面对Java出现异常,应该怎么做才是正确的?

最新推荐文章于 2025-04-27 19:06:59 发布
原创 最新推荐文章于 2025-04-27 19:06:59 发布 · 499 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#servlet #java #html

对于后端程序员来说,写Java程序的时候, 处理异常 是必须要做的事。错误处理固然重要,但是若是被错误处理占据了大部分逻辑,那么就大错特错了。

最近对这一点略有研究,稍微提一些优雅的处理异常的技巧和思路。

1 使用异常而不是返回码

我们先看如下代码例子

<pre class="prettyprint hljs cpp" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">public void demo01(Long userId){
    String userName = getUserName(userId);
    if (StringUtils.isNotEmpty(userName)) {
        //继续之后的逻辑
    } else {
        log.info("没有获取到用户名称");
    }
}

若是执行这段代码的时候, userName 为空,会影响接下来的逻辑。可是若是只是输出一段日志,刚写代码的时候,比较熟悉,检查起来容易,但是时间久了或者后边的同学接手代码的时候就有点烦脑了。

最好是直接抛出异常,既然已经影响到接下来的逻辑了,那就抛出异常,阻断进程。如下所示:

<pre class="prettyprint hljs cpp" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">public void demo02(Long userId){
    String userName = getUserName(userId);
    if (StringUtils.isNotEmpty(userName)) {
        //继续之后的逻辑
    } else {
        throw new BusinessException("没有获取到用户名称");
    }
}

2 使用不可控异常

若是使用可控异常,那么在多层封装的时候,需要在每个catch块中 声明 这个异常,若是在最底层的方法中新增了一个可控制异常,那么每个调用此方法的函数都要新增一个throw语句。

就像如下代码所示,当getManager新增一个可控异常,那么demo03相对应也要新增一个catch块。调用demo03的方法也要新增。以此类推,那么就是从最底层到最高层的一个修改链。

<pre class="prettyprint hljs php" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">public void demo03(Long userId) throws Exception {
    try {
        String userName = getManager(userId);
        //继续之后的逻辑
    } catch (BusinessException e) {
        throw e;
    } catch (Exception e) {
        throw new Exception(e);
    }
}

private String getManager(Long userId) throws Exception {
    try {
        //获取当前用户的manager
    } catch (BusinessException e) {
        throw new BusinessException("获取manager失败");
    } catch (Exception e) {
        throw new Exception(e);
    }
    return "manager";
}

3 给异常提供更多的信息

当抛出异常的时候,提供更多的信息,有助于找到问题并快速解决。能从错误日志中获取到足够多的信息,来准确分析发生错误的原因,是一件多么美妙的事情。

如下例子,通过错误信息可以看到是获取谁的manager失败了,查看数据库和代码逻辑可以快速定位问题。若是有其他信息,一并传入会有更大的帮助。

<pre class="prettyprint hljs java" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">public void demo04(Long userId) throws Exception {
    try {
        String userName = getManager(userId);
        //继续之后的逻辑
    } catch (Exception e) {
        throw new BusinessException("获取当前用户的manager失败,当前用户id为:"+userId);
    }
}

4 别在方法中返回null值

这一点感同身受,在代码中处理了大量的空判断,调用前人写的代码的时候,一不小心就空指针了,自己新写方法又重复了逻辑。

在如下例子中, getManagers 直接返回了从数据库获取到的数据,若是没有数据返回,那么 List<User> 对象就为 null 。这样每个调用 getManagers 的方法都要判断是否为空。

<pre class="prettyprint hljs php" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">public void demo05(Long userId) throws Exception {
    List<User> userList = getManagers(userId);
    if (!CollectionUtils.isEmpty(userList)) {
        for (User user : userList) {
            //继续之后的逻辑
        }
    }
}

private List<User> getManagers(Long userId) {
    List<User> users = getDataFromDB(userId);
    return users;
}

当 getDataFromDB 的返回为空的时候,我们直接返回一个空list,这样调用的方法就不用都去判断是否为空了。 像这样:

