当前位置：首页 > news >正文

为什么阿里开发手册不建议使用Date类？

news 2026/4/1 7:08:46

在日常编码中，基本上99%的项目都会有一个DateUtil工具类，而时间工具类里用的最多的就是java.util.Date。

大家都这么写，这还能有问题？？

当你的“默认常识”出现问题，这个打击，就是毁灭性的。

但是，在进行安全扫描的时候，提示java.util.Date存在安全漏洞。

👉 GPT功能：

GPT-4o知识问答：支持1000+token上下文记忆功能
最强代码大模型Code Copilot：代码自动补全、代码优化建议、代码重构等
DALL-E AI绘画：AI绘画 + 剪辑 = 自媒体新时代
私信哪吒，直接使用GPT-4o

在这里插入图片描述

public class DateUtil {/*** 日期格式化*/public static String formatDate(Date date, String format) {SimpleDateFormat sdf = new SimpleDateFormat(format);return sdf.format(date);}/*** 字符串转Date*/public static Date parseDate(String dateStr, String format) throws ParseException {SimpleDateFormat sdf = new SimpleDateFormat(format);return sdf.parse(dateStr);}/*** 获取指定格式的当前时间*/public static String getCurrentDate(String format) {// 获取当前时间Date currentDate = new Date();// 定义日期格式SimpleDateFormat dateFormat = new SimpleDateFormat(format);return dateFormat.format(currentDate);}
}

把组件风险列表截图+DateUtil工具类发给我的编程小助手ChatGPT4o。

Prompt：在进行安全扫描的时候，提示java.util.Date存在安全漏洞，有什么漏洞，如何解决？

import java.time.LocalDateTime;
import java.time.format.DateTimeFormatter;
import java.time.LocalDate;
import java.time.LocalTime;
import java.time.ZoneId;
import java.util.Date;public class DateUtil {// 日期格式化public static String formatDate(LocalDateTime dateTime, String format) {DateTimeFormatter formatter = DateTimeFormatter.ofPattern(format);return dateTime.format(formatter);}// 字符串转Datepublic static LocalDateTime parseDate(String dateStr, String format) {DateTimeFormatter formatter = DateTimeFormatter.ofPattern(format);return LocalDateTime.parse(dateStr, formatter);}// 获取指定格式的当前时间public static String getCurrentDate(String format) {// 获取当前时间LocalDateTime currentDate = LocalDateTime.now();// 定义日期格式DateTimeFormatter dateFormat = DateTimeFormatter.ofPattern(format);return currentDate.format(dateFormat);}// 将 java.util.Date 转为 java.time.LocalDateTimepublic static LocalDateTime convertToLocalDateTime(Date date) {return LocalDateTime.ofInstant(date.toInstant(), ZoneId.systemDefault());}// 将 java.time.LocalDateTime 转为 java.util.Datepublic static Date convertToDate(LocalDateTime dateTime) {return Date.from(dateTime.atZone(ZoneId.systemDefault()).toInstant());}
}

以下是Date设计上的主要缺陷：

1、Date 这个名称本身就具有误导性。它实际上表示的是一个时间点，而非日期。因此，更为恰当的名称应为 Instant，这与 java.time 中的对应类型相符。

2、它不是一个最终类，这导致了诸如 java.sql.Date 等不良的继承使用。java.sql.Date 旨在表示一个日期，但由于名称相同而常常引起混淆。

3、Date 是可变的，而日期/时间类型通常是自然值，适合用不可变类型进行建模。Date 的可变性（例如通过 setTime 方法）迫使开发人员不得不创建大量防御性副本，以确保代码的安全性。

4、Date 在许多地方（包括 toString() 方法）隐式使用系统本地时区，这常常让开发人员感到困惑。更多细节可以参见“时间点是什么”部分。

5、Date 的月份编号从 0 开始，这是借鉴自 C 语言的设计。这种设计导致了大量的“偏一”错误。同样，年份编号从 1900 开始，也是借鉴自 C 语言。显然，当 Java 出现时，我们已经意识到这种设计不利于代码的可读性。

6、Date 的方法命名也不清晰。getDate() 方法返回的是月中的某一天，而 getDay() 方法返回的是星期几。给这些方法起更具描述性的名称并不会很困难，但遗憾的是，这并未实现。

7、对于是否支持闰秒，Date 的表现也不明确。文档中指出“一秒钟由一个 0 到 61 的整数表示；60 和 61 仅在实际正确跟踪闰秒的 Java 实现中出现。” 我强烈怀疑，大多数开发人员（包括我自己）都默认认为 getSeconds() 方法的返回值范围是 0-59。

8、Date 类的方法对参数范围的要求非常宽松，这没有明显的理由。例如，方法允许日期参数为 1 月 32 日，并解释为 2 月 1 日。这种宽松的参数范围在实际应用中并不常见，反而增加了使用的复杂性和出错的风险。

尽管还能找到更多的问题，但那会显得过于挑剔。

👉 GPT功能：

GPT-4o知识问答：支持1000+token上下文记忆功能
最强代码大模型Code Copilot：代码自动补全、代码优化建议、代码重构等
DALL-E AI绘画：AI绘画 + 剪辑 = 自媒体新时代
私信哪吒，直接使用GPT-4o

在这里插入图片描述

为什么阿里开发手册不建议使用Date类？

相关文章：

为什么阿里开发手册不建议使用Date类？

中间层 k8s（Kubernetes）到底是什么，架构是怎么样的？

【CTFWP】ctfshow-web40

项目实战1（30小时精通C++和外挂实战）

百日筑基第三十六天

MySQL: ALTER

微前端技术预研 - bit初体验

对象关系映射---ORM

Django REST Framework(十七)Authentication

FPGA开发——数码管的使用

什么是网络安全等级保护测评服务？

基于深度学习的多模态情感分析

Glove-词向量

Plugin ‘mysql_native_password‘ is not loaded`

Hive数据类型

OSI七层网络模型：构建网络通信的基石

MSYS2下载安装和使用

机器学习中的决策树算法——从理论到实践完整指南

FFplay介绍及命令使用指南

php实现动态登录

南京大学发布“视频侦探“系统：让AI像侦探一样从长视频中找线索

服务器很卡，是CC攻击造成的吗

5分钟搞懂格拉姆角场（GAF）：用Python实现时间序列转图像的全流程

终极指南：NanoVG渲染管线深度解析与抗锯齿技术实战

Agent能实现7×24小时无人值守运营吗？——深度拆解AI Agent端到端自动化落地路径

一篇帮你搞定Arrays工具类！！！

Spring Boot 实现网络限速：让流量“收放自如”

2026全年求职时间线｜应届生必看，错过可能再等一年

GPIO输出模式详解：推挽与开漏对比与应用

音乐版权侵权避坑指南：明星翻唱踩的红线，这些行为也在踩