正在阅读:JSP安全编程实例浅析JSP安全编程实例浅析

2005-01-19 10:37 出处: 作者:佚名 责任编辑:xietaoming

  六、线程安全初探

  “JAVA能做的,JSP就能做”。与ASP、PHP等脚本语言不一样,JSP默认是以多线程方式执行的。以多线程方式执行可大大降低对系统的资源需求,提高系统的并发量及响应时间。线程在程序中是独立的、并发的执行路径,每个线程有它自己的堆栈、自己的程序计数器和自己的局部变量。虽然多线程应用程序中的大多数操作都可以并行进行,但也有某些操作(如更新全局标志或处理共享文件)不能并行进行。如果没做好线程的同步,在大并发量访问时,不需要恶意用户的“热心参与”,问题也会出现。最简单的解决方案就是在相关的JSP文件中加上: <%@ page isThreadSafe="false" %>指令,使它以单线程方式执行,这时,所有客户端的请求以串行方式执行。这样会严重降低系统的性能。我们可以仍让JSP文件以多线程方式执行,通过对函数上锁来对线程进行同步。一个函数加上synchronized 关键字就获得了一个锁。看下面的示例:

public class MyClass{
int a;
public Init() {//此方法可以多个线程同时调用
 a = 0;
}
public synchronized void Set() {//两个线程不能同时调用此方法
 if(a>5) {
  a= a-5;
 }
}

  但是这样仍然会对系统的性能有一定影响。一个更好的方案是采用局部变量代替实例变量。因为实例变量是在堆中分配的,被属于该实例的所有线程共享,不是线程安全的,而局部变量在堆栈中分配,因为每个线程都有它自己的堆栈空间,所以这样线程就是安全的了。比如凌云论坛中添加好友的代码:

public void addFriend(int i, String s, String s1)
throws DBConnectException
{
 try
 {
  if……
  else
  {
   DBConnect dbconnect = new DBConnect("insert into friend (authorid,friendname) values (?,?)");
   dbconnect.setInt(1, i);
   dbconnect.setString(2, s);
   dbconnect.executeUpdate();
   dbconnect.close();
   dbconnect = null;
  }
 }
 catch(Exception exception)
 {
  throw new DBConnectException(exception.getMessage());
 }

  下面是调用:

friendName=ParameterUtils.getString(request,"friendname");
if(action.equals("adduser")) {
 forumFriend.addFriend(Integer.parseInt(cookieID),friendName,cookieName);
 errorInfo=forumFriend.getErrorInfo();

  如果采用的是实例变量,那么该实例变量属于该实例的所有线程共享,就有可能出现用户A传递了某个参数后他的线程转为睡眠状态,而参数被用户B无意间修改,造成好友错配的现象。

键盘也能翻页,试试“← →”键

关注我们

最新资讯离线随时看 聊天吐槽赢奖品