改变逻辑次序让可能会导致异常的代码在修改对象前执行
  3. 在失败时使用回滚
  4. 对一个对象的临时复制进行所需的操作&#
最低0.47元/天 解锁文章
时大雷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java编程思想读书笔记.pdf
11-27
Java编程思想读书笔记.pdf
Java面向对象编程学习笔记.pdf
12-01
"Java面向对象编程学习笔记.pdf" Java面向对象编程学习笔记Java程序设计语言中面向对象编程(Object-Oriented Programming,OOP)的一份学习笔记。面向对象编程是一种软件设计方法,它强调使用对象和类来模拟现实...
Java中的异常捕捉try为什么要尽量使用具体标准的异常,为什么不要直接使用Exception、RuntimeException、Error、Throwable,避免在try catch中进行业务编码
qq_42623400的博客
04-18 7180
异常的超类 编译时异常也可以叫做检查性Exception,检查类异常都是继承此接口, Error程序运行错误 运行时异常RuntimeException 这是java的默认配置。 当你把一个异常定义在方法的throws定义中,你就可以不处理这个异常,系统会自动把该异常抛出。 而RuntimeException则是java设计中所有方法都默认定义在throws中了,所以只要你不捕获,就会一层一层的往上抛出。 除非你显示的标准要捕获它。否则不会被捕获。也不会造成编译异常。 其实大部分的RuntimeExcept
学习-Java异常处理之RuntimeException之避免异常抛出(13)
weixin_46075438的博客
02-18 3731
任务描述 本关任务:接收给定的两个整数(第一个为被除数,第二个为除数),求这两个数的商,当除数为 0 时,不捕获但要避免抛出运行时异常 ArithmeticException。 相关知识 常见运行时异常 在之前的学习中,我们了解到异常可分为运行时异常(RuntimeException)和非运行时异常,常见运行时异常有: ArithmeticException(算术运算异常):当除数为 0 时就会抛出该异常; IndexOutOfBoundsException(数组越界异常):当数组只有三个元素,
不能抛出RuntimeException类型的异常
evilcry2012的专栏
12-28 2978
不能抛出RuntimeException类型的异常 public class RuntimeException { private static void throwit() throws Exception { System.out.print("throwit "); //throw new Exception(); throw new RuntimeException(); /* ecli...
[改善Java代码]不要在构造函数中抛出异常
zhouxukun123的专栏
10-23 2988
[改善Java代码]不要在构造函数中抛出异常转载(有改动) Java的三种异常机制有:一、Error类以及其子类表示的是错误,它是不需要程序员处理也不能处理的异常,比如 VirtualMachineError 虚拟机错误,ThreadDeath 线程僵尸等。二、RuntimeException 类及其子类表示的是非受检查异常,是系统可能会抛出的异常,程序员可以去处理,也可以不去处理,最经典的就是 Nu
Java自学-异常处理 Throwable
我的博客
05-05 506
Java Throwable类 步骤 1 : Throwable Throwable是类,Exception和Error都继承了该类 所以在捕捉的时候,也可以使用Throwable进行捕捉 如图: 异常分Error和Exception Exception里又分运行时异常和可查异常。 package exception; import java.io.File; import java.io....
Java并发编程学习笔记
04-11
1、线程安全和锁 Synchronized 底层实现原理 2、可重入锁与 Synchronized 的其他特性 3、ThreadLocal 的底层实现与使用 4、ReentrantLock底层实现和如何使用 5、Condition源码分析 6、ReentrantReadWriteLock底层...
Java编程思想笔记(全)
最新发布
06-14
第 1 章 对象导论 第 2 章 一切都是对象 第 3 章 操作符 第 4 章 控制执行流程 第 5 章 初始化和清理 ...第 18 章 Java I/O 系统 第 19 章 枚举类型 第 20 章 注解 第 21 章 并发 第 22 章 图形化用户界面
Java 并发编程学习笔记之Synchronized简介
09-02
虽然多线程编程极大地提高了效率,但是也会带来一定的隐患。比如说两个线程同时往一个数据库表中插入不重复的数据,就可能会导致...今天我们就来一起讨论下线程安全问题,以及Java中提供了什么机制来解决线程安全问题。
泛化的抛出异常【避免】
u012045045的博客
06-21 818
一级类: 异常处理二级类:泛化的抛出异常数量: 9详细信息:    程序抛出一个泛化的异常,使调用者很难处理和修复发生的异常。    例如:下面代码片段中,程序抛出了一个Exception异常。    public void doExchange() throws Exception {        ...    }    这使调用者很难理解和处理程序所发生的异常。修复建议:    不应泛化的抛...
异常 Throwable
Yyuxiansheng的博客
02-08 305
Throwable Exception 异常:代表出现之后可以被捕获处理的一种不会大范围影响程序运行过程的错误 异常的捕获过程使用: try { } catch(? extends Exception){ } catch可以写多个块,每个块负责不同的Exception,这些个异常是需要有顺序的,其顺序应该是越子类越靠前 异常抛出的过程:使用throw抛出 异常从根本上讲,也是一个类型的对象,我们在发生异常的时候,如果要自己去抛出某个异常,需要首先创建这个异常的对象,然后使用throw这个关键字,来将异常抛
JAVA 代码安全规范
一杯咖啡的渗透记忆
02-05 1023
1输入验证和数据合法性校验 程序接受数据可能来源于未经验证的用户,网络连接和其他不受信任的来源,如果未对程序接受数据进行校验,则可能会引发安全问题。 1.1避免SQL注入 1.1.1 使用PreparedStatement预编译SQL,解决SQL注入问题,传递给PreparedStatement对象的参数可以被强制进行类型转换,确保在插入或查询数据时与底层的数据库格式匹配。 String...
Throwable 中的RuntimeException和Exception
迎着晨曦,Keep Going
08-30 1145
1.java将所有的错误封装为一个对象,其根本父类为Throwable, Throwable有两个子类:Error和Exception。 2.Error是Throwable 的子类,用于指示合理的应用程序不应该试图捕获的严重问题。大多数这样的错误都是异常条件。虽然 ThreadDeath 错误是一个“正规”的条件,但它也是 Error 的子类,因为大多数应用程序都不应该试图捕获它。在执行...
应该手动抛出什么异常?RuntimeException?
evilcry2012的专栏
12-27 5282
Java程序员应该手动抛出什么异常?不能抛出RuntimeException吧?  收藏帖子 回复 秦三行 结帖率 96.88%  if(sectionCodeT!=null && !"".equals(sectionCodeT)){ boolean b = this.validateCodeBySectionType(s.getSectionType(),sect...
Throwable可以被抛出
445822357
09-23 2234
1.以下哪四个能使用throw抛出? ADEFA. Error B. Event C. ObjectD. Throwable E. Exception F. RuntimeException
java编程规范
weixin_38166560的博客
04-05 1111
地址 一、单选题 1. 如下关于集合类的描述错误的是 B A. 含有集合意义的属性命名,尽量包含其复数的意义 B. 集合中的数据不需要释放,垃圾回收器会自动回收 C. 集合必须指定模板类型 D. 使用集合类时要设置初始化容量 2. 关于线程以下说法错误的有B A. 新起一个线程,都要使用Thread.setName(“…”)设置线程名 B. 在JDK1.5或更新的版本中...
Java核心编程笔记fourth
12-02
Java核心编程笔记fourth

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值