北北 發(fā)表于 2006-8-21 20:46:15
前言:
半年前我對正則表達式產(chǎn)生了興趣,在網(wǎng)上查找過不少資料,看過不少的教程,最后在使用一個正則表達式工具RegexBuddy時發(fā)現(xiàn)他的教程寫的非常好,可以說是我目前見過最好的正則表達式教程。于是一直想把他翻譯過來。這個愿望直到這個五一長假才得以實現(xiàn),結(jié)果就有了這篇文章。關(guān)于本文的名字,使用“深入淺出”似乎已經(jīng)太俗。但是通讀原文以后,覺得只有用“深入淺出”才能準確的表達出該教程給我的感受,所以也就不能免俗了。
本文是Jan Goyvaerts為RegexBuddy寫的教程的譯文,版權(quán)歸原作者所有,歡迎轉(zhuǎn)載。但是為了尊重原作者和譯者的勞動,請注明出處!謝謝!
?1.什么是正則表達式
基本說來,正則表達式是一種用來描述一定數(shù)量文本的模式。Regex代表Regular Express。本文將用<<regex>>來表示一段具體的正則表達式。
一段文本就是最基本的模式,簡單的匹配相同的文本。
?2.不同的正則表達式引擎
正則表達式引擎是一種可以處理正則表達式的軟件。通常,引擎是更大的應(yīng)用程序的一部分。在軟件世界,不同的正則表達式并不互相兼容。本教程會集中討論Perl 5 類型的引擎,因為這種引擎是應(yīng)用最廣泛的引擎。同時我們也會提到一些和其他引擎的區(qū)別。許多近代的引擎都很類似,但不完全一樣。例如.NET正則庫,JDK正則包。
?3.文字符號
最基本的正則表達式由單個文字符號組成。如<<a>>,它將匹配字符串中第一次出現(xiàn)的字符“a”。如對字符串“Jack is a boy”。“J”后的“a”將被匹配。而第二個“a”將不會被匹配。
正則表達式也可以匹配第二個“a”,這必須是你告訴正則表達式引擎從第一次匹配的地方開始搜索。在文本編輯器中,你可以使用“查找下一個”。在編程語言中,會有一個函數(shù)可以使你從前一次匹配的位置開始繼續(xù)向后搜索。
類似的,<<cat>>會匹配“About cats and dogs”中的“cat”。這等于是告訴正則表達式引擎,找到一個<<c>>,緊跟一個<<a>>,再跟一個<<t>>。
要注意,正則表達式引擎缺省是大小寫敏感的。除非你告訴引擎忽略大小寫,否則<<cat>>不會匹配“Cat”。
?· 特殊字符
對于文字字符,有11個字符被保留作特殊用途。他們是:
[ ] \ ^ $ . | ? * + ( )
這些特殊字符也被稱作元字符。
如果你想在正則表達式中將這些字符用作文本字符,你需要用反斜杠“\”對其進行換碼 (escape)。例如你想匹配“1+1=2”,正確的表達式為<<1\+1=2>>.
需要注意的是,<<1+1=2>>也是有效的正則表達式。但它不會匹配“1+1=2”,而會匹配“123+111=234”中的“111=2”。因為“+”在這里表示特殊含義(重復(fù)1次到多次)。
在編程語言中,要注意,一些特殊的字符會先被編譯器處理,然后再傳遞給正則引擎。因此正則表達式<<1\+2=2>>在C++中要寫成“1\\+1=2”。為了匹配“C:\temp”,你要用正則表達式<<C:\\temp>>。而在C++中,正則表達式則變成了“C:\\\\temp”。
?·不可顯示字符
可以使用特殊字符序列來代表某些不可顯示字符:
<<\t>>代表Tab(0x09)
<<\r>>代表回車符(0x0D)
<<\n>>代表換行符(0x0A)
要注意的是Windows中文本文件使用“\r\n”來結(jié)束一行而Unix使用“\n”。
?4.正則表達式引擎的內(nèi)部工作機制
知道正則表達式引擎是如何工作的有助于你很快理解為何某個正則表達式不像你期望的那樣工作。
有兩種類型的引擎:文本導(dǎo)向(text-directed)的引擎和正則導(dǎo)向(regex-directed)的引擎。Jeffrey Friedl把他們稱作DFA和NFA引擎。本文談到的是正則導(dǎo)向的引擎。這是因為一些非常有用的特性,如“惰性”量詞(lazy quantifiers)和反向引用(backreferences),只能在正則導(dǎo)向的引擎中實現(xiàn)。所以毫不意外這種引擎是目前最流行的引擎。
