java FindBugs EI_EXPOSE_REP bug是否只关注日期?
Findbugs在我的代码中报告了很多EI_EXPOSE_REP和EI_EXPOSE_REP2 bug,每次我编写getter和setter时都是这样:
public Date getDate() {
return date;
}
public void setDate(final Date date) {
this.date = date;
}
我理解报告的含义,我不应该将我的对象的内部引用暴露给外部世界,这样它们就不会被恶意/恶意代码修改。解决办法是:
public Date getDate() {
return date == null ? null : date.clone();
}
public void setDate(Date date) {
this.date = date == null ? null : date.clone();
}
我的问题不在这里。我很惊讶这份报告总是涉及日期。为什么不是所有其他可变对象?我认为这个报告也适用于所有可变对象,不是吗
我是否应该将这个“良好实践”扩展到所有处理可变对象的访问器
给我你的建议,谢谢
# 1 楼答案
Date对象有setMonth和其他setter来操作值,而大多数其他可变表都没有setter来更改其值(例如Integer没有任何setter)
Finbug只将案例1视为安全威胁
# 2 楼答案
我当然希望这份报告涉及所有可变对象,但我怀疑FindBugs知道某些常见的违规者
我通常会小心地通过getter暴露内部状态,例如
意味着
因此,有两种方法
类似的参数与setter和constructor参数有关
请注意,为了保护自己,你会发现自己在曝光时复制了很多物体,并且可能会做很多额外的工作。这是一种明智使用的技术,值得了解客户机对象是谁,以及您是否可以控制和/或信任他们