FindBugs常见错误描述和解决方法

  FindBugs常见错误描述和解决方法   

  本文转载自:http://blog.sina.com.cn/s/blog_4adc4b090102vi9p.html

DLS_DEAD_LOCAL_STORE

  描述: Dead store to 未使用的局部变量
  解决方法:局部变量定义后未使用;实例化对象后又重新对该对象赋值

ST_WRITE_TO_STATIC_FROM_INSTANCE_METHOD

  描述:Write to static field 通过实例方法更新静态属性
  常见于常量类,直接通过类名.常量名获取的方式违背了封装的原则,findbugs不提倡使用,而如果将常量改成静态成员变量,又因为spring不支持静态注入导致不能实现,解决方法是非静态的setter调用静态的setter方法给静态成员变量赋值。
  解决方法:
  常量类F:

1
2
3
  class F{
public static String a = “123”;
}

  常量a改为静态成员变量,通过F.getA()获取,且由于spring不支持静态注入,改为:

1
2
3
4
5
6
7
8
9
10
11
12
class F{
private static String a;
public static Integer getA() {
return a;
}
public void setA(String a) {
setAValue(a);
}
public static void setAValue(String a) {
F.a = a;
}
}

BX_UNBOXING_IMMEDIATELY_REBOXED

  描述: Boxed value is unboxed and then immediately reboxed 装箱的值被拆箱,然后立刻重新装箱了
  常见的是三目运算时,同时存在基本类型和包装类型。
  解决方法:

1
2
3
Integer a = null;
//...
a = (a == null)?0:a;

  此问题在于a不为null时,会被拆箱,赋值时再装箱。这是自动装箱拆箱的特性,只要运算中有不同类型,当涉及到类型转换时,编译器就会向下转型,再进行运算。修改方法,统一类型:

1
2
3
Integer a = null;
//...
a = (a == null)?Integer.valueOf(0):a;

SE_BAD_FIELD

  描述: Non-transient non-serializable instance field in serializable class在可序列化的类中存在不能序列化或者不能暂存的数据
  解决方法:
    方法1:序列化该对象
    方法2:当采用struts2框架开发,不可避免的此问题会大量出现,因为ActionSupport实现了序列化接口,action继承了此类,而service没序列化,所以在action中引用service对象时提示此错误,最简单的解决方法是将service对象声明成transient,即service不需要序列化
    方法3(未验证):To avoid java serialization you need to implement writeObject() and readObject() method in your Class and need to throw NotSerializableException from those method.(action中实现这两个方法?)

1
2
3
4
5
6
private void writeObject(java.io.ObjectOutputStream stream) throws java.io.IOException {
throw new java.io.NotSerializableException( getClass().getName() );
}
private void readObject(java.io.ObjectInputStream stream) throws java.io.IOException, ClassNotFoundException {
throw new java.io.NotSerializableException( getClass().getName() );
}

NP_LOAD_OF_KNOWN_NULL_VALUE

  描述: Load of known null value加载已知是null的值
  解决方法:已知方法参数为null是,直接传递null而不是参数名

REC_CATCH_EXCEPTION

  描述: Exception is caught when Exception is not thrown 过泛地捕获异常或捕获异常后未做任何处理
  解决方法:异常分类捕获(至少要打印出此异常对象)

NP_NULL_PARAM_DEREF

  描述: Null passed for nonnull parameter 把空值传给了非空的参数
  解决方法:增加非空判断

NP_IMMEDIATE_DEREFERENCE_OF_READLINE

  描述: Immediate dereference of the result of readLine() 立即引用了readLine()的结果
  解决方法:判断readLine的结果是否为空

EI_EXPOSE_REP 恶意代码漏洞

  描述:may expose internal representation by returning getter方法返回引用类型
  eclipse自动生成的引用类型(Object、数组、Date等)的getter、setter方法会得到或通过对可变对象的引用操作而暴露代码内部实现,解决方法很多,只要返回的或赋值的对象不是原引用对象即可。
  解决方法:

1
2
3
4
5
6
7
//以Date类型为例:
public Date getHappenTime() {
if(happenTime != null){
return (Date) happenTime.clone();
}
return null;
}

EI_EXPOSE_REP2 恶意代码漏洞

  描述:may expose internal representation by storing an externally mutable object into setter方法返回引用类型
  eclipse自动生成的引用类型(Object、数组、Date等)的getter、setter方法会得到或通过对可变对象的引用操作而暴露代码内部实现,解决方法很多,只要返回的或赋值的对象不是原引用对象即可。
解决方法:

1
2
3
4
5
6
7
8
//以Date类型为例:
public void setHappenTime(Date happenTime) {
if(happenTime != null){
this.happenTime = (Date) happenTime.clone();
}else{
this.happenTime = null;
}
}

文章目录
  1. 1. DLS_DEAD_LOCAL_STORE
  2. 2. ST_WRITE_TO_STATIC_FROM_INSTANCE_METHOD
  3. 3. BX_UNBOXING_IMMEDIATELY_REBOXED
  4. 4. SE_BAD_FIELD
  5. 5. NP_LOAD_OF_KNOWN_NULL_VALUE
  6. 6. REC_CATCH_EXCEPTION
  7. 7. NP_NULL_PARAM_DEREF
  8. 8. NP_IMMEDIATE_DEREFERENCE_OF_READLINE
  9. 9. EI_EXPOSE_REP 恶意代码漏洞
  10. 10. EI_EXPOSE_REP2 恶意代码漏洞
|