JSP安全编程实例浅析

　但是我不清楚为什么他只对密码而不对用户名过滤星号。另外，正斜杠似
乎也应该被列到“黑名单”中。我还是认为用正则表达式只允许输入指定范围
内的字符来得干脆。 

　　这里要提醒一句：不要以为可以凭借某些数据库系统天生的“安全性”就
可以有效地抵御所有的攻击。pinkeyes的那篇《PHP注入实例》就给那些依赖
PHP的配置文件中的“magic_quotes_gpc = On”的人上了一课。 

　　五、String对象带来的隐患 

　　Java平台的确使安全编程更加方便了。Java中无指针，这意味着 Java 程序不
再像C那样能对地址空间中的任意内存位置寻址了。在JSP文件被编译成 .class 文
件时会被检查安全性问题，例如当访问超出数组大小的数组元素的尝试将被拒绝，
这在很大程度上避免了缓冲区溢出攻击。但是，String对象却会给我们带来一些安
全上的隐患。如果密码是存储在 Java String 对象中的，则直到对它进行垃圾收集
或进程终止之前，密码会一直驻留在内存中。即使进行了垃圾收集，它仍会存在
于空闲内存堆中，直到重用该内存空间为止。密码 String 在内存中驻留得越久，
遭到窃听的危险性就越大。更糟的是，如果实际内存减少，则操作系统会将这个
密码 String 换页调度到磁盘的交换空间，因此容易遭受磁盘块窃听攻击。为了将
这种泄密的可能性降至最低（但不是消除），您应该将密码存储在 char 数组中，
并在使用后对其置零（String 是不可变的，无法对其置零）。 

　　六、线程安全初探 

　　“JAVA能做的，JSP就能做”。与ASP、PHP等脚本语言不一样，JSP默认是
以多线程方式执行的。以多线程方式执行可大大降低对系统的资源需求，提高系
统的并发量及响应时间。线程在程序中是独立的、并发的执行路径，每个线程有
它自己的堆栈、自己的程序计数器和自己的局部变量。虽然多线程应用程序中的
大多数操作都可以并行进行，但也有某些操作（如更新全局标志或处理共享文件）
不能并行进行。如果没做好线程的同步，在大并发量访问时，不需要恶意用户的
“热心参与”，问题也会出现。最简单的解决方案就是在相关的JSP文件中加上:
 ＜%@ page isThreadSafe="false" %＞指令，使它以单线程方式执行，这时，所有客
户端的请求以串行方式执行。这样会严重降低系统的性能。我们可以仍让JSP文件
以多线程方式执行，通过对函数上锁来对线程进行同步。一个函数加上synchronized 
关键字就获得了一个锁。看下面的示例： 

public class MyClass{ 
int a; 
public Init() {//此方法可以多个线程同时调用 
　a = 0; 
} 
public synchronized void Set() {//两个线程不能同时调用此方法 
　if(a＞5) { 
　　a= a-5; 
　} 
} 
}  

　　但是这样仍然会对系统的性能有一定影响。一个更好的方案是采用局部变量代
替实例变量。因为实例变量是在堆中分配的，被属于该实例的所有线程共享，不是
线程安全的，而局部变量在堆栈中分配，因为每个线程都有它自己的堆栈空间，所
以这样线程就是安全的了。比如凌云论坛中添加好友的代码： 

public void addFriend(int i, String s, String s1) 
throws DBConnectException 
{ 
　try 
　{ 
　　if…… 
　　else 
　　{ 
　　　DBConnect dbconnect = new DBConnect
("insert into friend (authorid,friendname) values (?,?)"); 
　　　dbconnect.setInt(1, i); 
　　　dbconnect.setString(2, s); 
　　　dbconnect.executeUpdate(); 
　　　dbconnect.close(); 
　　　dbconnect = null; 
　　} 
　} 
　catch(Exception exception) 
　{ 
　　throw new DBConnectException(exception.getMessage()); 
　} 
}  

　　下面是调用： 

friendName=ParameterUtils.getString(request,"friendname"); 
if(action.equals("adduser")) { 
　forumFriend.addFriend(Integer.parseInt(cookieID),friendName,cookieName); 
　errorInfo=forumFriend.getErrorInfo(); 
}  

　　如果采用的是实例变量，那么该实例变量属于该实例的所有线程共享，
就有可能出现用户A传递了某个参数后他的线程转为睡眠状态，而参数被用
户B无意间修改，造成好友错配的现象。

文章来源于领测软件测试网 https://www.ltesting.net/