代码之家  ›  专栏  ›  技术社区  ›  Ben S

Java中使用原始类型的安全性含义是什么?

raw-types collections security java
  •  4
  • Ben S  · 技术社区  · 14 年前

    我现在正在审查一个大型Java EE应用程序中各种警告的安全含义。由于大多数代码都有几年的历史,因此它包含了许多原始集合类型的用途: 

    List items = new List();

    而不是参数化的集合类型: 

    List<Item> items = new List<Item>();

    我能想到的唯一安全含义是,原始类型不能在编译时进行静态类型检查,并且可能导致运行时错误,例如 ClassCastException 这取决于代码中出现的位置,可能导致拒绝服务。

    使用我没有想到的原始类型还有什么其他含义吗?

    2 回复  |  直到 14 年前
        1
  •  5
  •   Powerlord    14 年前

    我想不出任何其他的安全问题。

    对于非安全性影响,泛型类型还为返回泛型的类型在字节码中执行显式强制转换*。当然,这对用户是透明的,并且似乎返回的类型是泛型类型。

    例如: 

    List<Item> items = new ArrayList<Item>();
// .get(int) and remove(int) return Item automatically

    *这是因为 type erasure .

        2
  •  0
  •   rook    14 年前

    缺乏类型安全可能导致安全问题。例如,假设此列表正用于构建查询:

    "select name from users where id="+items[x]

    如果项包含字符串值 union select load_file('/var/passwd') 攻击者可以读取系统上的任意文件。这是有效负载,假设您使用MySQL。如果项是整数列表,则此查询不易受到SQL注入的攻击。

    推荐文章
    Farid  ·  限制django每个客户的访问
    2 年前
    josegp  ·  在Nmap中-p-tag是什么意思
    2 年前
    Anony Mous  ·  Python内置的哈希方法可靠且安全吗?[已关闭]
    2 年前
    Danny Gersh  ·  让网站成员上传js供其他成员使用有什么危险?
    2 年前
    Anonymous Creator  ·  在javascript中重新使用已通过身份验证的mvc客户端
    6 年前
    sauumum  ·  相互身份验证:ServerHelloDone之后“收到致命警报:握手失败”
    6 年前
    kramer65  ·  如何根据网站用户在S3上添加非公共网站文件?
    6 年前
    derf26  ·  如何阻止React Web包包含包中的脚本。json
    6 年前
    user8663960  ·  最好也是最简单的方法是保护登录表单的安全
    6 年前
    Nyein Chan Wynn  ·  Android:如何在生成指纹保护的密钥后立即使用它进行加密?
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号