你可以輕易分辨出所使用的引擎是文本導(dǎo)向還是正則導(dǎo)向。如果反向引用或“惰性”量詞被實現(xiàn),則可以肯定你使用的引擎是正則導(dǎo)向的。你可以作如下測試:將正則表達式<<regex|regex not>>應(yīng)用到字符串“regex not”。如果匹配的結(jié)果是regex,則引擎是正則導(dǎo)向的。如果結(jié)果是regex not,則是文本導(dǎo)向的。因為正則導(dǎo)向的引擎是“猴急”的,它會很急切的進行表功,報告它找到的第一個匹配 。
?·正則導(dǎo)向的引擎總是返回最左邊的匹配
這是需要你理解的很重要的一點:即使以后有可能發(fā)現(xiàn)一個“更好”的匹配,正則導(dǎo)向的引擎也總是返回最左邊的匹配。
當(dāng)把<<cat>>應(yīng)用到“He captured a catfish for his cat”,引擎先比較<<c>>和“H”,結(jié)果失敗了。于是引擎再比較<<c>>和“e”,也失敗了。直到第四個字符,<<c>>匹配了“c”。<<a>>匹配了第五個字符。到第六個字符<<t>>沒能匹配“p”,也失敗了。引擎再繼續(xù)從第五個字符重新檢查匹配性。直到第十五個字符開始,<<cat>>匹配上了“catfish”中的“cat”,正則表達式引擎急切的返回第一個匹配的結(jié)果,而不會再繼續(xù)查找是否有其他更好的匹配。
?5.字符集
字符集是由一對方括號“[]”括起來的字符集合。使用字符集,你可以告訴正則表達式引擎僅僅匹配多個字符中的一個。如果你想匹配一個“a”或一個“e”,使用<<[ae]>>。你可以使用<<gr[ae]y>>匹配gray或grey。這在你不確定你要搜索的字符是采用美國英語還是英國英語時特別有用。相反,<<gr[ae]y>>將不會匹配graay或graey。字符集中的字符順序并沒有什么關(guān)系,結(jié)果都是相同的。
你可以使用連字符“-”定義一個字符范圍作為字符集。<<[0-9]>>匹配0到9之間的單個數(shù)字。你可以使用不止一個范圍。<<[0-9a-fA-F] >>匹配單個的十六進制數(shù)字,并且大小寫不敏感。你也可以結(jié)合范圍定義與單個字符定義。<<[0-9a-fxA-FX]>>匹配一個十六進制數(shù)字或字母X。再次強調(diào)一下,字符和范圍定義的先后順序?qū)Y(jié)果沒有影響。
?·字符集的一些應(yīng)用
查找一個可能有拼寫錯誤的單詞,比如<<sep[ae]r[ae]te>> 或 <<li[cs]en[cs]e>>。
查找程序語言的標識符,<<A-Za-z_][A-Za-z_0-9]*>>。(*表示重復(fù)0或多次)
查找C風(fēng)格的十六進制數(shù)<<0[xX][A-Fa-f0-9]+>>。(+表示重復(fù)一次或多次)
?·取反字符集
在左方括號“[”后面緊跟一個尖括號“^”,將會對字符集取反。結(jié)果是字符集將匹配任何不在方括號中的字符。不像“.”,取反字符集是可以匹配回車換行符的。
需要記住的很重要的一點是,取反字符集必須要匹配一個字符。<<q[^u]>>并不意味著:匹配一個q,后面沒有u跟著。它意味著:匹配一個q,后面跟著一個不是u的字符。所以它不會匹配“Iraq”中的q,而會匹配“Iraq is a country”中的q和一個空格符。事實上,空格符是匹配中的一部分,因為它是一個“不是u的字符”。
如果你只想匹配一個q,條件是q后面有一個不是u的字符,我們可以用后面將講到的向前查看來解決。
?·字符集中的元字符
需要注意的是,在字符集中只有4個 字符具有特殊含義。它們是:“] \ ^ -”。“]”代表字符集定義的結(jié)束;“\”代表轉(zhuǎn)義;“^”代表取反;“-”代表范圍定義。其他常見的元字符在字符集定義內(nèi)部都是正常字符,不需要轉(zhuǎn)義。例如,要搜索星號*或加號+,你可以用<<[+*]>>。當(dāng)然,如果你對那些通常的元字符進行轉(zhuǎn)義,你的正則表達式一樣會工作得很好,但是這會降低可讀性。
