安全性检验与异常抛出

最新推荐文章于 2024-10-23 20:04:43 发布
原创 最新推荐文章于 2024-10-23 20:04:43 发布 · 589 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jsp #null #技术人 #服务器 #测试

本文讨论了在软件开发中输入验证的重要性,特别是针对数字输入的数据类型检查。通过一个具体例子,探讨了如何避免因输入验证不足导致的安全隐患,并提出了解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

          我一向对这方面都不怎么看重的,觉得技术上掌握了,其他细节当然就不是问题。感谢YC师兄,昨天的一番话让我印象深刻,也让我收益菲浅!
         如果自己做的东西很小,不成规模,那还没什么。但是,如果应用范围广,受益群体大,那安全问题就不得不作为一个方面来考虑。今天查了这方面的资料,我的天,还真的有这样的案例。黑客居然可以根据打印在jsp页面上的错误信息攻入服务器~怕怕。
         话题扯远了。
         我之前做的几个页面都没有进行相应的安全性检验,比如说数据类型检验,长度检验,必填项检验。当然了,这些或许不会对系统安全性造成什么损害,但是,对于可能存在的破坏性行为,作为搞技术的,当然要提前杜绝!
         说到数据类型检验,今天这个小小的问题也搞了我一天。
         Hrv检查页面有一输入框,要求用户输入相应的心率值(HeartRate).但是,经过我测试,我随便输入几个字母,竟也能保存!
         FormBean里HeartRate的定义是这样的:        
Private Double heartRate;
         而系统里已经有前人做好的数字检验代码:        
 public static boolean vldNumber(BaseException exp, String value, String arg) {
                   if (StringUtil.validStr(value) == null)
                            return true;
                   try {
                            Double.parseDouble(value);
                   } catch (Exception th) {
                            String arg1 = "只能填写数字";
                            exp.addErrMsg(new ActionMessage("errors.invalid2", arg, arg1));
                            return false;
                   }
                   return true;
         }
         这段代码的作用是检验字符串value的组成元素是不是都是数字。本来已经很简单,拿来就可以用。
         ApplicationException exp = new ApplicationException();
         ValidationUtil.vldNumber(exp,form.getHeartrate().toString(),"心率");
         问题出来了, 他一直抛出nullPointerException 的异常,怎么回事呢?通过单步调试才发现,原来,当Jsp页面心率输入框输入非数字内容的时候,form.getHeartrate()返回的值居然是NULL,难怪会抛出这样的异常!没办法,只能自己写检验代码!
         首先,数据类型的检验,我直接用了instanceof!非常简单,非常方便!
         其实,一旦发现数据类型不符合,马上用throw抛出我的异常!
代码如下:
         public void vldNumber(Object value) throws ApplicationException
         {
                   if(value instanceof Double)
                   {
                            System.err.println("类型正确");
                   }
                   else
                   {
                            System.err.println("类型不正确");
                            ApplicationException exp = new ApplicationException();
                            exp.addErrMsg(new ActionMessage("errors.invalid2""输入","只能输入数字"));
                            throw exp;
                   }                 
         }       
         问题其实很简单,写出来的目的,只是要让自己印象深刻点,要时刻把自己当成独挡一面的技术人员,那么,安全问题当然就不是小问题啦!
 
scut_bb
关注
C++软件调试异常排查从入门到精通专栏介绍文章汇总
dvlinker的技术专栏
06-29 22万+
根据近几年排查软件异常的实践经验,系统地讲解了C++软件异常常见原因常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术要领。
9、C++ 异常处理安全性实践指南
最新发布
hh234的博客
06-10 511
本文详细介绍了C++中的异常处理安全性实践,涵盖自定义异常类的创建、构造函数成员函数的异常安全设计、复制操作的异常安全实现,以及常见的异常处理误区最佳实践。通过遵循这些原则,开发者可以编写出更加健壮安全的C++代码。
C++中的异常安全性
轻轻草原
10-08 310
一个函数如果说是“异常安全”的,必须同时满足以下两个条件:1.不泄漏任何资源;2.不允许破坏数据。 我们先通过两个反面的例子开始。 第一个是造成资源泄漏的例子。一个类Type,内含一个互斥锁成员 Mutex mutex,以及一个成员函数void Func()。假设Func函数的实现如下所示: void Type::Func() { Lock(&mutex); DoSomethi...
