[toc] # 簡介 在java物件和欄位的初始化過程中會遇到哪些安全性問題呢？一起來看看吧。 # 初始化順序 根據JLS（Java Language Specification）中的定義，class在初始化過程中，需要同時初始化class中定義的靜態初始化程式和在該類中宣告的靜態欄位（類變數）的初始化程式。 而對於static變數來說，如果static變數被定義為final並且它值是編譯時常量值，那麼該static變數將會被優先初始化。 那麼使用了final static變數，是不是就沒有初始化問題了呢？ 我們來看下面一個例子： ~~~java public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=100; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); } } ~~~ 輸出結果是什麼呢？ 答案是90。 根據我們提到的規則，intValue是final並且被編譯時常量賦值，所以是最先被初始化的，instance呼叫了StaticFiledOrder類的建構函式，最終導致result的值是90。 接下來，我們換個寫法，將intValue改為隨機變數： ~~~java public class StaticFiledOrder { private final int result; private static final StaticFiledOrder instance = new StaticFiledOrder(); private static final int intValue=(int)Math.random()* 1000; public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); } } ~~~ 執行結果是什麼呢？ 答案是-10。為什麼呢？ 因為instance在呼叫StaticFiledOrder建構函式進行初始化的過程中，intValue還沒有被初始化，所以它有一個預設的值0，從而導致result的最終值是-10。 怎麼修改呢？ 將順序調換一下就行了： ~~~java public class StaticFiledOrder { private final int result; private static final int intValue=(int)Math.random()* 1000; private static final StaticFiledOrder instance = new StaticFiledOrder(); public StaticFiledOrder(){ result= intValue - 10; } public static void main(String[] args) { System.out.println(instance.result); } } ~~~ # 迴圈初始化 既然static變數可以呼叫建構函式，那麼可不可以呼叫其他類的方法呢？ 看下這個例子： ~~~java public class CycleClassA { public static final int a = CycleClassB.b+1; } public class CycleClassB { public static final int b = CycleClassA.a+1; } ~~~ 上面就是一個迴圈初始化的例子，上面的例子中CycleClassA中的a引用了CycleClassB的b，而同樣的CycleClassB中的b引用了CycleClassA的a。 這樣迴圈引用雖然不會報錯，但是根據class的初始化順序不同，會導致a和b生成兩種不同的結果。 所以在我們編寫程式碼的過程中，一定要避免這種迴圈初始化的情況。 # 不要使用java標準庫中的類名作為自己的類名 java標準庫中為我們定義了很多非常優秀的類，我們在搭建自己的java程式時候可以很方便的使用。 但是我們在寫自定義類的情況下，一定要注意避免使用和java標準庫中一樣的名字。 這個應該很好理解，就是為了避免混淆。以免造成不必要的意外。 這個很簡單，就不舉例子了。 # 不要在增強的for語句中修改變數值 我們在遍歷集合和陣列的過程中，除了最原始的for語句之外，java還為我們提供了下面的增強的for迴圈： ~~~java for (I #i = Expression.iterator(); #i.hasNext(); ) { {VariableModifier} TargetType Identifier = (TargetType) #i.next(); Statement } ~~~ 在遍歷的過程中，#i其實相當於一個本地變數，對這個本地變數的修改是不會影響到集合本身的。 我們看一個例子： ~~~java public void noncompliantUsage(){ int[] intArray = new int[]{1,2,3,4,5,6}; for(int i: intArray){ i=0; } for(int i: intArray){ System.out.println(i); } } ~~~ 我們在遍歷過程中，嘗試將i都設定為0，但是最後輸出intArray的結果，發現沒有任何變化。 所以，一般來說我們需要在增強的for語句中，將#i設定成為final，從而消除這種不必要的邏輯誤會。 ~~~java public void compliantUsage(){ int[] intArray = new int[]{1,2,3,4,5,6}; for(final int i: intArray){ } for(int i: intArray){ System.out.println(i); } } ~~~ 本文的例子： [learn-java-base-9-to-20/tree/master/security](https://github.com/ddean2009/learn-java-base-9-to-20/tree/master/security) > 本文已收錄於 [http://www.flydean.com/java-security-code-line-dlc/](http://www.flydean.com/java-security-code-line-dlc/) > > 最通俗的解讀，最深刻的乾貨，最簡潔的教程，眾多你不知道的小技巧等你來發現！ > > 歡迎關注我的公眾號:「程式那些事」,懂技術，更