java安全編碼指南之堆污染的示例分析

這篇文章主要介紹java安全編碼指南之堆污染的示例分析，文中介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們一定要看完！

產生堆污染的例子

有同學可能會問了，既然JDK5引入了泛型，為什么還會出現堆污染呢？

這是一個好問題，讓我們看一個例子：

public void heapPollution1(){
    List normalList= Arrays.asList("www.flydean.com",100);
    List<Integer> integerList= normalList;
}

上面的例子中，我們使用Arrays.asList創建了一個普通的List。

這個List中包含了int和String兩種類型，當我們將List賦值給List的時候，java編譯器并不會去判斷賦值List中的類型，integerList中包含了非Integer的元素，最終導致在使用的時候會出現錯誤。

直接給List賦值不會進行類型檢查，那么如果我們是直接向List中添加元素呢？

我們看下下面的例子：

private void addToList(List list, Object object){
    list.add(object);
}

@Test
public void heapPollution2(){
    List<Integer> integerList=new ArrayList<>();
    addToList(integerList,"www.flydean.com");
}

上面的例子中，我們定義了一個addToList方法，這個方法的參數是一個普通的List，但是我們傳入了一個List。

結果，我們發現list.add方法并沒有進行參數類型校驗。

上面的例子該怎么修改呢？

我們需要在addToList方法的List參數中，也添加上類型校驗：

private void addToList(List<Integer> list, Object object){
    list.add(object);
}

如果addToList是一個非常通用的方法怎么辦呢？在addToList的參數中添加參數類型是現實的。

這個時候，我們可以考慮使用Collections.checkedList方法來將輸入的List轉換成為一個checkedList，從而只接收特定類型的元素。

public void heapPollutionRight(){
    List<Integer> integerList=new ArrayList<>();
    List<Integer> checkedIntegerList= Collections.checkedList(integerList, Integer.class);
    addToList(checkedIntegerList,"www.flydean.com");
}

運行上面的代碼，我們將會得到下面的異常：

java.lang.ClassCastException: Attempt to insert class java.lang.String element into collection with element type class java.lang.Integer

更通用的例子

上面我們定義了一個addToList方法，因為沒有做類型判斷，所以可能會出現堆污染的問題。

有沒有什么辦法既可以通用，又可以避免堆污染呢？

當然有的，我們看下面的實現：

private <T> void addToList2(List<T> list, T t) {
    list.add(t);
}

public <T> void heapPollutionRight2(T element){
    List<T> list = new ArrayList<>();
    addToList2(list,element);
}

上面的例子中，我們在addToList方法中定義了一個參數類型T，通過這樣，我們保證了List中的元素類型的一致性。

可變參數

事實上，方法參數可以是可變的，我們考慮下面的例子：

private void addToList3(List<Integer>... listArray){
    Object[] objectArray = listArray;
    objectArray[0]= Arrays.asList("www.flydean.com");
    for(List<Integer> integerList: listArray){
        for(Integer element: integerList){
            System.out.println(element);
        }
    }
}

上面的例子中我們的參數是一個List的數組，雖然List中的元素類型固定了，但是我們可以重新賦值給參數數組，從而實際上修改掉參數類型。

如果上面addToList3的方法參數修改為下面的方式，就不會出現問題了：

private void addToList4(List<List<Integer>> listArray){

這種情況下，List的類型是固定的，我們無法通過重新賦值的方式來修改它。

以上是“java安全編碼指南之堆污染的示例分析”這篇文章的所有內容，感謝各位的閱讀！希望分享的內容對大家有幫助，更多相關知識，歡迎關注億速云行業資訊頻道！