异常安全
beibeix2015的博客
12-18 364
参考 https://blog.youkuaiyun.com/bonchoix/article/details/8046727
2020-10-26
h5240l的博客
10-26 266
1.简述JavaError类Exception类的区别 Error异常Exception异常都继承于throwable异常类。 Error不是程序需要捕获进行处理的,例如OutOfMemoryError(当java虚拟机在为对象分配内存空间时,剩余的空间不够,同时也没有可以释放的内容时,将会发生这样的错误)不由程序员进行捕获处理,当Error发生时,程序将会停止。 RuntimeException异常主要包括四种异常:空指针异常,数组下标越界异常、类型转换异常、算术异常。由java虚拟机自动抛出..
C++异常
笔记
06-09 262
异常 1. C语言传统的处理错误的方式 传统的错误处理机制: 终止程序。如 assert,缺陷就是用户难以接受。如发生内存错误,除0错误就会终止程序。 返回错误码。缺陷是需要管理员自己去查找对应的错误。如系统的很多的接口函数都是通过把错误码放到 errno 中,表示错误。 C 标准库中 setjmp longjmp 组合。但不常用。 实际中 C 语言基本都是使用返回错误码的方式处理错误,部...
【疑问】对异常安全性的了解
ddiioopp123的博客
03-05 184
1.不泄漏任何资源; 2.不允许破坏数据。
C++ 抛异常
2201_75663820的博客
10-23 1175
本文主要讲述:C++中的抛异常机制、抛异常的使用、异常抛出规则 ... 等
关于C#数强转会不会抛出异常详解
08-27
本文将详细讨论C#中关于数值强制转换是否会抛出异常的情况。 首先,C#中的强制转换分为两类:隐式转换显式转换。隐式转换是系统自动允许的安全转换,而显式转换(即强转)可能涉及数据的损失或可能引发异常。 ...
go语言之抛出异常
weixin_33751566的博客
05-03 1426
一: panicrecover 作用:panic 用来主动抛出错误; recover 用来捕获 panic 抛出的错误。 概述: 1,引发panic有两种情况 1)程序主动调用panic函数 2)程序产生运行时错误,由运行时检测并抛出 过程: ! 发生 panic 后,程序会从调用 panic的函数位置或发生panic 的地方立即返回,逐层向上执行函数的defer语句, 然后逐层打印函...
[C++再学习系列] 异常安全性
zhenjing的专栏
08-11 1521
异常安全性异常安全保证有3种:(a) 基本保证:保证不会发生资源泄露,即使操作失败;但是状态可能发生改变。(b) 强保证:事务提交/回滚语义。即使操作失败也不会导致程序状态改变。(c) 无失败保证:不允许失败发生。即绝对不会抛异常。 准则:函数应该总是支持它所能支持的最强的异常安全保证,但是前提是不能给那些并不需要
实现异常安全性(55)
Allendale的专栏
05-19 1172
题目:类CMyString的声明如下: class CMyString { public:       CMyString(char* pData = NULL);       CMyString(const CMyString& str);       ~CMyString(void);       CMyString& operator = (const CMyString& s
operator=具备“异常安全性”写法
少年的技术积累手册
01-15 371
Widget& Widget::operator=(const Widget& rhs) { Bitmap* pOrig = pb; pb = new Bitmap(*rhs.pb); delete pOrig; return *this; } 《Effective C++》条款11
【干货】接口测试常见问题汇总,如何做好接口测试
我的博客
10-11 1919
接口测试一般需要关注以下几点: 1.输入 2.输出 3.逻辑处理 4.数据库 5.安全性 6.性能 7.接口超时 8.兼容性 9.接口设计(较少关注) 以下为各部分介绍。 1.输入 输入,接口的入参,一般使用等价类边界值设计用例。需要考虑输入的正常异常情况,其中异常包括有参数异常以及数据异常。 A.正常的入参 根据接口设计文档的入参标准,输入正常的参数,接口按接口设计文档的描述,得到正常的响应返回。 B.参数异常 参数异常包括: 1)参数为空 2)多参 3.
