java的攻与防

man_yutao

浏览: 39512 次
性别:
来自: 梦的国度

最近访客更多访客>>

shuist

yzhqndudu

laiblame

929337996

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

语言

java

看到评论里很多人都说没有用，还有觉得去掉这个方法，那个方法的解决方案，在这个例子中怎么改都行，因为这个例子是我乱编的，我真正要说的是一种解决方案。
同志们呀，要领会精神！

我们的程序有时可能会被无意的进行了攻击，现在就来举个被攻击的例子，说明如何防御。

先创建一个工作类Work，只有一个简单的工资属性salary

public class Work{
private int salary;
public Work(int salary){
this.salary=salary;
}
public void setSalary(int salary){
this.salary=salary;
}
public int getSalary(){
return salary;
}
public String toString(){
	return "work.salary:"+salary;
}
}

在创建一个人员类Person，有人员姓名、工作两个属性

public class Person{
private final String name;
private final Work work;
public Person(String name,Work work){
	if(work.getSalary()<0) throw new IllegalArgumentException(" 工作的工资不能小于0");
	this.name=name;
	this.work=work;
} 
public Work getWork(){
	return work;
}
public String toString(){
	return "name:"+name+"  work:"+work;
}
}

这个类已经很小心了，已经控制工作的工资不能小于0了。

我现在来一个简单的调用

public class Test{
	public static void main(String[] args){
	Work work =new Work(3000);
	Person person=new Person("taoge",work);
	System.out.println(person);
	}
}

输出结果为
name:taoge work:work.salary:3000

目前一切都很正常，现在我来进行攻击。
调用代码改为

public class Test{
	public static void main(String[] args){
	Work work =new Work(3000);
	Person person=new Person("taoge",work);
	System.out.println(person);
	work.setSalary(-1);
	System.out.println(person);
	}
}

再来看看输出结果
name:taoge work:work.salary:3000
name:taoge work:work.salary:-1

完蛋了，工资竟然变成负值了。看来攻击很成功，现在进行防守了。
将Person类行进改造

public class Person{
private final String name;
private final Work work;
public Person(String name,Work work){
	if(work.getSalary()<0) throw new IllegalArgumentException(" 工作的工资不能小于0");
	this.name=name;
	//this.work=work;
	this.work=new Work(work.getSalary());
} 
public Work getWork(){
	return work;
}
public String toString(){
	return "name:"+name+"  work:"+work;
}
}

在执行下，看看结果
name:taoge work:work.salary:3000
name:taoge work:work.salary:3000
哈，不错，防守成功。

那我开始进行第二轮进攻了，攻击代码做如下修改

public class Test{
	public static void main(String[] args){
	Work work =new Work(3000);
	Person person=new Person("taoge",work);
	System.out.println(person);
	//work.setSalary(-1);
	person.getWork().setSalary(-1);
	System.out.println(person);
	}
}

在看看执行结果
name:taoge work:work.salary:3000
name:taoge work:work.salary:-1

又一次攻击成功，那我进行新一轮的防守了，Person代码做如下修改

public class Person{
private final String name;
private final Work work;
public Person(String name,Work work){
	if(work.getSalary()<0) throw new IllegalArgumentException(" 工作的工资不能小于0");
	this.name=name;
	//this.work=work;
	this.work=new Work(work.getSalary());
} 
public Work getWork(){
	//return work;
	return new Work(work.getSalary());
}
public String toString(){
	return "name:"+name+"  work:"+work;
}
}

在看看执行结果
name:taoge work:work.salary:3000
name:taoge work:work.salary:3000

哈，又一次防御成功。

2
顶

4
踩

分享到：

javascript实现作用域 | 关于一个ArrayList的例子思考

2011-12-23 16:21
浏览 1544
评论(13)
分类:编程语言
查看更多

13 楼 man_yutao 2011-12-30

zhglhy 写道

很不错，看来以后看代码得注意了！

谢谢了，又是一份鼓励呀

12 楼 man_yutao 2011-12-30

printfabcd 写道

aa87963014 写道

一点用都没。

我觉得挺有用，有时候，你返回的数据不想让别人修改或者他对你的修改没有用，只不过博主写的偏简单了点。

终于有人正面响应了，感动呀

11 楼 zhglhy 2011-12-30

很不错，看来以后看代码得注意了！

10 楼 printfabcd 2011-12-29

aa87963014 写道

一点用都没。

我觉得挺有用，有时候，你返回的数据不想让别人修改或者他对你的修改没有用，只不过博主写的偏简单了点。

9 楼西门大官人 2011-12-24

楼主是爱进攻更爱防守，爱皮鞭更爱滴蜡。

8 楼 Caedmon 2011-12-24

真心感觉这篇文章太蛋疼了。。。

7 楼 J__linux 2011-12-23

没用。。。

6 楼 ghsau 2011-12-23

这都能上首页，ITEYE下滑到什么程度了

5 楼貌似掉线 2011-12-23

关键部位那里加。
不然总不能每个调用的地方都要加个判断吧……

4 楼 yoyo837 2011-12-23

去掉set啊,,,构造函数给惨就去掉吧

3 楼 aa87963014 2011-12-23

一点用都没。

2 楼 xiaoweige 2011-12-23

1 楼 laiyu_ryan 2011-12-23

在set方法里面加上判断，还能攻击不？

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论