PMD在Sun Security规则集中有一个名为ArrayIsstoredDirectly的规则:
Constructors and methods receiving arrays should clone objects and store the copy. This prevents that future changes from the user affect the internal functionality.
这是他们的例子:
public class Foo {
private String [] x;
public void foo (String [] param) {
// Don't do this,make a copy of the array at least
this.x=param;
}
}
我不认为我完全理解这个规则背后的原因.是因为传递的数组中的值可以在其他地方更改吗?传递Collection与传递数组有什么区别?
解决方法
问题是调用者可以保留它所传递的数组参数的副本,然后可以更改其内容.如果对象是安全关键的,并且通过不受信任的代码进行调用,则会有一个安全漏洞.
在这种情况下,传递集合并将其保存而不复制它也将是潜在的安全风险. (我不知道是否有PMD规则告诉你这个.)
在这两种情况下,解决风险的方法(如果是真实的)是将属性设置为参数数组或集合的副本.另一方面,如果您知道呼叫方永远是受信任的代码,那么这个副本是浪费时间的,更好的解决方案是告诉PMD对这种特定方法的安静.