SV.EXPOSE.IFIELD
针对非最终公共字段或受保护的非静态字段报告此警告。
漏洞与风险
这些字段可能被来自其他数据包的恶意代码更改。
Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用;这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源,因为用户可能是攻击者,或者可能引入人为错误。
缓解与预防
要修正此问题,需要确保将字段设为 final(如果可能)或者 private/package protected。
示例 1
复制
public class SV_EXPOSE_IFIELD_Sample_1 {
public boolean debug;
// ...
}针对第 9 行的字段声明报告 SV.EXPOSE.IFIELD:非最终的公共实例字段 debug 可能被恶意代码更改,或者被无意间更改。
