findbugs:may expose internal representation by returning

最新推荐文章于 2021-05-16 07:44:35 发布
最新推荐文章于 2021-05-16 07:44:35 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: java基础 文章标签: findbugs sonar java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjxbj/article/details/84506834
版权

findbugs:
1. *** getXXX() may expose internal representation by returning ***.getXXX
2. *** setXXX(DATE )may expose internal representation by storing an externally mutable object into setXXX ***

翻译:
1. getXXX()这个返回数据的方法可能会暴露内部的实现,也就是影响原本对象内部的数据安全。
2. setXXX(DATE)方法这个设置属性值的方法可能会暴露内部的实现,也会影响原本对象内部的数据安全。

分析:
上述findbugs的bug常出现在JavaBean中的setXXX(Object)、getXXX()、构造方法等中,原因都是一个,类似数组、Date等和其他所有java对象一样传递的都是引用,当你外部改变了这些引用值的时候,显然会影响使用这些引用的JavaBean。

解决:
所有的对象型如数组、Date等都人为采用传值(并增加空逻辑判断)。

public Date getDate() {
    if(date == null) {
        return null;
    }
    return (Date) date.clone();  
}  
public void setDate(Date date) { 
    if(date == null) {
        this.date = null;
    }else {
        this.date = (Date) date.clone();
    }  
}

 

举例:
一个JavaBean中定义了如下属性和getXXX(),setXXX(),构造方法:

package com.bijian.study;

import java.util.Date;
import java.util.concurrent.TimeUnit;

public class Message {

    private String[] messages;  
    private Date date;  
      
    public Message(String[] messages, Date date) {  
        this.messages = messages;  
        this.date = date;  
    }  
      
    public void setMessages(String[] messages) {  
        this.messages = messages;  
    }  
      
    public String[] getMessages() {  
        return messages;  
    }  
    public Date getDate() {  
        return date;  
    }  
    public void setDate(Date date) {  
        this.date = date;  
    }  
    
    @SuppressWarnings("deprecation")
    public static void main(String[] args) throws InterruptedException {  
        String[] msg = new String[]{"msg1","msg2"};  
        Message message = new Message(msg,  new Date());  
        System.out.println("原本date\t"+message.getDate());  
          
        /* getXXX() */
        Date date2 = message.getDate(); // 获取引用  
        date2.setHours(2);              // 更改引用  
        System.out.println("getXXX()后\t"+message.getDate());  
          
        /* setXXX() */
        TimeUnit.SECONDS.sleep(2);  
        Date date3 = new Date();  
        message.setDate(date3);         // 主动更改  
        System.out.println("主动更改date\t"+message.getDate());  
        date3.setHours(2);              // 更改date3的值,看引用这个值的数据是否会编号  
        System.out.println("setXXX()后\t"+message.getDate());  
          
        /* Constructor() */  
        System.out.println("\r\n原本message\t"+message.getMessages()[0]);  
        msg[0] = "mofify-msg1";  
        System.out.println("构造对象的数组来源引用发生改变\t"+message.getMessages()[0]);  
    }
}

 运行结果:

原本date	Mon Nov 25 19:41:10 CST 2013
getXXX()后	Mon Nov 25 02:41:10 CST 2013
主动更改date	Mon Nov 25 19:41:12 CST 2013
setXXX()后	Mon Nov 25 02:41:12 CST 2013

