写了个全局变量的bug，被同事们打脸-低调大师

写了个全局变量的bug，被同事们打脸

2020-11-09 609 89

话说栈长前阵子写了一个功能，测试 0 bug 就上线了，上线后也运行好好的，好多天都没有人反馈bug，超爽。。

不出问题还好，出问题就是大问题。。

最近有个客户反馈某些数据混乱问题，看代码死活看不出什么问题，很诡异，再仔细看代码，原来是一个全局变量的问题，导致在并发情况下出现了线程不安全的问题，事后被同事们打脸!!!

慎用全局变量，我在公司一直在强调，没想到这么低级的问题居然发生在自己身上，说起来真的惭愧啊。。

最开始使用的是 Spring 注入对象的方式：

 
 
  
  @Autowired 
  
  private Object object;

因为 Spring 默认是单例，所以这样写是没有问题的，后来随着业务的发展，需要多个不同的业务实例，我改成了这种方式：

 
 
  
  @Setter 
  
  private Object object;

这个 @Setter 是 Lombok 的注解，用来生成 setters 方法，现在想起来，真是低级啊，同时操作的情况下，这个对象肯定会出现覆盖的情况，从而导致上面说的问题。

写了一个这么低级bug，我也不怕不好意思发出来，大家都谨记一下吧。

另外，我再总结几个慎用全局变量的场景：

1、SimpleDateFormat

SimpleDateFormat 禁止定义成 static 变量或者全局共享变量，因为它是线程不安全的，都被写进阿里巴巴的《Java开发手册》里了：

为什么说 SimpleDateFormat 不是线程安全的呢?

来看下它的 format 方法源码：

可以看到 calendar 变量居然也是全局变量，多线程情况下就会存在设置脏变量的情况。

所以，如果要用 SimpleDateFormat，就在每次用的时候都创建一个 SimpleDateFormat 对象，做到线程间隔离。

2、资源连接

资源连接包括数据库连接、FTP连接、Redis连接等，这种也要慎用全局变量，一量使用全局变量，就会遇到以下问题：

关闭连接的时候，就可能把别人正在操作的连接给关了，导致其他线程的业务中断;
因为是全局变量，创建的时候可能会创建多个实例，在关闭连接的时候，就可能只关闭了一个对象的连接，造成其他连接没有被关闭，最后导致连接耗光系统不可用;

3、数字运算

这也是个很经典的问题了，如果要用多线程对一个数字进行累加等其他运算处理，千万不要用全局基础类型的变量，如下所示：

 
 
  
  private long count;

多线程情况下，某个线程获取到的值可能已经被其他线程修改了，最后得到的值就不准确了。

当然，上面的示例可以通过加锁的方式来解决，也可以使用全局的原子类(java.util.concurrent.atomic.Atom*)进行处理，比如：

 
 
  
  private AtomicInteger count = new AtomicInteger();

注意，这种原子类使用全局变量就没有线程安全的问题，它使用了 CAS 算法保证了数据一致性。

不过，阿里推荐使用LongAdder，因为性能更好：

 
 
  
  java.util.concurrent.atomic.LongAdder

4、全局session

来看下面的例子：

 
 
  
  @Autowired 
  
  protected HttpSession session;

全局注入一个 Session 对象，在 Spring 中，这样全局注入使用上面是默认没问题的，包括 request, response 对象，都可以通过全局注入来获取。

这样会存在线程安全性吗?

不会!

使用这种方式，当 Bean 初始化时，Spring 并没有注入真实对象，而是注入了一个代理对象，真正使用的时候通过该代理对象获取真正的对象。

并且，在注入此类对象时，Spring使用了线程局部变量(ThreadLocal)，这就保证了 request/response/session 对象的线程安全性了。

具体就不展开了，详细的介绍及测试大家可以点击这个链接查看这篇文章。

既然是线程安全，但也得小心，如果我在方法中主动使 session 对象失效并重建了：

 
 
  
  session.invalidate(); 
  
  session = request.getSession();

这样，session对象就变成了真实对象了，不再是代理对象，就变成了文章最开始的时候我说的那种多线程安全问题了，如果线上出现 session 会话混乱，用户 A 就可能看到用户 B 的数据，你想想可不可怕?

所以，即使可以这样使用，也得千万小心谨慎，最好是在方法级别使用这些对象。

总结

今天，栈长总结了一下我是怎么写出这个全局变量的低级 bug，也总结了下慎用全局变量的 4 种情况，相信大家多多少都遇到过类似的问题，希望能帮助大家少踩坑。

全局变量虽好，但我们也得谨慎使用啊，一定要考虑是否引起多线程安全问题，不然会引起重大问题。

微信关注我们

原文链接：http://netsecurity.51cto.com/art/202011/631307.htm

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

2020-11-09 11:48:55

黑客攻击的下一个热点：路由器和NAS漏洞

随着全球远程办公的常态化，BYOD大行其道，路由器和NAS等家庭数码设备正在成为黑客重点关注的突破口。在近日举行的Pwn2Own东京2020黑客大赛上，参赛的漏洞赏金猎人们在第一天就成功入侵了NETGEAR路由器和西部数据的NAS存储设备(编者：这也是NAS设备首次参加Pwn2Own大赛)。今年的Pwn2Own Tokyo由加拿大多伦多的ZDI协调组织，由于冠状病毒大流行，比赛变成了虚拟比赛，参与者在远程演示攻击。在活动的第一天，网件(NETGEAR)的高端路由器Nighthawk R7800受到了包括Black Coffee团队、Flashback团队以及网络安全公司Starlabs和Trapa Security团队的“围攻”。 Flashback团队因结合了两个漏洞成功实施了通过WAN端口的远程代码执行利用，斩获了网件的2万美元的奖金。而Starlabs团队(上图)通过结合两个漏洞实现了任意代码执行，获得了5,000美元的奖金。Trapa Security团队使用命令注入缺陷来控制路由器后，同样获得了5000美元奖金。西部数据的存储产品，My Cloud Pro系列PR41...

550

2020-11-10 10:20:00

热议：如何看待老板要求员工自愿降薪表“忠诚”

最近刷知乎看到的一个魔幻事件，某游戏公司老板以“公司效益良好，利润有较大增长”为由，反而要求工龄2年以上的老员工自愿申请每月降薪10%。。。这是啥骚操作，一般公司效益好利润增长不是应该发奖金或涨工资吗，反而要求员工降薪，那这以后谁还好好干活给公司提高效益。做得不好被打被开除，做得好还被要求自愿降薪，打工人真难啊。。。。有没有职场大佬来分析一下这波反向操作是啥用意？

700

资源下载

更多资源

优质分享Android(本站安卓app)

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Apache Tomcat7、8、9（Java Web服务器）

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

Eclipse（集成开发环境）

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括Java开发工具（Java Development Kit，JDK）。

Java Development Kit(Java开发工具)

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。