在字符集定義中為了將反斜杠“\”作為一個文字字符而非特殊含義的字符,你需要用另一個反斜杠對它進行轉(zhuǎn)義。<<[\\x]>>將會匹配一個反斜杠和一個X。“]^-”都可以用反斜杠進行轉(zhuǎn)義,或者將他們放在一個不可能使用到他們特殊含義的位置。我們推薦后者,因為這樣可以增加可讀性。比如對于字符“^”,將它放在除了左括號“[”后面的位置,使用的都是文字字符含義而非取反含義。如<<[x^]>>會匹配一個x或^。<<[]x]>>會匹配一個“]”或“x”。<<[-x]>>或<<[x-]>>都會匹配一個“-”或“x”。
?·字符集的簡寫
因為一些字符集非常常用,所以有一些簡寫方式。
<<\d>>代表<<[0-9]>>;
<<\w>>代表單詞字符。這個是隨正則表達式實現(xiàn)的不同而有些差異。絕大多數(shù)的正則表達式實現(xiàn)的單詞字符集都包含了<<A-Za-z0-9_]>>。
<<\s>>代表“白字符”。這個也是和不同的實現(xiàn)有關(guān)的。在絕大多數(shù)的實現(xiàn)中,都包含了空格符和Tab符,以及回車換行符<<\r\n>>。
字符集的縮寫形式可以用在方括號之內(nèi)或之外。<<\s\d>>匹配一個白字符后面緊跟一個數(shù)字。<<[\s\d]>>匹配單個白字符或數(shù)字。<<[\da-fA-F]>>將匹配一個十六進制數(shù)字。
取反字符集的簡寫
<<[\S]>> = <<[^\s]>>
<<[\W]>> = <<[^\w]>>
<<[\D]>> = <<[^\d]>>
·字符集的重復(fù)
如果你用“?*+”操作符來重復(fù)一個字符集,你將會重復(fù)整個字符集。而不僅是它匹配的那個字符。正則表達式<<[0-9]+>>會匹配837以及222。
如果你僅僅想重復(fù)被匹配的那個字符,可以用向后引用達到目的。我們以后將講到向后引用。
?6.使用?*或+ 進行重復(fù)
?:告訴引擎匹配前導(dǎo)字符0次或一次。事實上是表示前導(dǎo)字符是可選的。
+:告訴引擎匹配前導(dǎo)字符1次或多次
*:告訴引擎匹配前導(dǎo)字符0次或多次
<[A-Za-z][A-Za-z0-9]*>匹配沒有屬性的HTML標簽,“<”以及“>”是文字符號。第一個字符集匹配一個字母,第二個字符集匹配一個字母或數(shù)字。
我們似乎也可以用<[A-Za-z0-9]+>。但是它會匹配<1>。但是這個正則表達式在你知道你要搜索的字符串不包含類似的無效標簽時還是足夠有效的。
?·限制性重復(fù)
許多現(xiàn)代的正則表達式實現(xiàn),都允許你定義對一個字符重復(fù)多少次。詞法是:{min,max}。min和max都是非負整數(shù)。如果逗號有而max被忽略了,則max沒有限制。如果逗號和max都被忽略了,則重復(fù)min次。
因此{0,}和*一樣,{1,}和+ 的作用一樣。
你可以用<<\b[1-9][0-9]{3}\b>>匹配1000~9999之間的數(shù)字(“\b”表示單詞邊界)。<<\b[1-9][0-9]{2,4}\b>>匹配一個在100~99999之間的數(shù)字。
?·注意貪婪性
假設(shè)你想用一個正則表達式匹配一個HTML標簽。你知道輸入將會是一個有效的HTML文件,因此正則表達式不需要排除那些無效的標簽。所以如果是在兩個尖括號之間的內(nèi)容,就應(yīng)該是一個HTML標簽。
許多正則表達式的新手會首先想到用正則表達式<< <.+> >>,他們會很驚訝的發(fā)現(xiàn),對于測試字符串,“This is a <EM>first</EM> test”,你可能期望會返回<EM>,然后繼續(xù)進行匹配的時候,返回</EM>。
但事實是不會。正則表達式將會匹配“<EM>first</EM>”。很顯然這不是我們想要的結(jié)果。原因在于“+”是貪婪的。也就是說,“+”會導(dǎo)致正則表達式引擎試圖盡可能的重復(fù)前導(dǎo)字符。只有當(dāng)這種重復(fù)會引起整個正則表達式匹配失敗的情況下,引擎會進行回溯。也就是說,它會放棄最后一次的“重復(fù)”,然后處理正則表達式余下的部分。
