[hyddd的FindBugs分析記錄][M D DLS] Dead store to local variable

[hyddd的FindBugs分析記錄][M S XSS] Servlet reflected cross site scripting vulnerability

[M S XSS] Servlet reflected cross site scripting vulnerability [XSS_REQUEST_PARAMETER_TO_SERVLET_WRITER]

This code directly writes an HTTP parameter to Servlet output, which allows for a reflected cross site scripting vulnerability. Seehttp://en.wikipedia.org/wiki/Cross-site_scripting for more information.

FindBugs looks only for the most blatant, obvious cases of cross site scripting. If FindBugs found any, you almost certainly have more cross site scripting vulnerabilities that FindBugs doesn't report. If you are concerned about cross site scripting, you should seriously consider using a commercial static analysis or pen-testing tool.

 

先看下面代碼：

public void doGet(HttpServletRequest request,HttpServletResponse response)throws ServletException,IOException{
　　//
　　String v = request.getParameter("v");
　　//
　　PrintWriter out = response.getWriter();
　　out.print("協議版本號不對,v="+v);
　　out.close();
　　//
}

復制代碼

這里字符串v沒有作過濾，直接返回給用戶，有可能操作XSS攻擊。具體關于XSS攻擊的資料，可以參考上面Findbugs說明中的連接，這里就不多說了。

2. method invokes inefficient new String() constructor.
(方法中調用了低效的new String()構造方法)
例如: String abc = new String("abc");
這個語句會去調用String的構造方法String(String)在堆棧創建一個對象，并把這個對象的引用賦給abc.
如果直接采用String abc = "abc";的方式就不用在堆棧中新創建一個對象了，而直接在值棧中創建一個"abc"對象，把"abc"賦給變量abc

所以，在沒有特殊需要的時候就不要去創建新的對象，盡量在值棧中尋找需要的內容。比如，在一個方法返回值為"abc"時，不要采用return new String("abc");的方法，而改變為使用return "abc";的方法，提高執行效率。
  

3. XXX mail fail to close stream.
（輸入）流可能沒有關閉。

在進行文件流的操作時，沒有對輸入輸出流進行關閉，或者關閉過程可能出錯，就會報這個bug。最好是在finally中將所有的輸入輸出流關閉。

4. Possible null pointer dereference in method on exception.
(在有異常的情況下，可能調用的引用是一個空指針)

這個很容易理解，比如在try塊中對一個空引用的變量進行賦值，而在try塊之后才引用這個變量，就可能會出現空指針異常。

5.Suspicious reference comparison.
(懷疑對兩個引用進行比較)

在對兩個對象（即兩個引用）進行比較的時候，使用的不是equals()方法，而采用==的方式進行，可能會出現結果與預期不一致的情況.
當然，在對兩個引用進行equals()的時候，對象是需要重寫hashcode()方法的。

3. Performance - Method concatenates strings using + in a loop

The method seems to be building a String using concatenation in a loop. In each iteration, the String is converted to a StringBuffer/StringBuilder, appended to, and converted back to a String. This can lead to a cost quadratic in the number of iterations, as the growing string is recopied in each iteration.

Better performance can be obtained by using a StringBuffer (or StringBuilder in Java 1.5) explicitly.

For example:

4. Bad practice - Method may fail to close stream on exception

The method creates an IO stream object, does not assign it to any fields, pass it to other methods, or return it, and does not appear to close it on all possible exception paths out of the method.  This may result in a file descriptor leak.  It is generally a good idea to use a finally block to ensure that streams are closed.