在ASP.net中使用靜態方法進行安全驗證是不明智的？

Question

我有這樣

public static string DoSomethingToString(string UntrustedString) 
{ 
//parse format and change string here. 
return newString. 
} 

一個靜態方法，因爲我知道，多次調用：

static int myInt=0; 
public static int AddNumber() 
{ 
lock(someObject) 
{ 
myInt++; 
return myInt;  
} 
} 

會返回一個數量不斷增加（即頁面之間共享），我不知道在DoSomethingToString（）中如何處理變量的局部變量;

我想了解一個靜態方法可以安全/不安全地在ASP.net中使用的條件，只是爲了讓我的多線程大腦停留在這個主題上。

UPDATE：

大部分的討論一直圍繞價值類型。我如何知道何時可以安全地調用改變我的引用類型的方法（顯式或隱式）？查看MSDN文檔是否足夠，並且只使用表示「threadSafe」的方法？

一個例子，如果我所謂的隱式改變是使用String.Split（），因爲它是同一類的一部分。我認爲可能會分擔一些安全特徵，並且不需要擔心/盡職調查。 （？）

我打電話給一個明確的變化（因爲缺乏一個更好的詞）現在調用另一個方法來做工作......可以是靜態的或實例類。我認爲需要做更多的背景/研究工作來確保每個對象和方法都是ThreadSafe。

爲了討論起見假設我有這個簽名的方法：

ValidateStringAndContext(string untrustedString, Object myCustomUserContext) 

，它有它引用了以下對象

public SecurityChecker 
{ 
public static object CheckSecurityStatic(string DirtyData) 
{ 
//do string.split 
//maybe call a database, see if it's a token replay 
// 

//OR - alternate implementation 
SecurityChecker sc = new SecurityChecker(); 
if (sc.CheckSecurity(DirtyData)) 
    { 
    myCustomUserContext.Property1 = new GUID() 
    } 
return myCustomUserContext; 
} 


public class bool CheckSecurity(string DirtyData) 
{ 
//do string.split 
//maybe call a database, see if it's a token replay 
// return true if OK return false if not 
} 
} 

經修訂的課題

一個靜態方法

如果我創建的靜態「實用程序」類是否會遇到併發問題（變量相互覆蓋） e創建另一個對象的實例，然後調用方法--versus--直接簡單地調用靜態方法？

Answer 1

。它有更多的事情要做，是不是比在問題中的代碼可見的代碼一些非常重要的點...

DoSomeThingToString方法是靜態的，並且在該方法中聲明的任何變量對於該線程的調用堆棧都是本地的。如果正在使用的變量在函數外部定義，那麼您將在該內存上存在競爭條件。確保它看起來像這樣，只使用局部變量：

public static string DoSomethingToString(string UntrustedString) 
{ 
    var newString = UntrustedString; 
    // operations on newString... 
    return newString; 
} 

AddNumber方法可能會遇到其他可能不明顯的問題。如果這是真的你正在嘗試做的，添加了許多，像這樣做：

System.Threading.Interlocked.Increment(ref myInt); 

的Interlocked.Increment方法，保證了操作將在一個時鐘週期內完成。

否則，在某些罕見情況下，使用lock關鍵字可能會非常棘手。這裏有一些經驗法則。始終鎖定您創建並持有引用的對象，甚至更好，永不改變。這意味着：只讀，並在創建類時分配內存地址。看起來像這樣：

static int myInt=0; 
static readonly object aGoodLock = new object(); 
public static int MoreComplexIntStuff() 
{ 
    lock(aGoodLock) 
    { 
     // Do stuff with myInt... 
    } 
    return myInt; 
} 

此外，這不是整個故事。另一個問題是，無論何時訪問變量myInt，即使它在這個類的另一部分中 - 或者如果它是公共的並在其他地方使用，則需要用一個鎖包裝它。不僅僅是任何鎖，而是你使用的同一個鎖，aGoodLock。

用這種方法幫助你的開發人員（也許是你自己的長期記憶）的最好方法是使變量和包裝它的鎖private，並使用屬性公開myInt，你會小心使用get和set中的鎖。

Answer 2

調用你的靜態方法的每個線程都有自己的調用堆棧。對DoSomethingToString（）的每個調用都有自己的方法變量副本，完全獨立於其他線程對該方法的任何其他調用（除非將變量聲明爲靜態變量，即可能會混淆的變量 - 靜態變量只有在程序中可以訪問多個線程的一個實例）。

與往常一樣，當多個線程訪問共享資源時，您需要考慮併發性。當資源只存在於方法調用的上下文中時，併發性不是問題。

參見：https://stackoverflow.com/questions/511378/net-static-methods-and-its-effects-on-concurrencyt

Answer 3

我感覺你在考慮變量只能是實例或靜態的，並且忘記局部變量與其中的任何一個不同。試想一下：

public class MyClass 
{ 
    public int InstanceInt; 
    public static int StaticInt; 
    public int InstanceMethod() 
    { 
     int i = new Random().Next(1, 50); 
     return i; 
    } 
    public static int StaticMethod() 
    { 
     int j = new Random().Next(1, 50); 
     return j; 
    } 
} 

這裏InstanceInt是一個實例變量，並StaticInt一個靜態變量。如果要由不同的線程訪問它們，則這兩個都需要鎖定，但是，如果MyClass的實例由不同的線程訪問，則InstanceInt只能由不同的線程訪問。這可能發生在static MyClass AllThreadsSeeMe = new MyClass()，存儲在一個靜態集合中，明確地將它傳遞給另一個線程，等等，但否則不會。同時，在應用程序中運行的所有線程都可以自然訪問該線程，即使您注意確保線程之間不共享MyClass的實例。

同時，i和j對於它們的功能都是本地的。調用函數的每個線程將被賦予它們自己的副本i或j，而不管有多少線程可以調用它們。因此它們本質上是線程安全的。只有當這些方法中的任何一個改變了一個靜態變量或實例變量，或者讀取了一個可變的靜態或實例變量，這些變量可以被不同的方法改變，它們不是線程安全的（不可變的 - readonly - 變量也是線程安全的，沒有辦法另一個線程可以改變它們的值，因爲沒有線程可以改變它）。