和“+”類似,“?*”的重復(fù)也是貪婪的。
?·深入正則表達式引擎內(nèi)部
讓我們來看看正則引擎如何匹配前面的例子。第一個記號是“<”,這是一個文字符號。第二個符號是“.”,匹配了字符“E”,然后“+”一直可以匹配其余的字符,直到一行的結(jié)束。然后到了換行符,匹配失敗(“.”不匹配換行符)。于是引擎開始對下一個正則表達式符號進行匹配。也即試圖匹配“>”。到目前為止,“<.+”已經(jīng)匹配了“<EM>first</EM> test”。引擎會試圖將“>”與換行符進行匹配,結(jié)果失敗了。于是引擎進行回溯。結(jié)果是現(xiàn)在“<.+”匹配“<EM>first</EM> tes”。于是引擎將“>”與“t”進行匹配。顯然還是會失敗。這個過程繼續(xù),直到“<.+”匹配“<EM>first</EM”,“>”與“>”匹配。于是引擎找到了一個匹配“<EM>first</EM>”。記住,正則導(dǎo)向的引擎是“急切的”,所以它會急著報告它找到的第一個匹配。而不是繼續(xù)回溯,即使可能會有更好的匹配,例如“<EM>”。所以我們可以看到,由于“+”的貪婪性,使得正則表達式引擎返回了一個最左邊的最長的匹配。
?·用懶惰性取代貪婪性
一個用于修正以上問題的可能方案是用“+”的惰性代替貪婪性。你可以在“+”后面緊跟一個問號“?”來達到這一點。“*”,“{}”和“?”表示的重復(fù)也可以用這個方案。因此在上面的例子中我們可以使用“<.+?>”。讓我們再來看看正則表達式引擎的處理過程。
再一次,正則表達式記號“<”會匹配字符串的第一個“<”。下一個正則記號是“.”。這次是一個懶惰的“+”來重復(fù)上一個字符。這告訴正則引擎,盡可能少的重復(fù)上一個字符。因此引擎匹配“.”和字符“E”,然后用“>”匹配“M”,結(jié)果失敗了。引擎會進行回溯,和上一個例子不同,因為是惰性重復(fù),所以引擎是擴展惰性重復(fù)而不是減少,于是“<.+”現(xiàn)在被擴展為“<EM”。引擎繼續(xù)匹配下一個記號“>”。這次得到了一個成功匹配。引擎于是報告“<EM>”是一個成功的匹配。整個過程大致如此。
?·惰性擴展的一個替代方案
我們還有一個更好的替代方案。可以用一個貪婪重復(fù)與一個取反字符集:“<[^>]+>”。之所以說這是一個更好的方案在于使用惰性重復(fù)時,引擎會在找到一個成功匹配前對每一個字符進行回溯。而使用取反字符集則不需要進行回溯。
最后要記住的是,本教程僅僅談到的是正則導(dǎo)向的引擎。文本導(dǎo)向的引擎是不回溯的。但是同時他們也不支持惰性重復(fù)操作。
?7.使用“.”匹配幾乎任意字符
在正則表達式中,“.”是最常用的符號之一。不幸的是,它也是最容易被誤用的符號之一。
“.”匹配一個單個的字符而不用關(guān)心被匹配的字符是什么。唯一的例外是新行符。在本教程中談到的引擎,缺省情況下都是不匹配新行符的。因此在缺省情況下,“.”等于是字符集[^\n\r](Window)或[^\n]( Unix)的簡寫。
這個例外是因為歷史的原因。因為早期使用正則表達式的工具是基于行的。它們都是一行一行的讀入一個文件,將正則表達式分別應(yīng)用到每一行上去。在這些工具中,字符串是不包含新行符的。因此“.”也就從不匹配新行符。
現(xiàn)代的工具和語言能夠?qū)⒄齽t表達式應(yīng)用到很大的字符串甚至整個文件上去。本教程討論的所有正則表達式實現(xiàn)都提供一個選項,可以使“.”匹配所有的字符,包括新行符。在RegexBuddy, EditPad Pro或PowerGREP等工具中,你可以簡單的選中“點號匹配新行符”。在Perl中,“.”可以匹配新行符的模式被稱作“單行模式”。很不幸,這是一個很容易混淆的名詞。因為還有所謂“多行模式”。多行模式只影響行首行尾的錨定(anchor),而單行模式只影響“.”。
其他語言和正則表達式庫也采用了Perl的術(shù)語定義。當(dāng)在.NET Framework中使用正則表達式類時,你可以用類似下面的語句來激活單行模式:Regex.Match(“string”,”regex”,RegexOptions.SingleLine)
?·保守的使用點號“.”