<pre class="prettyprint hljs kotlin" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">private List<User> getManagers(Long userId) {
    List<User> users = getDataFromDB(userId);
    if (CollectionUtils.isEmpty(users)) {
        return Collections.emptyList();
    } else {
        return users;
    }
}
Java_ttcd
关注
12-4 Nginx漏洞复现与分析
weixin_43263566的博客
11-29 1845
CGl: CGl是一种协议,用于定义Nginx或其他Web Server传递的数据格式。CGl是一个独立的程序,与Web Server无关,可以用任何语言编写CGl程序,比如C、Perl、Python等。Fastcgi: Fastcgi:是一种协议,前身是CGI,可以简单理解为是优化版的CGI,具有更高的稳定性和性能。PHP-CGI: 只是一个PHP的解释器,本身只能解析请求并返回结果,不会做进程管理。
漏洞复现Nginx配置漏洞
Blood_Pupil的博客
03-16 2551
上述各配置漏洞对应的造成漏洞配置信息如下: CLRF #nginx.conf location / { return 302 https://$host$uri; } 目录遍历 #nginx.conf autoindex on; 目录穿越 #nginx.conf location /files { alias /home/; } add_h...
lnmp(nginx 1.20.1+mysql5.7+php5.6)环境搭建
06-29
lnmp(nginx 1.20.1+mysql5.7+php5.6)环境搭建
nginx解析漏洞复现
WY92139010的博客
07-22 416
nginx解析漏洞复现 一、漏洞描述 该漏洞nginx、php版本无关,属于用户配置不当造成的解析漏洞 二、漏洞原理 1、 由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,为此可以构造http://ip/uploadfiles/test.png/.php (url结尾不一定是‘.php’,任何服务器端不存在的php文件均可,比如...
解决Nginx安全漏洞【CVE-2018-16844、CVE-2019-9511、CVE-2021-3618、CVE-2018-16843、CVE-2021-23017】等问题
最新发布
weixin_44554055的博客
04-27 902
Nginx安全漏洞升级方案
403 Forbidden nginx/1.20.1
猫头虎技术团队:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作+:Libin9iOak ,万粉变现+:优快云WF,猫头虎承诺每年免费为100名C站创作者做账号流量诊断服务!全网搜:猫头虎技术团队,点击文章底部名片或直接私信我一切皆可谈,快找虎哥!
06-08 6121
403 Forbidden nginx/1.20.于是查看nginx日志,路径为/var/log/nginx/error.log。打开日志发现报错Permission denied,详细报错如下: 没有权限?于是找了不少资料,可以通过下面四步排查解决此问题。你可能只是其中之前配置有问题,不一定四个步骤都用上。1.1查看nginx的启动用户,发现是nobody,而为是用root启动的 1.2将nginx.config的user改为和启动用户一致, 修改 server_name localhost;
Nginx解析漏洞复现
钟言的博客
01-28 1万+
本篇为Nginx的解析漏洞复现,详细内容包含了搭建环境 复现过程 漏洞原理及防范同时包含配置过程中出现的问题以及解决方案等等。
Nginx漏洞总结
热门推荐
weixin_42345596的博客
10-08 2万+
Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较
nginx漏洞复现
赵花花08042的博客
12-13 1890
vulhub漏洞环境 https://vulhub.org/#/environments/nginx/nginx_parsing_vulnerability/ Nginx 解析漏洞复现 版本信息: Nginx 1.x 最新版 PHP 7.x最新版 该漏洞Nginx、php版本无关,属于用户配置不当造成的解析漏洞1、由于nginx.conf的错误配置导致nginx把以".php"结尾的文件交给fastcgi处理,为此可以构造http://172.168.30.190/uploadfiles/ha
nginx中间件漏洞复现
kukudeshuo的博客
02-22 6680
nginx中间件漏洞复现 nginx介绍 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。 其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的We
Nginx 解析漏洞复现
a1b2c3是弱口令
12-19 3589
漏洞Nginx、php版本无关,属于用户配置不当造成的解析漏洞复现环境 版本信息: Nginx 1.x 最新版 PHP 7.x最新版 解析漏洞 访问http://192.168.1.15/uploadfiles/nginx.png发现一张正常图片 http://http
NGINX-RCE:nginx的rce漏洞利用
04-04
NGINX-RCE nginx的rce漏洞利用 怎么运行呢? 首先只需使用gcc gcc expl0itz.c -o expl0itz 然后chmod chmod +x expl0itz 像二进制文件一样运行之后! ./expl0itz
Nginx 解析漏洞复现及利用
Tauil的博客
