字节码防止内存错误及提高代码质量

新客网 XKER.COM 2006-05-25 来源： 收藏本文

这个类型安全是如何加强安全的？如果一个攻击者能够欺骗虚拟机将一个int作为一个float或者相反，它就可以很容易的以一个预期的的方法破坏计算。如果这些计算涉及银行结余，那么隐含的安全性是很明显的。更危险的是欺骗VM将一个int作为一个Object引用。在大多情况下，这将导致VM崩溃，但是攻击者只需要找到一个漏洞。不要忘记攻击者不会手工搜索这个漏洞－－写出一个程序产生数以亿计的错误字节码的排列是相当容易的，这些排列试图找到危害VM的幸运的那个。

字节码的另一个内存安全防护是数组操作。'aastore' 和 'aaload' 字节码操作Java数组并且它们总是检查数组边界。如果调用程序越过了数组尾，这些字节码将抛出一个ArrayIndexOutOfBoundsException。也许所有最重要的检查都使用分支指令，例如，以if开始的字节码。在字节码中，分支指令只能转移到同一方法中的其它指令。在方法外可以传递的唯一控制是使它返回：抛出一个异常或者执行一个'invoke'指令。这不仅关闭了很多攻击，同时也防止由于摇荡引用（dangling reference）或者堆栈冲突而引发的令人厌恶的错误。如果你曾经使用系统调试器打开你的程序并定位到代码中的一个随机的位置，那么你会很熟悉这些错误。

所有这些检查中需要记住的重要的一点是它们是由虚拟机在字节码级进行的而不是仅仅由编译器在源代码级进行的。一个例如c++这样的语言的编译器可能在编译时预防上面讨论的某些内存错误，但是这些保护只是在源代码级应用。操作系统将很乐意加载执行任何机器码，无论这些代码是由精细的c++编译器产生的还是心怀恶意的攻击者产生的。简单的讲，C++仅仅是在源代码级上面向对象而Java的面向对象的特性扩展到编译过的代码级。

分析字节码提升代码质量

Java字节码的内存和安全保护无论我们是否注意都是存在地，那么我们为什么还费心查看字节码呢？在很多情况下，知道编译器如何将你的代码转换为字节码可以帮助你写出更高效的代码，而且在某些情况下可以防止不易发觉的错误。考虑下面的例子：

//返回 str1+str2 的串连
String concat(String str1, String str2) {
return str1 + str2;
}

//将 str2 附加到 str1
void concat(StringBuffer str1, String str2) {
str1.append(str2);
}

猜猜每个方法需要多少个方法调用。现在编译这些方法并且运行javap，你会得到类似下面的输出：

Method java.lang.String concat1(java.lang.String, java.lang.String)
0 new #5 <Class java.lang.StringBuffer>
3 dup
4 invokespecial #6 <Method java.lang.StringBuffer()>
7 aload_1
8 invokevirtual #7 <Method java.lang.StringBuffer append(java.lang.String)>
11 aload_2
12 invokevirtual #7 <Method java.lang.StringBuffer append(java.lang.String)>
15 invokevirtual #8 <Method java.lang.String toString()>
18 areturn

Method void concat2(java.lang.StringBuffer, java.lang.String)
0 aload_1
1 aload_2
2 invokevirtual #7 <Method java.lang.StringBuffer append(java.lang.String)>
5 pop
6 return

concat1方法执行了5个方法调用s: new, invokespecial和三个invokevirtuals，这比concat2方法执行了更多的工作，后者只执行了一个invokevirtual调用。大多Java程序员已经得到过警告，因为String是不可变的，而使用StringBuffer进行字符串连接效率更高。使用javap分析这个使得这点变得很生动。如果你不能肯定两个语言构造在性能上是否相等，你应该使用javap分析字节码。然而，对just-in-time (JIT)编译器要小心，因为JIT编译器将字节码重新编译为本机代码而能执行一些javap不能揭示的附加优化。除非你有你的虚拟机的源代码，否则你应该补充你的字节码的基准性能分析。

• ·J2EE开发技术基础入门
• ·Java和JSP编程应注意的六个常见问题
• ·Web Services的测试模型与代码摘录
• ·当前流行的J2EE WEB应用架构分析
• ·Java初学者必看：Java自动设置环境变量
• ·保存Java程序状态及设置Properties文件
• ·只支持单表映射的持久化框架──EasyDBO
• ·提高J2EE层与数据库层交互操作能力的优势
• ·提高J2EE层与数据库层交互操作能力的优势
• ·只支持单表映射的持久化框架──EasyDBO
• ·开发J2EE应用时应该遵循的几个基本准则
• ·开发J2EE应用时应该遵循的几个基本准则
• ·实例讲解如何用Struts向MySQL中储存图片
• ·J2SE综合：彻底理解JavaHelp结构的好处
• ·讨论手动部署EJB 亲自体验EJB开发流程
• ·J2SE综合－－有关 JAVA 的多线程浅析