點號可以說是最強大的元字符。它允許你偷懶:用一個點號,就能匹配幾乎所有的字符。但是問題在于,它也常常會匹配不該匹配的字符。
我會以一個簡單的例子來說明。讓我們看看如何匹配一個具有“mm/dd/yy”格式的日期,但是我們想允許用戶來選擇分隔符。很快能想到的一個方案是<<\d\d.\d\d.\d\d>>。看上去它能匹配日期“02/12/03”。問題在于02512703也會被認為是一個有效的日期。
<<\d\d[-/.]\d\d[-/.]\d\d>>看上去是一個好一點的解決方案。記住點號在一個字符集里不是元字符。這個方案遠不夠完善,它會匹配“99/99/99”。而<<[0-1]\d[-/.][0-3]\d[-/.]\d\d>>又更進一步。盡管他也會匹配“19/39/99”。你想要你的正則表達式達到如何完美的程度取決于你想達到什么樣的目的。如果你想校驗用戶輸入,則需要盡可能的完美。如果你只是想分析一個已知的源,并且我們知道沒有錯誤的數(shù)據(jù),用一個比較好的正則表達式來匹配你想要搜尋的字符就已經(jīng)足夠。
?8.字符串開始和結(jié)束的錨定
錨定和一般的正則表達式符號不同,它不匹配任何字符。相反,他們匹配的是字符之前或之后的位置。“^”匹配一行字符串第一個字符前的位置。<<^a>>將會匹配字符串“abc”中的a。<<^b>>將不會匹配“abc”中的任何字符。
類似的,$匹配字符串中最后一個字符的后面的位置。所以<<c$>>匹配“abc”中的c。
?·錨定的應(yīng)用
在編程語言中校驗用戶輸入時,使用錨定是非常重要的。如果你想校驗用戶的輸入為整數(shù),用<<^\d+$>>。
用戶輸入中,常常會有多余的前導(dǎo)空格或結(jié)束空格。你可以用<<^\s*>>和<<\s*$>>來匹配前導(dǎo)空格或結(jié)束空格。
?·使用“^”和“$”作為行的開始和結(jié)束錨定
如果你有一個包含了多行的字符串。例如:“first line\n\rsecond line”(其中\(zhòng)n\r表示一個新行符)。常常需要對每行分別處理而不是整個字符串。因此,幾乎所有的正則表達式引擎都提供一個選項,可以擴展這兩種錨定的含義。“^”可以匹配字串的開始位置(在f之前),以及每一個新行符的后面位置(在\n\r和s之間)。類似的,$會匹配字串的結(jié)束位置(最后一個e之后),以及每個新行符的前面(在e與\n\r之間)。
在.NET中,當(dāng)你使用如下代碼時,將會定義錨定匹配每一個新行符的前面和后面位置:Regex.Match("string", "regex", RegexOptions.Multiline)
應(yīng)用:string str = Regex.Replace(Original, "^", "> ", RegexOptions.Multiline)--將會在每行的行首插入“> ”。
· 絕對錨定
<<\A>>只匹配整個字符串的開始位置,<<\Z>>只匹配整個字符串的結(jié)束位置。即使你使用了“多行模式”,<<\A>>和<<\Z>>也從不匹配新行符。
即使\Z和$只匹配字符串的結(jié)束位置,仍然有一個例外的情況。如果字符串以新行符結(jié)束,則\Z和$將會匹配新行符前面的位置,而不是整個字符串的最后面。這個“改進”是由Perl引進的,然后被許多的正則表達式實現(xiàn)所遵循,包括Java,.NET等。如果應(yīng)用<<^[a-z]+$>>到“joe\n”,則匹配結(jié)果是“joe”而不是“joe\n”。
radic 發(fā)表于 2006-12-15 12:24:05
作者:Radic???? 來源:sun
評論數(shù):5 點擊數(shù):592???? 投票總得分:6 投票總?cè)舜?2
關(guān)鍵字:Java;安全編碼
摘要:
本文是來自Sun官方站點的一篇關(guān)于如何編寫安全的Java代碼的指南,開發(fā)者在編寫一般代碼時,可以參照本文的指南
本文是來自Sun官方站點的一篇關(guān)于如何編寫安全的Java代碼的指南,開發(fā)者在編寫一般代碼時,可以參照本文的指南:
