内容发布更新时间 : 2024/11/15 16:59:39星期一 下面是文章的全部内容请认真阅读。
FindBugs1.3.9规则整理
FindBugs1.3.9规则整理
Findbugs中把影响代码质量分为以下几个部分: Security 关于代码安全性防护
序号 Description 1. Dm: Hardcoded constant database password (DMI_CONSTANT_DB_PASSWORD) 代码中创建DB的密码时采用了写死的密码。 2. Dm: Empty database password (DMI_EMPTY_DB_PASSWORD) 创建数据库连接时没有为数据库设置密码,这会使数据库没有必要的保护。 3. HRS: HTTP cookie formed from untrusted input (HRS_REQUEST_PARAMETER_TO_COOKIE) 此代码使用不受信任的HTTP参数构造一个HTTP Cookie。 4. HRS: HTTP Response splitting vulnerability 备注 (HRS_REQUEST_PARAMETER_TO_HTTP_HEADER) 在代码中直接把一个HTTP的参数写入一个HTTP头文件中,它为HTTP的响应暴露了漏洞。 5. SQL: Nonconstant string passed to execute method on an SQL statement (SQL_NONCONSTANT_STRING_PASSED_TO_EXECUTE) 该方法以字符串的形式来调用SQLstatement的execute方法,它似乎是动态生成SQL语句的方法。这会更容易受到SQL注入攻击。 6. XSS: JSP reflected cross site scripting vulnerability (XSS_REQUEST_PARAMETER_TO_JSP_WRITER) 在代码中在JSP输出中直接写入一个HTTP参数,这会造成一个跨站点的脚本漏洞。
Experimental 序号 1. Description LG: Potential lost logger changes due to weak reference in OpenJDK (LG_LOST_LOGGER_DUE_TO_WEAK_REFERENCE) OpenJDK的引入了一种潜在的不兼容问题,特别是,java.util.logging.Logger的行为改变时。它现在使用内部弱引用,而不是强引用。–logger配置改变,它就是丢失对logger的引用,这本是一个合理的变化,但不幸的是一些代码对旧的行为有依赖关系。这意味着,当进行垃圾收集时对logger配置将会丢失。例如: public static void initLogging() throws Exception { Logger logger = Logger.getLogger(\ logger.addHandler(new FileHandler()); // call to change logger configuration 备注 logger.setUseParentHandlers(false); // another call to change logger configuration } 该方法结束时logger的引用就丢失了,如果你刚刚结束调用initLogging方法后进行垃圾回收,logger的配置将会丢失(因为只有保持记录器弱引用)。 public static void main(String[] args) throws Exception { initLogging(); // adds a file handler to the logger System.gc(); // logger configuration lost Logger.getLogger(\message\expected } 2. OBL: Method may fail to clean up stream or resource (OBL_UNSATISFIED_OBLIGATION) 这种方法可能无法清除(关闭,处置)一个流,数据库对象,或其他资源需要一个明确的清理行动。 一般来说,如果一个方法打开一个流或其他资源,该方法应该使用try / finally块来确保在方法返回之前流或资源已经被清除了。这种错误模式基本上和OS_OPEN_STREAM和ODR_OPEN_DATABASE_RESOURCE错误模式相同,但是是在不同在静态分析技术。我们正为这个错误模式的效用收集反馈意见。
Bad practice代码实现中的一些坏习惯 序号 Description 备注