写了个全局变量的bug，被同事们打脸-低调大师

写了个全局变量的bug，被同事们打脸

2020-11-09 645

话说栈长前阵子写了一个功能，测试 0 bug 就上线了，上线后也运行好好的，好多天都没有人反馈bug，超爽。。

不出问题还好，出问题就是大问题。。

最近有个客户反馈某些数据混乱问题，看代码死活看不出什么问题，很诡异，再仔细看代码，原来是一个全局变量的问题，导致在并发情况下出现了线程不安全的问题，事后被同事们打脸!!!

慎用全局变量，我在公司一直在强调，没想到这么低级的问题居然发生在自己身上，说起来真的惭愧啊。。

最开始使用的是 Spring 注入对象的方式：

 
 
  
  @Autowired 
  
  private Object object;

因为 Spring 默认是单例，所以这样写是没有问题的，后来随着业务的发展，需要多个不同的业务实例，我改成了这种方式：

 
 
  
  @Setter 
  
  private Object object;

这个 @Setter 是 Lombok 的注解，用来生成 setters 方法，现在想起来，真是低级啊，同时操作的情况下，这个对象肯定会出现覆盖的情况，从而导致上面说的问题。

写了一个这么低级bug，我也不怕不好意思发出来，大家都谨记一下吧。

另外，我再总结几个慎用全局变量的场景：

1、SimpleDateFormat

SimpleDateFormat 禁止定义成 static 变量或者全局共享变量，因为它是线程不安全的，都被写进阿里巴巴的《Java开发手册》里了：

为什么说 SimpleDateFormat 不是线程安全的呢?

来看下它的 format 方法源码：

可以看到 calendar 变量居然也是全局变量，多线程情况下就会存在设置脏变量的情况。

所以，如果要用 SimpleDateFormat，就在每次用的时候都创建一个 SimpleDateFormat 对象，做到线程间隔离。

2、资源连接

资源连接包括数据库连接、FTP连接、Redis连接等，这种也要慎用全局变量，一量使用全局变量，就会遇到以下问题：

关闭连接的时候，就可能把别人正在操作的连接给关了，导致其他线程的业务中断;
因为是全局变量，创建的时候可能会创建多个实例，在关闭连接的时候，就可能只关闭了一个对象的连接，造成其他连接没有被关闭，最后导致连接耗光系统不可用;

3、数字运算

这也是个很经典的问题了，如果要用多线程对一个数字进行累加等其他运算处理，千万不要用全局基础类型的变量，如下所示：

 
 
  
  private long count;

多线程情况下，某个线程获取到的值可能已经被其他线程修改了，最后得到的值就不准确了。

当然，上面的示例可以通过加锁的方式来解决，也可以使用全局的原子类(java.util.concurrent.atomic.Atom*)进行处理，比如：

 
 
  
  private AtomicInteger count = new AtomicInteger();

注意，这种原子类使用全局变量就没有线程安全的问题，它使用了 CAS 算法保证了数据一致性。

不过，阿里推荐使用LongAdder，因为性能更好：

 
 
  
  java.util.concurrent.atomic.LongAdder

4、全局session

来看下面的例子：

 
 
  
  @Autowired 
  
  protected HttpSession session;

全局注入一个 Session 对象，在 Spring 中，这样全局注入使用上面是默认没问题的，包括 request, response 对象，都可以通过全局注入来获取。

这样会存在线程安全性吗?

不会!

使用这种方式，当 Bean 初始化时，Spring 并没有注入真实对象，而是注入了一个代理对象，真正使用的时候通过该代理对象获取真正的对象。

并且，在注入此类对象时，Spring使用了线程局部变量(ThreadLocal)，这就保证了 request/response/session 对象的线程安全性了。

具体就不展开了，详细的介绍及测试大家可以点击这个链接查看这篇文章。

既然是线程安全，但也得小心，如果我在方法中主动使 session 对象失效并重建了：

 
 
  
  session.invalidate(); 
  
  session = request.getSession();

这样，session对象就变成了真实对象了，不再是代理对象，就变成了文章最开始的时候我说的那种多线程安全问题了，如果线上出现 session 会话混乱，用户 A 就可能看到用户 B 的数据，你想想可不可怕?

所以，即使可以这样使用，也得千万小心谨慎，最好是在方法级别使用这些对象。

总结

今天，栈长总结了一下我是怎么写出这个全局变量的低级 bug，也总结了下慎用全局变量的 4 种情况，相信大家多多少都遇到过类似的问题，希望能帮助大家少踩坑。

全局变量虽好，但我们也得谨慎使用啊，一定要考虑是否引起多线程安全问题，不然会引起重大问题。

微信关注我们

原文链接：http://netsecurity.51cto.com/art/202011/631307.htm

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

黑客攻击的下一个热点：路由器和NAS漏洞

随着全球远程办公的常态化，BYOD大行其道，路由器和NAS等家庭数码设备正在成为黑客重点关注的突破口。在近日举行的Pwn2Own东京2020黑客大赛上，参赛的漏洞赏金猎人们在第一天就成功入侵了NETGEAR路由器和西部数据的NAS存储设备(编者：这也是NAS设备首次参加Pwn2Own大赛)。今年的Pwn2Own Tokyo由加拿大多伦多的ZDI协调组织，由于冠状病毒大流行，比赛变成了虚拟比赛，参与者在远程演示攻击。在活动的第一天，网件(NETGEAR)的高端路由器Nighthawk R7800受到了包括Black Coffee团队、Flashback团队以及网络安全公司Starlabs和Trapa Security团队的“围攻”。 Flashback团队因结合了两个漏洞成功实施了通过WAN端口的远程代码执行利用，斩获了网件的2万美元的奖金。而Starlabs团队(上图)通过结合两个漏洞实现了任意代码执行，获得了5,000美元的奖金。Trapa Security团队使用命令注入缺陷来控制路由器后，同样获得了5000美元奖金。西部数据的存储产品，My Cloud Pro系列PR41...

2020-11-09

576

最近刷知乎看到的一个魔幻事件，某游戏公司老板以“公司效益良好，利润有较大增长”为由，反而要求工龄2年以上的老员工自愿申请每月降薪10%。。。这是啥骚操作，一般公司效益好利润增长不是应该发奖金或涨工资吗，反而要求员工降薪，那这以后谁还好好干活给公司提高效益。做得不好被打被开除，做得好还被要求自愿降薪，打工人真难啊。。。。有没有职场大佬来分析一下这波反向操作是啥用意？

2020-11-10

726

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。