?????????靜態(tài)字段
?????????縮小作用域
?????????公共方法和字段
?????????保護包
?????????equals方法
?????????如果可能使對象不可改變
?????????不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用
?????????不要直接存儲用戶提供的數(shù)組
?????????序列化
?????????原生函數(shù)
?????????清除敏感信息靜態(tài)字段?????????避免使用非final的公共靜態(tài)變量
應(yīng)盡可能地避免使用非final公共靜態(tài)變量,因為無法判斷代碼有無權(quán)限改變這些變量值。
?????????一般地,應(yīng)謹慎使用易變的靜態(tài)狀態(tài),因為這可能導(dǎo)致設(shè)想中相互獨立的子系統(tǒng)之間發(fā)生不可預(yù)知的交互。
縮小作用域作為一個慣例,盡可能縮小方法和字段的作用域。檢查包訪問權(quán)限的成員能否改成私有的,保護類型的成員可否改成包訪問權(quán)限的或者私有的,等等。
公共方法/字段避免使用公共變量,而是使用訪問器方法訪問這些變量。用這種方式,如果需要,可能增加集中安全控制。
對于任何公共方法,如果它們能夠訪問或修改任何敏感內(nèi)部狀態(tài),務(wù)必使它們包含安全控制。
參考如下代碼段,該代碼段中不可信任代碼可能設(shè)置TimeZone的值:
private static TimeZone??defaultZone = null;
??????public static synchronized void setDefault(TimeZone zone)
??????{
??????????defaultZone = zone;
??????}
保護包有時需要在全局防止包被不可信任代碼訪問,本節(jié)描述了一些防護技術(shù):
?????????防止包注入:如果不可信任代碼想要訪問類的包保護成員,可以嘗試在被攻擊的包內(nèi)定義自己的新類用以獲取這些成員的訪問權(quán)。防止這類攻擊的方式有兩種:
1.????????通過向java.security.properties文件中加入如下文字防止包內(nèi)被注入惡意類。
??????????...
package.definition=Package#1 [,Package#2,...,Package#n]
...
這會導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時類裝載器的defineClass方法會拋出異常,除非賦予代碼一下權(quán)限:
...
RuntimePermission("defineClassInPackage."+package)
...
2.????????另一種方式是通過將包內(nèi)的類加入到封裝的Jar文件里。
(參看http://java.sun.com/j2se/sdk/1.2/docs/guide/extensions/spec.html)
????通過使用這種技巧,代碼無法獲得擴展包的權(quán)限,因此也無須修改java.security.properties文件。
?????????防止包訪問:通過限制包訪問并僅賦予特定代碼訪問權(quán)限防止不可信任代碼對包成員的訪問。通過向java.security.properties文件中加入如下文字可以達到這一目的:
??????...
package.access=Package#1 [,Package#2,...,Package#n]
...
這會導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時類裝載器的defineClass方法會拋出異常,除非賦予代碼一下權(quán)限:
...
RuntimePermission("defineClassInPackage."+package)
...
