eclipse插件FindBugs各种bug描述及解决方法

小网客

浏览: 1250986 次
性别:
来自: 北京

最近访客更多访客>>

aoyouzi

jis117

emaiqi

duguyixiaono1

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

Java

Eclipse Cache Security C#C++

1 ）原代码如下：

protected String[] a = null;

public void test(String[] str){

this.a = str;

}

findbugs描述为：

This code stores a reference to an externally mutable object into the internal representation of the object. If instances are accessed by untrusted code, and unchecked changes to the mutable object would compromise security or other important properties, you will need to do something different. Storing a copy of the object is better approach in many situations.

网上翻译如下：

可能因使引用可指向多个对象而暴露内部存储结构。
这代码使一个指向外部多个对象的引用指向了一个内部对象存储地址。
如果实例被未被信任代码访问或多个对象发生了未经检查的改变就会危及安全性或其它重要属性，
你需要去做一些不同的事情。存储一个对象的拷贝在许多情况下会是一个更好的方法。

修改如下：

public void test(String[] str){

if(str!=null)

this.a = str.clone();

}

--------------------------------------------------------------------------------

2 ）在bean中定义数组类型的bug

[参考]http://topic.csdn.net/u/20080115/20/c8893ce0-5546-4762-97bb-9b00d10885cc.html

原代码：

private String[] name;

public String[] getName() {
return name;
}

public void setName(String[] name) {
this.name = name;
}

bug描述：

[EI] May expose internal representation by returning reference to mutable object [EI_EXPOSE_REP]

解决：

private String[] name;

public String[] getName() {
String[] temp = name;
return temp;
}

public void setName(String[] name) {
String[] temp = name;
this.name = temp;
}

说明：

所有容器类型如ArrayList和数组类型，如果你都自动生成get set，都会有这个警告。
这个警告的主要目的是：一般的get set直接把此对象中某一容器的引用放到外部，可以随便更改，违反了封装的原则，至于那个temp的方法，由于不是直接对内部容器进行操作，故没有警告，但没有实际意义，自己知道即可。

Returning a reference to a mutable object value stored in one of the object's fields exposes the internal representation of the object. If instances are accessed by untrusted code, and unchecked changes to the mutable object would compromise security or other important properties, you will need to do something different. Returning a new copy of the object is better approach in many situations.

--------------------------------------------------------------------------------

3）序列化问题

源码：

private Obj[] obj;

public void getObj(){

Obj[] tep = obj;

return tep;

}

public Obj[] setObj(Obj[] o){

Obj[] tep = o;

this.obj = tep;

}

bug描述：

This Serializable class defines a non-primitive instance field which is neither transient, Serializable, or java.lang.Object, and does not appear to implement the Externalizable interface or the readObject() and writeObject() methods. Objects of this class will not be deserialized correctly if a non-Serializable object is stored in this field.

修改：

public class Obj implements Serializable {

...

}

4 ) new Integer(int) 和 Integer.valueOf(int)

bug描述：

[Bx] Method invokes inefficient Number constructor; use static valueOf instead [DM_NUMBER_CTOR]

Using new Integer(int) is guaranteed to always result in a new object whereas Integer.valueOf(int) allows caching of values to be done by the compiler, class library, or JVM. Using of cached values avoids object allocation and the code will be faster.

说明:

[参考]http://www.cnblogs.com/hyddd/articles/1391318.html

FindBugs推荐使用Integer.ValueOf(int)代替new Integer(int)，因为这样可以提高性能。如果当你的int值介于-128～127时，Integer.ValueOf(int)的效率比Integer(int)快大约3.5倍。

下面看看JDK的源码，看看到Integer.ValueOf(int)里面做了什么优化：

public static Integer valueOf(int i) {
  final int offset = 128;
  if (i >= -128 && i <= 127) { // must cache
    return IntegerCache.cache[i + offset];
   }
  return new Integer(i);
}

private static class IntegerCache {
  private IntegerCache(){}

  static final Integer cache[] = new Integer[-(-128) + 127 + 1];
  static {
  for(int i = 0; i < cache.length; i++)
      cache = new Integer(i - 128);
   }
}

从源代码可以知道，ValueOf对-128～127这256个值做了缓存(IntegerCache)，如果int值的范围是：-128～127，在ValueOf(int)时，他会直接返回IntegerCache的缓存给你。

所以你会看到这样的一个现象：

public static void main(String []args) {
      Integer a = 100;
      Integer b = 100;
      System.out.println(a==b);

      Integer c = new Integer(100);
      Integer d = new Integer(100);
      System.out.println(c==d);
}

结果是：

true
false

因为：java在编译的时候 Integer a = 100; 被翻译成-> Integer a = Integer.valueOf(100);，所以a和b得到都是一个Cache对象，并且是同一个！而c和d是新创建的两个不同的对象，所以c自然不等于d。

再看看这段代码：

public static void main(String args[]) throws Exception{
         Integer a = 100;
         Integer b = a;
         a = a + 1;　　//或者a++;
         System.out.println(a==b);
}

结果是：false

因为在对a操作时(a=a+1或者a++)，a重新创建了一个对象，而b对应的还是缓存里的100，所以输出的结果为false。

--------------------------------------------------------------------------------

5) toString() 和 String

源码：

return a.toString();

bug描述

[Dm] Method invokes toString() method on a String [DM_STRING_TOSTRING]
Calling String.toString() is just a redundant operation. Just use the String.

修改为：

return (String) a;

***************************************************************************

未解决bug

1、

[DMI] Code contains a hard coded reference to an absolute pathname [DMI_HARDCODED_ABSOLUTE_FILENAME]

This code constructs a File object using a hard coded to an absolute pathname (e.g., new File("/home/dannyc/workspace/j2ee/src/share/com/sun/enterprise/deployment");

分享到：

HQL中like的使用 | Resin3和4对slf4j的要求

2011-06-14 13:56
浏览 3683
评论(0)
分类:编程语言
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论