SV.EXPOSE.IFIELD

针对非最终公共字段或受保护的非静态字段报告此警告。

漏洞与风险

这些字段可能被来自其他数据包的恶意代码更改。

Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用;这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源,因为用户可能是攻击者,或者可能引入人为错误。

缓解与预防

要修正此问题,需要确保将字段设为 final(如果可能)或者 private/package protected。

示例 1

复制
  public class SV_EXPOSE_IFIELD_Sample_1 {
      public boolean debug;
     // ...
 }

针对第 9 行的字段声明报告 SV.EXPOSE.IFIELD:非最终的公共实例字段 debug 可能被恶意代码更改,或者被无意间更改。

相关检查器