Говнокод: по колено в коде.

Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!

PHP (5703)
C++ (2740)
Куча (2338)
JavaScript (2030)
C# (1929)
Java (1503)
Си (1103)
Pascal (649)
Python (585)
1C (536)
SQL (434)
ActionScript (294)
Objective C (204)
bash (200)
Perl (196)
Assembler (148)
Ruby (144)
VisualBasic (140)
Lua (51)
Go (32)
Swift (29)
Haskell (28)
Kotlin (15)

Java / Говнокод #11400

+117
1. 01
2. 02
3. 03
4. 04
5. 05
6. 06
7. 07
8. 08
9. 09
10. 10
11. 11
12. 12
13. 13
14. 14
15. 15
16. 16
17. 17
18. 18
19. 19
20. 20
21. 21
22. 22
23. 23
24. 24
25. 25
26. 26
27. 27
```
public class Foo { 
 public Foo() {
  System.out.println("constructing foo: " + this);
  throw new RuntimeException();
 }
 public void doEvil() {
  System.out.println("Evil!Evil!Evil");
 }
}

public class MyFoo extends Foo {
 public static Foo x;
 @Override
 protected void finalize() throws Throwable {
  x = this;
 } 
}

try {
 Foo x = new MyFoo();
} catch(Exception e) {
 System.out.println(""+e);
}
System.gc();
System.runFinalization();
System.out.println("MyFoo instance: " + MyFoo.x);
MyFoo.x.doEvil();
```
Вот так бесстрашные хакеры получают доступ к методу экземпляра объекта, конструктор которого выбрасывает исключение, а потом жалуются, что, мол, Java - решето.

А теперь вопрос на засыпку: как сделать то же самое, не используя finalize и gc?

Запостил: someone, 12 Июля 2012

Tweet
Комментарии (9) RSS
- someone 12.07.2012 09:35 # 0
  
  Источник: http://futuretask.blogspot.com/2006/05/java-tip-10-constructor-exceptions-are.html
  Ответить
- rat4 12.07.2012 10:23 # 0
  
  >А теперь вопрос на засыпку: как сделать то же самое, не используя finalize и gc?
  
  http://ideone.com/1aiJh
  Ответить
  - someone 12.07.2012 10:30 # 0
    
    o_O
    
    Под SecurityManager'ом не заработает. А как без setAccessible? И вообще без рефлексии?
    
    EDIT: И без сановских хакерских функций. Чисто стандарт.
    Ответить
    - bormand 12.07.2012 10:38 # 0
      
      Такой вопрос - а зачем вам "получать доступ к методу экземпляра объекта, конструктор которого выбрасывает исключение". Имхо если объект недоконструирован - вызов его методов не имеет никакого смысла...
      Ответить
    - rat4 12.07.2012 10:42 # 0
      
      Таки вырезать исключения из конструктора. Библиотеки для манипуляций с байткодом есть.
      Ответить
      
      someone 12.07.2012 13:17 # 0
      
      Ну если уж мы вдаёмся в такие дебри, то можно использовать AOP, ConstructorInterceptor и в нём игнорировать собственно вызов конструктора.
      
      Но нет. Чисто языковые средства. Подсказка: уязвимость специфична конкретно для этого класса Foo, в общем случае не сработает.
      Ответить
      
      roman-kashitsyn 12.07.2012 13:26 # +6
      
      http://ideone.com/vJ0qb
      Ответить
      
      someone 12.07.2012 13:28 # 0
      
      Браво!
      Ответить
- roman-kashitsyn 12.07.2012 10:30 # +4
  
  Я стараюсь вообще не выбрасывать исключения в конструкторах. Если нужна валидация аргументов, использую для этих целей фабричный метод или Builder.
  Ответить
Добавить комментарий
Ошибка компиляции комментария:

Гости могут высказаться только во вторник, пятницу или субботу
Где здесь C++, guest?!

А не использовать ли нам bbcode?

[b]жирный[/b] — жирный

[i]курсив[/i] — курсив

[u]подчеркнутый[/u] — подчеркнутый

[s]перечеркнутый[/s] — перечеркнутый

[blink]мигающий[/blink] — мигающий

[color=red]цвет[/color] — цвет (подробнее)

[size=20]размер[/size] — размер (подробнее)

[code=<language>]some code[/code] (подробнее)

Проверочный код: *

Говнокод: по колено в коде.

Java / Говнокод #11400

Комментарии (9) RSS

Добавить комментарий