findbugs规则整理中文版.docx

FindBugs1.3.9 规则整理 FindBugs1.3.9 规则整理 Findbugs中把影响代码质量分为以下几个部分: Security 关于代码安全性防护 序号 Descripti on 备注 1. Dm: Hardcoded con sta nt database password (DMI_CONSTANT_DB_PASSWORD) 代码中创建DB的密码时米用了写死的密码。 2. Dm: Empty database password (DMI_EMPTY_DB_PASSWORD) 创建数据库连接时没有为数据库设置密码，这会使数据库没有必 要的保护。 3. HRS: HTTP cookie formed from un trusted in put (HRS_REQUEST_PARAMETER_TO_COOKIE) 此代码使用不受信任的HTTP参数构造一个HTTP Cookie。 4. HRS: HTTP Response splitting vulnerability  (HRS_REQUEST_PARAMETER_TO_HTTP_HEADER) 在代码中直接把一个HTTP的参数写入一个HTTP头文件中，它为 HTTP的响应暴露了漏洞。 5. SQL: Nonconstant string passed to execute method on an SQL stateme nt (SQL_NONCONSTANT_STRING_PASSED_TO_EXECU 该方法以字符串的形式来调用 SQLstatement的execute方法， 匕似乎是动态生成SQL语句的方法。这会更谷易受到SQL注入攻 击。 TE) 6. XSS: JSP reflected cross site script in g vuln erability (XSS_REQUEST_PARAMETER_TO_JSP_WRITER) 在代码中在JSP输出中直接写入一个HTTP参数，这会造成一个 跨站点的脚本漏洞。 Experime ntal 序号 Descripti on 备注 1. LG: Pote ntial lost logger cha nges due to weak refere nee in Open JDK (LG_LOST_LOGGER_DUE_TO_WEAK_REFERENCE) Ope nJDK的引入了一种潜在的不兼谷冋题，特别是， java.util.logging.Logger 的行为改变时。匕现在使用 内部弱引用，而不是强引用。logger配置改变，它就 是丢失对logger的引用，这本是一个合理的变化，但 不幸的是一些代码对旧的行为有依赖关系。这意味着， 当进行垃圾收集时对logger配置将会丢失。例如： public static void initLogging() throws Exception { Logger logger = Logger.getLogger(edu.umd.cs); logger.addHandler(new FileHandler()); // call to change logger configuration  logger.setUsePare ntHa ndlers(false); // ano ther call to change logger configuration } 该方法结束时logger的引用就丢失了，如果你刚刚结 束调用ini tLoggi ng 方法后进行垃圾回收‘logger的配 置将会丢失(因为只有保持记录器弱引用)。 public static void main( Stri ng[] args) throws Excepti on { in itLogg in g(); // adds a file han dler to the logger System.gc(); // logger configuration lost Logger.getLogger(edu.umd.cs).i nfo(Some message); // this isnt logged to the file as expected } 2. OBL: Method mayfail to clean up stream or resource (OBL_UNSATISFIED_OBLIGATION) 这种方法可能无法清除(关闭，处置)一个流，数据库 对象，或其他资源需要一个明确的清理行动。 一般来说，如果一个方法打开一个流或其他资源，该方 法应该使用try / fin ally 块来确保在方法返回之前流 或资源已经被清除了。这种错误模式基本上和 OS OPEN