0
當我進行聲吶掃描時,我得到的漏洞是「可變成員不應直接存儲或返回」。在提到我們應克隆可變對象或返回不可修改列表的情況下,也會提供此解決方案。 但是,如果我克隆該對象,並在稍後如果我想更新該值,那麼如何訪問原始對象,因爲我已經返回了克隆的對象? 對此的任何想法將不勝感激。在此先感謝聲吶掃描 - 可變成員不應該直接存儲或返回
A
回答
2
但是如果我克隆對象,後來,如果我要更新的值,那麼我怎麼能訪問原來的對象,因爲我已經回到了克隆的對象
你不。至少不是來自主叫方。
我這裏走出去的肢體,並說我們在談論一個列表,因此:
public class MyClass {
private List<String> strings;
public List<String> getStrings(){
// returns a copy, so member list is still intact
return new ArrayList<String>(strings);
}
public void addString(String newString) {
strings.add(newString);
}
public void dropString(String oldString) {
strings.remove(oldString);
}
public void replaceString(String oldString, String newString) {
dropString(oldString);
addString(newString);
}
}
換句話說,你控制通過所屬的類訪問成員的行動。如果你真的想要一個任何人都可以獲得和更新的公共成員(不是我推薦的),那麼放棄獲得者並且讓成員public。
相關問題
- 1. 聲吶問題 - 數組直接存儲
- 2. 返回可變其中返回值應該是不可變的
- 3. 聲吶4.2:logback.xml不存在
- 4. 掃描儀循環,應該返回每個字符串,
- 5. DynamoDB API篩選掃描不會返回
- 6. 掃描程序不時返回NoSuchElementException
- 7. DynamoDB掃描:不返回正確的值
- 8. Java掃描器hasNext()不返回false
- 9. 如何掃描聲納掃描儀
- 10. 掃描輸入時不將值存儲在變量中
- 11. Java掃描器不返回多個字變量
- 12. 聲吶不啓動
- 13. PHP7:不應該標量返回類型聲明接受整數?
- 14. 如何掃描單詞並存儲從C中掃描的行?
- 15. 條形碼掃描的VBA Excel代碼返回掃描時間
- 16. 如何直接掃描SQL索引表
- 17. C#代碼掃描:聲納掃描儀與SonarQube掃描儀爲MSBuild
- 18. 聲吶「證書不應該被硬編碼」錯誤
- 19. 是否可以掃描LAN或Wi-Fi連接的掃描儀機器?
- 20. HTML掃描圖像掃描儀從網頁上並保存圖像到本地文件夾或返回頁面
- 21. Multipage WIA掃描(docfeeder)掃描1頁並阻止掃描器
- 22. Java聲音API - 掃描MIDI設備
- 23. JavaScript中是否有掃描器方法(或直接輸入法)?
- 24. 我應該聲明這是const int成員變量的類嗎?
- 25. 全表掃描或索引掃描
- 26. 掃描變量
- 27. 存儲可選返回nil
- 28. 直接訪問成員變量或作爲參數傳遞?
- 29. 可變參數成員變量的異構存儲
- 30. 如何直接在我的應用上集成條形碼掃描儀?
在st開發者之間進行討論後,還有一點我得到了。如果調用者來自我們的系統/應用程序,而不是來自外部,那麼仍然傳遞可變對象將是一個漏洞?因爲即使調用者更改了可變對象,因爲它來自系統內部,這也不會影響系統。 – Swapneel
@Swapneel我不是安全專家,但我相信假設調用者只會並且總是「內部」被認爲是有風險的。但隨後安全人士對自然和未來都是偏執狂。 –
感謝您的回覆。讚賞 – Swapneel