原本message	msg1
构造对象的数组来源引用发生改变	mofify-msg1

参考: http://stackoverflow.com/questions/8951107/malicious-code-vulnerability-may-expose-internal-representation-by-returning-r
wjxbj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FindBugs分析记录May expose internal representation by returning reference to mutable ob
WangPing1223的博客
08-03 3729
使用IDE的findbugs找到这么一个bug:May expose internal representation by incorporating reference to mutable object 抛出潜藏bug的代码 public class AlertCreateTaskRuleDTO extends BaseDTO {     public  String[] get
findbugs提示:May expose internal representation by incorporating reference to mutable object 的理解.
David Gandy
11-13 1375
版权声明:觉得此文有用的,不嫌麻烦的,就留个言呐,或者点个赞呐(额,就是文章底部的“顶”啦),要是嫌弃麻烦呢,也麻烦点个赞嘛,要是实在不想点赞呢,也不是不可以。 但是,你要是想踩一脚呢,那还是赶紧,马上,快快的闪人。 小心我手里三十米长的大刀。 哼哼。想想都怕 !!!    https://blog.csdn.net/qq_27093465/article/details/65447866 全部提...
FindBugs EI_EXPOSE_REP EI_EXPOSE_REP2
天青云月白,海浅鱼龙跃
07-13 1万+
提示信息: EI: May expose internal representation by returning reference to mutable object (EI_EXPOSE_REP) Returning a reference to a mutable object value stored in one of the object’s fields exposes the...
findbugs:may expose internal representation by returning
04-17
NULL 博文链接:https://futeng.iteye.com/blog/1833449
Findbugs中的BUG:May expose internal representation by returning reference to mutable object 引发问题说明
北辰之北灬的博客
09-27 1万+
在使用IDEA的findbugs的插件检测model层类的时候发生如下错误: May expose internal representation by returning reference to mutable object Returning a reference to a mutable object value stored in one of the object's field...
Findbugs中的BUG:May expose internal representation by returning reference to mutable object
绅士jiejie的博客
12-15 1236
一个简单的类A: @Data public class A { private Date time; } 现在为类A中的time属性赋值,测试代码如下: public static void main(String[] args) { A a = new A(); Date date = new Date(); a.setTime(date); System.out.println(a.getTime()); date
findbugs常见Bug以及处理办法
07-20
- **May expose internal representation by returning reference to mutable object**:调用get方法,获得对象属性,获得的对象属性是一个可变的对象。 - **描述**:返回内部可变对象的引用,可能会导致外部实体...
FindBugs错误描述和解决方法
热门推荐
喵星人
01-09 2万+
FindBugs常见错误描述和解决方法 (一) [DLS_DEAD_LOCAL_STORE] 描述: Dead store to 未使用的局部变量 解决方法:局部变量定义后未使用;实例化对象后又重新对该对象赋值 (二) [ST_WRITE_TO_STATIC_FROM_INSTANCE_METHOD]  描述:Write to static field 通过实例方法
findbug 常见异常处理
08-18
May expose internal representation by returning reference to mutable object 描述:调用get方法,获得对象属性,获得的对象属性是一个可变的对象; b) 建议处理 Dead store to local variable 描述:对一个局部...
eclipse插件FindBugs各种bug描述及解决方法
sundful的专栏
01-06 767
1 )原代码如下: protected String[] a = null; public void test(String[] str){     this.a = str; } findbugs描述为: This code stores a reference to an externally mutable object into the internal representat...
IntelliJ IDEA 代码检查规范QAPlug
ankan7400的博客
05-23 1684
转自:http://blog.csdn.net/jizi7618937/article/details/51500725 Avoid Array Loops 数组之间的拷贝使用System.arrayCopy更加高效 byte[] ReceiveBytes =new byte[length1+ length2]; for(inti =0; i < length1;...
FindBugs
weixin_44019182的博客
08-17 1288
May expose internal representation by returning reference to mutable object Returning a reference to a mutable object value stored in one of the object’s fields exposes the internal representation of ...
findbug的错误类型及修改建议
智障少年木易
09-07 1万+
分配了findbug修正的任务,以下是自己findbug中错误类型的整理。ME_ENUM_FIELD_SETTER 将方法改成private或者是移除ST_WRITE_TO_STATIC_FROM_INSTANCE_METHOD 描述:Write to static field 通过实例方法更新静态属性 常见于常量类,直接通过类名.常量名获取的方式违背了封装的原则,findbugs不提倡使用,
简单的单例,一句话概括“整个程序中只存在一个实例”
qq_38384460的博客
12-15 411
单例的学习 1、单例是什么 单例,顾名思义,就是一个实例的意思,这样的优势在于节约内存,减少没有必要的创建对象
linux ps stat dls,findbugs 常见问题 及解决方案
weixin_28917337的博客
05-16 1396
1Bad practice坏的实践一些不好的实践,下面列举几个:HE:类定义了equals(),却没有hashCode();或类定义了equals(),却使用Object.hashCode();或类定义了hashCode(),却没有equals();或类定义了hashCode(),却使用Object.equals();类继承了equals(),却使用Object.hashCode()。SQL:St...
FindBugs错误修改指南
qq_29638051的博客
07-30 2475
1. EC_UNRELATED_TYPES Bug: Call to equals() comparing different types Pattern id: EC_UNRELATED_TYPES, type: EC, category: CORRECTNESS 解释: 两个不同类型的对象调用equals方法,如果equals方法没有被重写,那么调用object的==,永远不会相等;如果equals方法被重写,而且含有instanceof逻辑,那么还是不会相等。 解决方法: 应该改为str.t
Eclipse插件FindBugsJava代码分析与安装教程
2. 配置FindBugs:在Eclipse中配置FindBugs规则集,可以根据项目需求选择不同的检查级别,比如标准检查(default)、严格的检查(strict)或者自定义规则。规则集可以针对代码中的常见错误、潜在的性能问题以及安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值