Warum ist es erlaubt, access, Java private Felder per reflection?

Betrachten Sie dieses Beispiel :

import java.lang.reflect.Field;

public class Test {

    public static void main(String[] args) {
        C c = new C();
        try {
            Field f = C.class.getDeclaredField("a");
            f.setAccessible(true);
            Integer i = (Integer)f.get(c);
            System.out.println(i);
        } catch (Exception e) {}
    }
}

class C {
    private Integer a =6;
}

Scheint es unlogisch, dass Sie berechtigt sind, Zugriff auf private Felder von Klassen mit reflection. Warum ist so eine Funktionalität zur Verfügung? Ist es nicht "gefährlich" Zugriff?

InformationsquelleAutor Savvas Dalkitsis | 2009-08-06
  1. 58

    Private soll verhindern, dass ein versehentliches Missbrauch, nicht als Sicherheitsmechanismus. Wenn Sie sich entscheiden, diese zu umgehen, dann können Sie dies auf eigene Gefahr und die Annahme, Sie wissen, was Sie tun.

    • +1 für "für scoping, nicht für die Sicherheit".
    • +1 völlig richtig privat ist ein Hinweis für andere Programmierer, dass Sie sollten nicht über die Mitglied-die Klasse zu halten laufen. Es gibt Ihnen die Fähigkeit zu Sortieren, den code in einige Verträge und der compiler prüfen Sie den Vertrag, dass Sie nicht direkt schreiben oder Lesen, diese Mitglieder. Aber wenn Sie haben, um den Vertrag zu brechen, Sie können es tun, weil eine Programmiersprache sollte nicht im Wege stehen, ein Programmierer, auch wenn er Schießen will selbst in die Knie.
    • also alles in allem, Kapselung oder sollte ich sagen - Daten versteckt ist alles über scpoing und nichts mit Sicherheit zu tun, auch wenn Sie Ihre APIs als Dritten jar
    InformationsquelleAutor jcoder
  2. 22

    Beide getDeclaredField() und setAccessible() sind eigentlich die Prüfung durch den security-manager und eine Ausnahme werfen, wenn Ihr code ist nicht erlaubt, dies zu tun. Mehr als oft nicht, Sie wird es nicht bemerken, weil Java-code wird oft ausgeführt, ohne dass ein security-manager.

    Gibt es eine wichtige Ausnahme sind Applets, die laufen immer mit einem security manager.

    • Sie sagen, dass "Java-code wird oft ausgeführt, ohne dass ein security-manager". Es gibt keine Standard-security-manager?
    • Woah ... "wichtig" und "applet" im gleichen Satz. Das waren noch Zeiten. Ich lasse es wie das als ein Beweis dafür, wie sich die Zeiten ändern 🙂
    InformationsquelleAutor Joachim Sauer
  3. 10

    Ja es ist nicht schön, aber es erlaubt frameworks wie Java-Serialisierung zu arbeiten.

    Einstellung der zugänglich fahne in eine reflektierte Objekt ermöglicht anspruchsvolle Anwendungen ausreichende Berechtigung, wie Java-Objekt-Serialisierung oder andere Persistenz-Mechanismen, um Objekte zu manipulieren, in einer Art, die normalerweise verboten werden.

    Ich glaube, dass die Funktionalität kann deaktiviert werden, durch die SecurityManager

    http://javabeans.asia/2008/10/12/how_to_set_securitymanager_and_java_security_policy_programmatically.html

    InformationsquelleAutor pjp
  4. 8

    Reflexion ist gefährlich. Zeitraum.

    Was ist der Sinn in der Begrenzung der Nützlichkeit einer wirklich gefährlichen system zuliebe immer so leicht erhöhte Sicherheit?

    Auch, eine automatisierte Serialisierung erfordert die Fähigkeit zu "saugen die Gehirne" aus jeder Klasse; ignorieren zugriffsmodifizierer ist eine Notwendigkeit in diesem Fall.

    InformationsquelleAutor Kevin Montrose
  5. 4

    Reflexion ist eine komplette API für die erste innen-Klassen. Private Mitglieder und alle.

    In Fällen, In denen Sie nicht Vertrauen, den code, den Sie sind, ausgeführt werden (applets und dergleichen), können Sie verhindern, dass der code aus mit der spiegelung überhaupt. Sehen dieser Stack Overflow Frage für details.

    InformationsquelleAutor Nelson
  6. 3

    Aus der Beschreibung des java.lang.reflektieren Paket:

    Klassen in diesem Paket, zusammen mit
    java.lang.Class unterzubringen
    Anwendungen wie Debugger,
    Dolmetscher -, Objekt-Inspektoren, Klasse
    Browser, und Dienstleistungen, wie beispielsweise Objekt
    Serialisierung und JavaBeans müssen
    Zugriff auf die öffentlichen Mitglieder
    ein target-Objekt (je nach Laufzeit
    Klasse) oder die Mitglieder erklärt
    Klasse.

    Reflexion stellt einen Mechanismus für den Zugriff auf Informationen über Klassen durch die Mittel, die in der Regel nicht zur Verfügung, die durch regelmäßige Interaktion zwischen Klassen und Objekten. Ein solcher ist der Zugriff auf private Felder aus, die außerhalb von Klassen und Objekten.

    Ja, der Reflexion im Allgemeinen kann in der Tat gefährlich, da Sie können aufzudecken die Interna der Klassen und Objekte.

    Aber es ist auch ein sehr mächtiges Werkzeug, das verwendet werden kann, um untersuchen Sie die Funktionsweise von Klassen und Objekten, die kann nicht zugegriffen werden, die von anderen standard-Mittel.

    InformationsquelleAutor coobird
  7. 3

    Aus: http://java.sun.com/docs/books/tutorial/reflect/

    Reflexion wird Häufig verwendet, durch Programme, die die Fähigkeit erfordern, zu untersuchen oder zu verändern das Laufzeitverhalten von Anwendungen in der Java virtual machine.

    Es ist ein tool, mit dem man Regeln zu brechen, man kann werfen Sie es über den Fuß, oder verwenden Sie es ordnungsgemäß.

    InformationsquelleAutor Alberto Zaccagni
Schreibe einen Kommentar