抛出异常Throw
xxxjackboy的博客
10-27 378
throw关键字 **作用:**可以使用throw关键字在指定的方法中抛出指定的异常 使用格式: throw new xxxException(“原因”) 注意: 1、throw关键字必须写在方法的内部 2、后边new的对象必须是Exception或者Exception的子类对象 3、throw关键字抛出指定的异常对象,必须处理这个异常对象 throw关键字后边创建的是runtimeException或者是runtimeException的子类对象,可以不处理默认交给JVM处理 创建的是编译异常,必须处理这
对于一个输入框要做哪些安全性检测(腾讯一面题目)
chumei3401的博客
04-12 1724
一、前端事件验证 推荐使用focus事件、blur事件、keyup延时事件(不必每次keyup都做,也不必keyup后立刻做)、表单提交前check事件这4个验证事件。 ‍‍Focus事件:输入触发focus事件,提示用户正确的输入; Blur事件:单个输入完成后触发blur事件,验证用...
如何判断你该不该抛出异常,以及抛出什么异常
sdfgedcx的博客
06-28 2545
前情 最近在完成公司的一个上报征信数据的项目,项目不大,所以开发人员就我一个人,但是工期挺紧,所以每天都写代码写到起飞。项目到尾期后,有一些闲暇可以 review 一下代码。结果发现,我所有的参数校验都是在 controller 层完成的,service 层没有校验。思索了一下,发现一个有趣的之前我没有主要到的事情。 问题所在 controller 层校验后,可以通过返回字符串的形式,提示前端异常...
异常处理抛出捕获
03-29
### 关于异常处理中的抛出捕获 在编程中,异常处理是一种重要的机制,用于应对运行时可能出现的错误情况。以下是关于如何正确抛出捕获异常的具体说明以及代码示例。 #### 正确抛出异常 在许多现代编程语言(如 Kotlin C++)中,可以通过 `throw` 或类似的语句显式地抛出异常。这通常发生在检测到无法正常处理的情况时。例如,在函数内部遇到非法参数或逻辑错误时可以抛出异常[^1]。 对于自定义异常,开发者可以根据需求创建特定类型的异常类,并从中派生新的异常类型。这样做的好处是可以更精确地标记不同种类的错误状态[^3]。 ```kotlin // 定义一个简单的自定义异常类 class InvalidInputException(message: String?) : Exception(message) fun validate(input: Int) { if (input < 0) { throw InvalidInputException("输入值不能小于零") // 抛出自定义异常 } } ``` 上述例子展示了如何在一个名为 `validate` 的方法里实现基本验证功能。如果传入负数,则会触发该异常。 #### 捕获并处理异常 为了使应用程序更加健壮稳定,应当合理设计异常捕捉流程。一般情况下,使用 `try-catch` 结构包裹可能会引发异常的操作区域。一旦发生预期内的异常事件,控制流就会跳转至相应的 `catch` 块继续执行后续操作而不是终止整个进程[^2]。 下面是一个完整的 Koltin 示例,展示当调用可能失败的方法时该如何安全地管理这些风险: ```kotlin fun main() { val input = -5 try { validate(input) println("验证成功") } catch(e: InvalidInputException){ System.err.println("捕获到了InvalidInputException: ${e.message}") } finally{ println("无论是否出现异常都会被执行的部分") } } // 上述提到过的校验函数 fun validate(input: Int) { if (input < 0) { throw InvalidInputException("输入值不能小于零") } } ``` 在这个案例中,我们不仅实现了基础的功能测试还加入了额外的日志记录以便调试分析之用。另外值得注意的是最后那个无论如何都要运行一次的特殊区块——即所谓的 `finally` 子句^。 #### 继承关系下的多态特性应用 考虑到某些场景下可能存在多种潜在问题类别需要分别对待的情形,此时利用面向对象原则里的继承概念就显得尤为重要了。比如上面提及过有关大小方面的特殊情况可以用专门针对此类别的子类表示出来;而其他通用型则统一由父级负责接管: ```cpp #include <iostream> using namespace std; struct BaseException {}; struct DerivedA : public BaseException {}; struct DerivedB : public BaseException {}; void riskyFunction(bool flag) { if(flag) throw DerivedA(); else throw DerivedB(); } int main(){ try{ bool condition=true; riskyFunction(condition); }catch(const BaseException& ex){ // 单一入口点简化复杂度 cerr << "An exception occurred."<<endl; } return 0;} ``` 这里通过单一基类作为接收器的方式减少了重复劳动同时也提高了可维护性.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值