編寫(xiě)Servlet和JSP的時(shí)候,線程安全問(wèn)題很容易被忽略,如果忽視了這個(gè)問(wèn)題,你的程序就存在潛在的隱患.
1.Servlet的生命周期
Servlet的生命周期是由Web容器負(fù)責(zé)的,當(dāng)客戶(hù)端第一次請(qǐng)求Servlet 時(shí),容器負(fù)責(zé)初始化Servlet,也就是實(shí)例化這個(gè)Servlet類(lèi).以后這個(gè)實(shí)例就負(fù)責(zé)客戶(hù)端的請(qǐng)求,一般不會(huì)再實(shí)例化其他Servlet類(lèi),也就是有多個(gè)線程在使用這個(gè)實(shí)例.Servlet之所以比CGI效率高就是因?yàn)镾ervlet是多線程的.如果該Servlet被聲明為單線程模型的話,容器就會(huì)維護(hù)一個(gè)實(shí)例池,那么將存在多個(gè)實(shí)例.
2.Servlet的線程安全
Servlet規(guī)范已經(jīng)聲明Servlet不是線程安全的,所以在開(kāi)發(fā)Servlet的時(shí)候要注要這個(gè)問(wèn)題.這里以一個(gè)現(xiàn)實(shí)的模型來(lái)說(shuō)明問(wèn)題,先定義一個(gè)Servlet類(lèi),再定義一個(gè)SmulateMultiThread類(lèi)和WebContainer類(lèi).
import javax.servlet.http.HttpServlet;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
//該類(lèi)模擬多線程Servlet的情況
public class SmulateMultiThread implements Runnable{
public SmulateMultiThread() {
}
public static void main(String[] args) {
//處理100個(gè)請(qǐng)求
for(int i=0;i<100;i++)
{
new Thread(new SmulateMultiThread()).start();
}
}
public void run() {
HttpServletRequest request=null;
HttpServletResponse response=null;
try {
WebContainer.getServlet().doGet(request, response);
}
catch (IOException ex) {
}
catch (ServletException ex) {
}
}
}
//這是一個(gè)Servlet類(lèi)
class UnsafeServlet extends HttpServlet{
private String unsafe;
public void init() throws ServletException {
}
//Process the HTTP Get request
public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
unsafe=Thread.currentThread().getName();
System.out.println(unsafe);
}
}
//這個(gè)是容器類(lèi)
class WebContainer{
private static UnsafeServlet us=new UnsafeServlet();
public static UnsafeServlet getServlet(){
return us;
}
}
輸出了100不同的線程名稱(chēng),如果有100個(gè)請(qǐng)求同時(shí)被這個(gè)Servlet處理的話,那么unsafe就可能有100種去值,最后客戶(hù)端將得到錯(cuò)誤的值.比如客戶(hù)1請(qǐng)求的線程名為thread-1,但是返回給他的可能是thread- 20.表現(xiàn)在現(xiàn)實(shí)中就是,我登陸的用戶(hù)名是user1,登陸后變成了user2.
那么怎樣才能是Servlet安全呢,凡是多個(gè)線程可以共享的就不要使用(實(shí)例變量+類(lèi)變量),就這么簡(jiǎn)單.也可以使用synchronized同步方法,但是這樣效率不高,還可以使用單線程模型,這樣的話效率就更低了,100個(gè)請(qǐng)求同時(shí)來(lái)的時(shí)候就要實(shí)例化100個(gè)實(shí)例.
方法中的臨時(shí)變量是不會(huì)影響線程安全的,因?yàn)樗麄兪窃跅I戏峙淇臻g,而且每個(gè)線程都有自己私有的棧空間.
3.JSP中線程安全
JSP的本質(zhì)是Servlet,所有只要明白了Servlet的安全問(wèn)題,JSP的安全問(wèn)題應(yīng)該很容易理解.使用<%! %>聲明的變量是Servlet的實(shí)例變量,不是線程安全的,其他都是線程安全的.
<%! String unsafeVar; %>//不是線程安全的
<% String safeVar; %>// 線程安全的
總結(jié):線程安全問(wèn)題主要是由實(shí)例變量造成的,不管在Servlet還是JSP,或者在Struts的Action里面,不要使用實(shí)例變量,任何方法里面都不要出現(xiàn)實(shí)例變量,你的程序就是線程安全的.
from: http://www.dwww.cn/new/200610111726432966.html