java代码安全排查 java排查问题

JAVA开发过程中需要注意那些问题？

开发过程需要注意的问题有下面这些：\x0d\x0a\x0d\x0a1. 服务器端必须提供输入数据正确性的验证，客户端的Javascript验证可以没有。这是基于安全性的考虑，因为Javascript是很容易被绕过的，增加客户端验证只是为了减少服务器压力、界面更加容易使用。 \x0d\x0a\x0d\x0a2. 适度使用Session，尽量不要在Session里放很大的集合对象，以免内存消耗过大，因为很多用户访问的时候会产生很多的Session。参数传递应该尽量通过Request。熟悉HTTP有助于更好的理解Session、Cookie、Request等的机制。\x0d\x0a\x0d\x0a3. 在带有分页的查询界面，尽量不要使用POST方法来传递参数，POST传递的参数在地址栏里是看不到的，刷新后会有重新提交表单的提示。使用GET方法传递参数要注意URL的长度不能超过1K。 \x0d\x0a\x0d\x0a4. 分层应该清晰，一般目前我们分为View（Jsp或FreeMarker加上Action）、Bean（Service）、DAO这么三层，即显示层、业务层、数据层。记录集ResultSet这种只能出现在DAO层中的对象不能出现在Bean（Service）层中，同样HttpServletRequest这种只能出现在View层的对象也不应出现在Bean（Service）层中。这并不是绝对的。 \x0d\x0a\x0d\x0a5. 尽量使用简单SQL，避免两表以及多表联查。多表联查会导致数据库压力大幅增加，而且不利于在内存中对部分记录进行缓存，代码的重用性也难以提高。 \x0d\x0a\x0d\x0a6. 避免在循环里执行findXXById这样的方法，不如执行一个findXXByIds这样的方法一次性把记录取到Map里。大部分有实际对象对应的表应该提供这样一个方法。 \x0d\x0a\x0d\x0a7. 如果使用最原始的jdbc编程的话需要注意资源的正确释放，在循环里new出来的Statement或者ResultSet就要在循环里关闭。 \x0d\x0a\x0d\x0a8. 在编写SQL进行查询的时候，需要能够判断这个SQL是否已经使用了索引，避免全表扫描，必要的时候增加索引。 \x0d\x0a\x0d\x0a9. 在写一个方法前，首先查看有没有相同功能或者很类似功能的方法已经有了，尤其是工具类方法，往往已经写过了，避免重复代码的产生，发现重复代码及时进行处理。如果一段代码被重复使用两遍或以上，那么可以考虑专门写个方法来放这段代码，同样多次使用的常量也应该专门定义出来。 \x0d\x0a\x0d\x0a10. 在一个方法里并不一定只能有一个return，如果已经有结果了尽早return，没必要增加嵌套的层次，那样会导致代码可读性不佳，但也不能return太多，代码看起来比较舒服就可以了。 \x0d\x0a\x0d\x0a11. 不要满足于能够熟练的编写DAO和Bean（Service）的代码，相比较而言，后台如果在成熟框架的支持下，编码是没有太大难度的，也不值得沾沾自喜，因为这是对Java研发工程师基本的要求。适当的培养一下前台的编码能力，学会使用Dreamweaver。不要轻视界面，也别认为这是界面设计的事情，界面对用户来说就是软件，学会编写CSS和调整界面对你没有坏处。 \x0d\x0a\x0d\x0a12. 非常明确Java和javascript作用的范围，明确它们能做的事情。 \x0d\x0a\x0d\x0a13. 一般很奇怪的现象都是由一些低级错误引起的，如果你查了一段时间也没有结果，那么让别人来查吧。 \x0d\x0a\x0d\x0a14. 不要用可能被修改的字段来做主键，那样会让相关记录的更新成为一个大麻烦。 \x0d\x0a\x0d\x0a15. 如果被迫使用Hibernate和jdbc混合操作数据库的话，不要用Hibernate来做复杂查询和统计。Hibernate用的不好的话，带来的便利是非常有限的。 \x0d\x0a\x0d\x0a16. 数据库中经常被读取，但是很少修改的话，应该把这样的数据读到内存中用OSCache之类的缓存起来，然后定期或者触发的去更新，有助于减少读数据库次数，提升性能。 \x0d\x0a\x0d\x0a17. 编码的时候应该注意部署环境带来的影响，这种影响包括操作系统不同带来路径的差异；应用服务器和数据库服务器之间时间的差异；外网可能部署在多台服务器上，放到Session里的对象因为需要复制所以要实现java.io.Serializable接口等。 \x0d\x0a\x0d\x0a18. 尽量不要在jsp上编写太多代码，保持jsp的整洁很重要，用Dreamweaver打开不至于一塌糊涂，根本看不出来这是个什么界面。 \x0d\x0a\x0d\x0a19. 目前我们的项目一般都使用Spring来管理数据库事务，而且一般都配置在Bean（Service）即业务层这一层，应该注意要保持事务的完整性，不要把一些应该放在一起的操作分散在Action这一层。相关的更新操作可以认为是一个事务，比如：增加一个家长，同时更新学生是否有家长的字段。 \x0d\x0a\x0d\x0a20. 在Spring的配置中，对于有些需要保持独立事务的方法操作，比如生成主键等，应该声明该方法为独立事务ROPAGATION_REQUIRES_NEW。Bean（Service）里如果抛出checked exception，事务默认是不会回滚的，需要加以声明，比如PROPAGATION_REQUIRED,-PassportException。 \x0d\x0a\x0d\x0a21. 在一个Bean（Service）中引用其他Bean（Service）的时候尽量引用Bean（Service），而不是DAO。因为其他的Bean（Service）往往封装DAO的操作后，又做了进一步的完善，比如增加校验等，所以应该重用这些方法，而不必要去引用DAO的方法来重写这些操作。 \x0d\x0a\x0d\x0a22. 至少在Bean（Service）的接口定义上增加注释，方便他人引用你写的方法。 \x0d\x0a\x0d\x0a23. 好好利用集合框架里的Map、List、Set。尤其是HashMap、ArrayList、HashSet用的最多，这些类是多条数据操作的基础，它们都不是线程安全的。 \x0d\x0a\x0d\x0a24. 现在跑的快的页面，随着数据量的增加，可能会变的很慢，所以应该意识到页面可能变慢的原因，而不是现在看起来很快。影响速度的大部分原因是对数据库的压力太大了，在java代码执行上花费很多时间的情况是不常见的。 \x0d\x0a\x0d\x0a25. 避免不必要的跳转，如果页面执行的足够快，那么中间的载入进度提示页是不必要的，那样会让用户觉得闪烁。 \x0d\x0a\x0d\x0a26. 注意页面的文件大小，并不是每个用户的带宽都是非常理想的，文件小一点，速度快一点，总是感觉更好一点。 \x0d\x0a\x0d\x0a27. 不要去修改用户的浏览器，比如隐藏他们的地址栏、菜单、右键菜单等，这可能会引起部分用户的反感。尽量不要使用弹出窗口，可能会被拦截。 \x0d\x0a\x0d\x0a28. 网站的权限控制至少应该保证有访问权限的用户才能访问页面，通过隐藏链接之类的方法是很不安全的，用户看不见了并不表示安全了。权限的控制尽量使用框架里的拦截器这样的机制，而不是把权限控制代码写的到处都是。过滤器不宜过多的使用，不仅因为过滤器的作用范围很难控制，而且容易引起页面执行效果的混乱，错误不易排查。 \x0d\x0a\x0d\x0a29. 页面里大部分情况使用相对路径，保持Action路径层次和页面一致，这样应用就可以发布在各种目录下。

