代码精进之路
范学雷
前 Oracle 首席软件工程师,Java SE 安全组成员,OpenJDK 评审成员
37886 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
免费
课程目录
已完结/共 48 讲
开篇词 (1讲)
开篇词 | 你写的每一行代码,都是你的名片
时长 08:12
第一模块:代码“规范”篇 (16讲)
01 | 从条件运算符说起,反思什么是好代码
时长 12:24
02 | 把错误关在笼子里的五道关卡
时长 13:30
03 | 优秀程序员的六个关键特质
时长 12:32
04 | 代码规范的价值:复盘苹果公司的GoToFail漏洞
时长 11:22
05 | 经验总结:如何给你的代码起好名字?
时长 09:23
06 | 代码整理的关键逻辑和最佳案例
时长 12:31
07 | 写好注释,真的是小菜一碟吗?
时长 10:11
08 | 写好声明的“八项纪律”
时长 05:46
09 | 怎么用好Java注解?
时长 08:04
10 | 异常处理都有哪些陷阱?
时长 10:42
11 | 组织好代码段,让人对它“一见钟情”
时长 06:46
12丨组织好代码文件,要有“用户思维”
时长 10:30
13 | 接口规范,是协作的合约
时长 09:51
14 | 怎么写好用户指南?
时长 11:04
15 | 编写规范代码的检查清单
时长 11:31
16丨代码“规范”篇用户答疑
时长 11:04
第二模块:代码“经济”篇 (14讲)
17 | 为什么需要经济的代码?
时长 14:46
18丨思考框架:什么样的代码才是高效的代码?
时长 11:03
19 | 怎么避免过度设计?
时长 10:00
20 | 简单和直观,是永恒的解决方案
时长 09:03
21 | 怎么设计一个简单又直观的接口?
时长 11:45
22丨高效率,从超越线程同步开始!
时长 09:36
23 | 怎么减少内存使用,减轻内存管理负担?
时长 10:37
24 | 黑白灰,理解延迟分配的两面性
时长 07:11
25 | 使用有序的代码,调动异步的事件
时长 08:52
26 | 有哪些招惹麻烦的性能陷阱?
时长 09:53
27 | 怎么编写可持续发展的代码?
时长 11:27
28 | 怎么尽量“不写”代码?
时长 09:52
29 | 编写经济代码的检查清单
时长 10:14
30丨“代码经济篇”答疑汇总
时长 08:36
第三模块:代码“安全”篇 (14讲)
31 | 为什么安全的代码这么重要?
时长 10:14
32 | 如何评估代码的安全缺陷?
时长 17:29
33 | 整数的运算有哪些安全威胁?
时长 12:17
34 | 数组和集合,可变量的安全陷阱
时长 09:05
35 | 怎么处理敏感信息?
时长 09:15
36 | 继承有什么安全缺陷?
时长 09:59
37 | 边界,信任的分水岭
时长 00:00
38 | 对象序列化的危害有多大?
时长 00:00
39 | 怎么控制好代码的权力?
时长 00:00
40 | 规范,代码长治久安的基础
时长 00:00
41 | 预案,代码的主动风险管理
时长 00:00
42 | 纵深,代码安全的深度防御
时长 11:21
43 | 编写安全代码的最佳实践清单
时长 00:00
44 | “代码安全篇”答疑汇总
时长 00:00
加餐 (1讲)
Q&A加餐丨关于代码质量,你关心的那些事儿
时长 13:36
结束语 (1讲)
结束语|如何成为一个编程好手?
时长 04:50
期末测试题 (1讲)
期末测试丨有关代码编写的那些准则,你掌握了多少呢?
时长 00:00
代码精进之路
15
15
1.0x
00:00/00:00
登录|注册

40 | 规范,代码长治久安的基础

范学雷
如果从安全角度去考察,软件是非常脆弱的。今天还是安全的代码,明天可能就有人发现漏洞。安全攻击的问题,大部分出自信息的不对称性;而维护代码安全之所以难,大部分是因为安全问题是不可预见的。那么,该怎么保持代码的长治久安呢?

评审案例

有些函数或者接口,可能在我们刚开始写程序的时候,就已经接触,了解,甚至熟知了它们,比如说 C 语言的 read() 函数、Java 语言的 InputStream.read() 方法。我一点都不怀疑,我们熟知这些函数或接口的规范。比如说,C 语言的 read() 函数在什么情况下返回值为 0? InputStream.read() 方法在什么情况下返回值为 -1?
我知道,我们用错 read() 的概率很小。但是今天,我要和你讨论一两个不太常见,且非常有趣,的错误的用法。
让我们一起来看几段节选改编的 C 代码,代码中的 socket 表示网络连接的套接字文件描述符(file descriptor)。 你能够找到这些代码里潜在的问题吗?
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
void clientHello(int socket) {
char buffer[1024];
char* hello = "Hello from client!";
send(socket, hello, strlen(hello), 0);
printf("Hello message sent\n");
int n = read(socket, buffer, 1024);
printf("%s\n", buffer);
}
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
void serverHello(int socket) {
char buffer[1024];
char* hello = "Hello from server!";
int n = read(socket, buffer, 1024);
printf("%s\n", buffer);
send(socket, hello, strlen(hello), 0);
printf("Hello message sent\n");
}
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
void serverHello(int socket) {
char buffer[1024];
char* hello = "Hello from server!";
int n = read(socket, buffer, 1024);
if (n == 0) {
close(socket);
} else {
printf("%s\n", buffer);
send(socket, hello, strlen(hello), 0);
printf("Hello message sent\n");
}
}
现在,我们集中寻找 read() 函数返回值的使用问题。为了方便你分析,我把一个标准的 read() 函数返回值的规范摘抄如下:
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《代码精进之路》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
开篇词 | 你写的每一行代码,都是你的名片
免费
01 | 从条件运算符说起,反思什么是好代码
06 | 代码整理的关键逻辑和最佳案例
15 | 编写规范代码的检查清单
29 | 编写经济代码的检查清单
43 | 编写安全代码的最佳实践清单
登录 后留言

全部留言(6)

  • 最新
  • 精选
  • hua168
    像我们开发是直接调用框架函数,如果是安全问题,一般是框架自身的问题吧?

    作者回复: 一般不是框架自身的问题。

    4
  • 我来也
    我还是只懂c语言。我觉得比较奇怪,buffer的长度是1024,read 1024没问题,但是printf(%s)时,如果最后一个字节不是\0,那输出就会有问题了。

    作者回复: 哈哈,buffer不是字符串,printf打印的是字符串,所以问题就来了。

    4
  • 磉盘
    听得热血沸腾。小细节体验出编程的高深。只可惜自己达不到这样的境界,亦不知如何是好。

    作者回复: 养成认真看原版接口规范的好习惯,时间长一点,见识就积累下来了。

    1
  • 丁丁历险记
    由衷的感谢ie 退场。让it 文明得以更好的发展。(此处省略5000字的脏话)
    4
  • ifelse
    学习了
    归属地:浙江
  • ifelse
    对于接口规范来说,我们应该严格遵从白名单原则,没有明文规定的行为规范,就不是能依赖的行为规范。--记下来
    归属地:浙江
收起评论
显示
设置
留言
6
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部