Java BigDecimal是可扩展的,没有复制构造函数。这是安全风险吗?
根据有效的Java项目24(在需要时制作防御性拷贝),可变对象会带来安全风险,特别是当作为构造函数参数传递时。鼓励一个人在必要时制作防御性副本Java BigDecimal是可扩展的,没有复制构造函数。这是安全风险吗?,java,security,bigdecimal,effective-java,Java,Security,Bigdecimal,Effective Java,根据有效的Java项目24(在需要时制作防御性拷贝),可变对象会带来安全风险,特别是当作为构造函数参数传递时。鼓励一个人在必要时制作防御性副本 BigDecimal是不可变的,但它不是最终的。根据有效的Java项目15(最小化可变性),一个类不能是不可变的,除非它是最终的或者它的所有构造函数都是不可扩展的 更糟糕的是,BigDecimal没有提供复制构造函数 那么,BigDecimal参数是否会带来安全风险?调用新的BigDecimal(untrusted.toString())是否应该经历痛苦
BigDecimalBigDecimalBigDecimalpublic static BigDecimal copyOf(BigDecimal value)
{
if (value == null || value.getClass() == BigDecimal.class)
return value;
return new BigDecimal(value.unscaledValue(), value.scale());
}
更新:显然,这一点在《有效的Java第三版》第17项(最小化可变性)中已经明确讨论过了。类似的内容也可以使用:
BigDecimal newValue=oldValue==null?null:oldValue.add(BigDecimal.ZERO)value.getClass()==BigDecimal.classvalue.getClass()!=BigDecimal.classvalue.getClass()==BigDecimal.classoldValue.add(BigDecimal.ZERO)oldValueBigDecimal.ZERO.add(oldValue)add()