当前位置：首页 > news >正文

Java开发安全之：Unreleased Resource: Streams需确保流得到释放

news 2026/5/20 19:18:10

Overview

java 中的函数 getResponseBytes() 有时无法成功释放由 getInputStream() 函数分配的系统资源。

Details

程序可能无法成功释放某一项系统资源。在这种情况下，在某些程序路径上，所分配的资源未释放。资源泄露至少有两种常见的原因：

－错误状况及其他异常情况。

－未明确程序的哪一部份负责释放资源。

大部分 Unreleased Resource 问题只会导致常规软件可靠性问题，但如果攻击者能够故意触发资源泄漏，该攻击者就有可能通过耗尽资源池的方式发起 Denial of Service 攻击。

示例：下面的方法绝不会关闭它所打开的文件句柄。FileInputStream 中的 finalize() 方法最终会调用 close()，但是不能确定何时会调用 finalize() 方法。在繁忙的环境中，这会导致 JVM 用尽它所有的文件句柄。

private void processFile(String fName) throws FileNotFoundException, IOException {FileInputStream fis = new FileInputStream(fName); 
int sz; 
byte[] byteArray = new byte[BLOCK_SIZE]; 
while ((sz = fis.read(byteArray)) != -1) {processBytes(byteArray, sz); 
} 
}

Recommendations

1. 请不要依赖 finalize() 回收资源。为了使对象的 finalize() 方法能被调用，垃圾收集器必须确认对象符合垃圾回收的条件。但是垃圾收集器只有在 JVM 内存过小时才会使用。因此，无法保证何时能够调用该对象的 finalize() 方法。垃圾收集器最终运行时，可能出现这样的情况，即在短时间内回收大量的资源，这种情况会导致“突发”性能，并降低总体系统通过量。随着系统负载的增加，这种影响会越来越明显。最后，如果某一资源回收操作被挂起（例如该操作需要通过网络访问数据库），那么执行 finalize() 方法的线程也将被挂起。

2. 在 finally 代码段中释放资源。示例中的代码可按以下方式改写：

public void processFile(String fName) throws FileNotFoundException, IOException { 
FileInputStream fis; 
try { fis = new FileInputStream(fName); 
int sz; 
byte[] byteArray = new byte[BLOCK_SIZE]; 
while ((sz = fis.read(byteArray)) != -1) {processBytes(byteArray, sz); 
} 
} finally { 
if (fis != null) {safeClose(fis); 
} 
} 
} public static void safeClose(FileInputStream fis) {if (fis != null) {try { 
fis.close(); 
} catch (IOException e) {log(e); 
} 
} 
}

以上方案使用了一个助手函数，用以记录在尝试关闭流时可能发生的异常。该助手函数大约会在需要关闭流时重新使用。

此外，processFile 方法不会将 fis 对象初始化为 null，而是进行检查，以确保在调用 safeClose() 之前fis 不为 null。如果没有进行 null 检查，Java 编译器就会报告 fis 可能没有进行初始化。编译器做出这一判断源于 Java 可以检测未初始化的变量。如果用一种更加复杂的方法将 fis 初始化为 null，那么编译器就无法检测 fis 未经初始化便使用的情况。

Java开发安全之：Unreleased Resource: Streams需确保流得到释放

相关文章：

Java开发安全之：Unreleased Resource: Streams需确保流得到释放

【C++】文件操作

高效能方法 - 任务清单优先级

go 语言爬虫库goquery介绍

解决 Navicat 在笔记本外接显示器分辨率自适应展示问题

网络安全产品之认识入侵检测系统

牛客周赛 Round 10 解题报告 | 珂学家 | 三分模板 + 计数DFS + 回文中心扩展

SpringBoot 更新业务场景下，如何区分null是清空属性值还是null为vo属性默认值?

【深度学习每日小知识】NLP 自然语言处理

一文理解Python选择语句

MyBatis XML 映射文件中的 SQL 语句可以分为动态语句和静态语句

Flask用于生产环境

程序员如何向上管理，升职加薪

Microsoft Word 删除空行

基于一次应用卡死问题所做的前端性能评估与优化尝试

JVM（上）

【js】js 异步机制详解 Generator / Async / Promise

【动态规划】【数学】【C++算法】805 数组的均值分割

Django笔记（五）：模型models

一个golang小白使用vscode搭建Ununtu20.04下的go开发环境

C++二叉树构建、深拷贝与可视化输出实战解析

PyTorch矩阵乘法进阶：用torch.matmul高效实现一个简易的Transformer注意力头

无人机开发平台全解析：从开源飞控到厂商SDK的选型与应用实战

独立开发者如何借助 Taotoken 以更低成本试验不同大模型效果

告别PS！用ImageMagick命令行5分钟搞定100张图片格式批量转换（附Windows/Mac安装避坑）

论文查重会查表格么？

2026年写作类国际竞赛测评：从技术视角分析高含金量赛事与留学背景提升策略

用STM32F103C8T6和HC-08蓝牙模块，从零到一打造你的第一辆遥控小车（CubeMX+HAL库保姆级教程）

终极指南：掌握WinPmem Windows内存取证采集核心技术

暗黑破坏神2存档编辑器终极指南：5步轻松掌握角色定制与物品管理