在淄博等地区，都构建了全面的区域性战略布局，加强发展的系统性、市场前瞻性、产品创新能力，以专注、极致的服务理念，为客户提供网站设计、网站建设 网站设计制作定制设计,公司网站建设,企业网站建设,品牌网站制作,营销型网站建设,外贸营销网站建设,淄博网站建设费用合理。

java 错误排查

倒数第四行，编译错误，你的对象在try中定义，但是在try外关闭

另外，关于提问题的建议，最好说明了问题在哪儿，不要尝试让别人猜测你的问题

java内存溢出的问题如何排查

java程序大家都知道，内存溢出是经常见的错误，下面从基本的开始分析！

内存溢出是由于没被引用的对象（垃圾）过多造成JVM没有及时回收，造成的内存溢出。如果出现这种现象可行代码排查：

一）是否App中的类中和引用变量过多使用了Static修饰 如public staitc Student s；在类中的属性中使用 static修饰的最好只用基本类型或字符串。如public static int i = 0; //public static String str;

二）是否App中使用了大量的递归或无限递归（递归中用到了大量的建新的对象）

三）是否App中使用了大量循环或死循环（循环中用到了大量的新建的对象）

四）检查App中是否使用了向数据库查询所有记录的方法。即一次性全部查询的方法，如果数据量超过10万多条了，就可能会造成内存溢出。所以在查询时应采用“分页查询”。

五）检查是否有数组，List，Map中存放的是对象的引用而不是对象，因为这些引用会让对应的对象不能被释放。会大量存储在内存中。

六）检查是否使用了“非字面量字符串进行+”的操作。因为String类的内容是不可变的，每次运行"+"就会产生新的对象，如果过多会造成新String对象过多，从而导致JVM没有及时回收而出现内存溢出。

如String s1 = "My name";

String s2 = "is";

String s3 = "xuwei";

String str = s1 + s2 + s3 +.........;这是会容易造成内存溢出的

但是String str = "My name" + " is " + " xuwei" + " nice " + " to " + " meet you"; //但是这种就不会造成内存溢出。因为这是”字面量字符串“，在运行"+"时就会在编译期间运行好。不会按照JVM来执行的。

在使用String,StringBuffer,StringBuilder时，如果是字面量字符串进行"+"时，应选用String性能更好；如果是String类进行"+"时，在不考虑线程安全时，应选用StringBuilder性能更好。

知道原因了，解决起来就非常简单了。

如何排查Java内存泄露

安装jdk后，bin目录下面会有个工具叫jvisualvm可以用来监控内存，也可以安装插件扩展功能

我的目录是c:/Program Files/Java/jdk1.7.0/bin