07-20 8190
Nginx解析漏洞该解析漏洞是PHPCGI的漏洞,在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认开启,当URL中有不存在的文件,PHP就会向前递归解析在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg解析为php文件。来上传我们的文件,很显然,不给上传,东西写进去文件被破坏了,被检验出不是正常的jpg不能上传了,可能有些朋友就成功了,因为第一次的时候我是可以的,现在应该是写的内容太多了,出了问题。phpeval($_POST["cmd"]);...
nginx复现漏洞
qq_61142406的博客
05-28 1800
cve-2017-7529 原理: nginx在反向代理站点时,通常会将一些文件进行缓存,特别是静态文件,缓存部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”,如果二次请求命中了该缓存文件,则Nginx会直接将该文件中的“HTTP返回包体”返回给用户 在请求中包含range头,nginx将会根据指定的start和ed位置返回指定长度内容如果构造两个负位置,如(-600, -9223372036854774591),将会读取到负位置的数据,如果这次请求又命中了缓存文件,
Nginx 文件名逻辑漏洞(CVE-2013-4547)复现。 新手向。小白也能听得懂的。面向小白详细讲解。配合BurpSuite新老版本抓包。
qq_24305079的博客
06-18 1725
Nginx 文件名逻辑漏洞(CVE-2013-4547),记录一下我的学习过程,总结一下经验,希望能给后面的人提供帮助,为了复现和成功解析PHP网页我搞了很久.我这里使用了新老版本的BurpSuite去抓包,详细过程请见下文.使用的BurpSuite版本:和CentOS 7Kali 1.0.5Vulhub预防CVE-2013-4547漏洞需要从配置安全实践上进行多方面的改进。
nginx漏洞复现包含nginx介绍配置访问控制内容),是较nginx学习!_nginx 1
2501_90339668的博客
01-24 1251
​ http块: 该模块是Nginx服务器配置中的重要部分,代理、缓存和日志定义等绝大多数的功能和第三方模块的配置都可以放在这个模块中。需要注意的是http块可以包括http局块、server块 ​ locaiton块的主要作用是基于nginx服务器接收到的请求字符串(例如:www.test.com/uri-string),对虚拟主机名称 (也可以是IP)之外的字符串(例如:前面的/uri-string) 进行匹配,对特定的请求进行处理。地址定向、数据缓存和应答控制等功能,还有许多第三方模块的配置也在这里
nginx漏洞复现包含nginx介绍配置访问控制内容),是较nginx学习(1)
2401_83739727的博客
04-18 805
解释下:比如访问ip/index.htmls不出意外肯定会正常访问,那么我们输入ip/test/htmls按照第二个匹配来说应该是拒绝的,但是因为上面说的只要匹配成功就不会继续匹配后面定义的正则location,所有ip/test/htmls也会访问成功。那么如果想ip/index.htmls访问成功,而ip/test/htmls访问不成功,我们只需要让这两个location交换位置就行。
Nginx漏洞解析及复现
A526847的博客
06-05 4089
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
Nginx服务漏洞复现
m0_62389190的博客
08-10 3771
绕过服务器策略,上传webshell。
Nginx 文件名逻辑漏洞
01-23
### Nginx 文件名逻辑漏洞(CVE-2013-4547) #### 漏洞概述 Nginx 文件名逻辑漏洞(CVE-2013-4547)允许攻击者通过精心构造的 URL 请求来绕过访问控制并读取或执行受限资源。此漏洞的根本原因在于 Nginx 错误地解析了带有特定编码字符的 URL,从而导致文件路径处理不当[^1]。 #### 影响范围 该漏洞影响多个版本的 Nginx,在某些配置下可能导致未经授权的文件访问甚至远程代码执行。具体受影响的版本包括但不限于: - Nginx 1.4.x 版本系列 - Nginx 1.5.x 版本系列 (部分) 当 Web 应用程序部署于上述版本之上时,可能存在潜在风险[^3]。 #### 复现过程 为了验证这一漏洞的存在,可以通过上传一个看似无害但实际上包含恶意 PHP 代码的图片文件 `phpinfo.jpg` 来测试。一旦成功上传,攻击者能够修改 HTTP 请求中的参数使服务器错误解释文件扩展名,进而触发命令注入行为[^4]。 ```bash curl -X POST http://example.com/upload.php \ -F "file=@/path/to/phpinfo.jpg" ``` 随后发送如下请求可尝试利用漏洞: ```http GET /uploads/phpinfo.jpg%00.php?cmd=id HTTP/1.1 Host: example.com ``` 如果存在漏洞,则返回的结果会显示当前用户的 ID 信息。 #### 安全修复措施 针对 CVE-2013-4547 的防护手段主要包括以下几个方面: - **升级至最新稳定版**:官方已发布更新解决此问题,建议立即应用最新的安全补丁以消除隐患[^2]。 - **手动修补源码**:对于无法即时升级的情况,可以从官方网站下载专门为此漏洞准备的安全补丁,并按照指引完成编译安装流程。 - **加强输入校验**:无论何时都应严格过滤用户提交的数据,特别是涉及文件操作的部分,防止非法字符进入内部处理环节。 - **启用 WAF 防护**:Web Application Firewall 能够识别异常模式并阻止可疑流量到达应用程序层面上游位置。 综上所述,及时采取适当行动可以有效降低遭受此类攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值