根据《Effective Java Item 24》(在需要时制作防御性副本),可变对象会带来安全风险,尤其是作为构造函数参数传递时。我们鼓励人们根据需要制作防御性副本。
BigDecimal
应该是不可变的,但它不是最终的。根据Effective Java Item 15(最小化可变性),类不能是不可变的,除非它是final的或者它的所有构造函数都是不可扩展的。
更糟糕的是,BigDecimal
不提供复制构造函数。
那么,BigDecimal
参数会带来安全风险吗?是否应该经历调用 new BigDecimal(untrusted.toString())
的痛苦过程?
最佳答案
根据https://stackoverflow.com/a/33463772/14731 :
As discussed in Effective Java, Item 13, Favor Immutability, this was a design oversight when the class was written
根据https://stackoverflow.com/a/12600683/14731 BigDecimal 确实会带来安全风险,应根据需要制作防御性副本。
看起来创建防御性副本的最快方法是:
public static BigDecimal copyOf(BigDecimal value)
{
if (value == null || value.getClass() == BigDecimal.class)
return value;
return new BigDecimal(value.unscaledValue(), value.scale());
}
更新:显然,这一点现在已在《Effective Java》第 3 版第 17 项(最小化可变性)中明确讨论。
关于java - BigDecimal 是可扩展的并且没有复制构造函数。这有安全风险吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48878370/