如果可能使對象不可改變如果可能,使對象不可改變。如果不可能,使得它們可以被克隆并返回一個副本。如果返回的對象是數(shù)組、向量或哈希表等,牢記這些對象不能被改變,調(diào)用者修改這些對象的內(nèi)容可能導(dǎo)致安全漏洞。此外,因為不用上鎖,不可改變性能夠提高并發(fā)性。參考Clear sensitive information了解該慣例的例外情況。
不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用該慣例僅僅是不可變慣例的變型,在這兒提出是因為常常在這里犯錯。即使數(shù)組中包含不可變的對象(如字符串),也要返回一個副本這樣調(diào)用者不能修改數(shù)組中的字符串。不要傳回一個數(shù)組,而是數(shù)組的拷貝。
不要直接在用戶提供的數(shù)組里存儲該慣例僅僅是不可變慣例的另一個變型。使用對象數(shù)組的構(gòu)造器和方法,比如說PubicKey數(shù)組,應(yīng)當(dāng)在將數(shù)組存儲到內(nèi)部之前克隆數(shù)組,而不是直接將數(shù)組引用賦給同樣類型的內(nèi)部變量。缺少這個警惕,用戶對外部數(shù)組做得任何變動(在使用討論中的構(gòu)造器創(chuàng)建對象后)可能意外地更改對象的內(nèi)部狀態(tài),即使該對象可能是無法改變的
序列化當(dāng)對對象序列化時,直到它被反序列化,它不在Java運行時環(huán)境的控制之下,因此也不在Java平臺提供的安全控制范圍內(nèi)。
在實現(xiàn)Serializable時務(wù)必將以下事宜牢記在心:
?????????transient
在包含系統(tǒng)資源的直接句柄和相對地址空間信息的字段前使用transient關(guān)鍵字。 如果資源,如文件句柄,不被聲明為transient,該對象在序列化狀態(tài)下可能會被修改,從而使得被反序列化后獲取對資源的不當(dāng)訪問。
?????????特定類的序列化/反序列化方法
為了確保反序列化對象不包含違反一些不變量集合的狀態(tài),類應(yīng)該定義自己的反序列化方法并使用ObjectInputValidation接口驗證這些變量。
如果一個類定義了自己的序列化方法,它就不能向任何DataInput/DataOuput方法傳遞內(nèi)部數(shù)組。所有的DataInput/DataOuput方法都能被重寫。注意默認序列化不會向DataInput/DataOuput字節(jié)數(shù)組方法暴露私有字節(jié)數(shù)組字段。
如果Serializable類直接向DataOutput(write(byte [] b))方法傳遞了一個私有數(shù)組,那么黑客可以創(chuàng)建ObjectOutputStream的子類并覆蓋write(byte [] b)方法,這樣他可以訪問并修改私有數(shù)組。下面示例說明了這個問題。
你的類:
??????public class YourClass implements Serializable {
????????????private byte [] internalArray;
....
private synchronized void writeObject(ObjectOutputStream stream) {
...
?????????????? stream.write(internalArray);
????????????????...
}
}黑客代碼
?????? public class HackerObjectOutputStream extends ObjectOutputStream{
????????????public void write (byte [] b) {
?????????????? Modify b
??????}
}
...
???????????? YourClass yc = new YourClass();
??????????????...
???????????? HackerObjectOutputStream hoos = new HackerObjectOutputStream();
??????????????hoos.writeObject(yc);?????????字節(jié)流加密
保護虛擬機外的字節(jié)流的另一方式是對序列化包產(chǎn)生的流進行加密。字節(jié)流加密防止解碼或讀取被序列化的對象的私有狀態(tài)。如果決定加密,應(yīng)該管理好密鑰,密鑰的存放地點以及將密鑰交付給反序列化程序的方式等。
?????????需要提防的其他事宜
如果不可信任代碼無法創(chuàng)建對象,務(wù)必確保不可信任代碼也不能反序列化對象。切記對對象反序列化是創(chuàng)建對象的另一途徑。
比如說,如果一個applet創(chuàng)建了一個frame,在該frame上創(chuàng)建了警告標簽。如果該frame被另一應(yīng)用程序序列化并被一個applet反序列化,務(wù)必使該frame出現(xiàn)時帶有同一個警告標簽。
原生方法應(yīng)從以下幾個方面檢查原生方法:
?????????它們返回什么
?????????它們需要什么參數(shù)
?????????它們是否繞過了安全檢查
?????????它們是否是公共的,私有的等
?????????它們是否包含能繞過包邊界的方法調(diào)用,從而繞過包保護
清除敏感信息當(dāng)保存敏感信息時,如機密,盡量保存在如數(shù)組這樣的可變數(shù)據(jù)類型中,而不是保存在字符串這樣的不可變對象中,這樣使得敏感信息可以盡早顯式地被清除。不要指望Java平臺的自動垃圾回收來做這種清除,因為回收器可能不會清除這段內(nèi)存,或者很久后才會回收。盡早清除信息使得來自虛擬機外部的堆檢查攻擊變得困難。
MySQL從3.23.15版本以后提供數(shù)據(jù)庫復(fù)制功能。利用該功能可以實現(xiàn)兩個數(shù)據(jù)庫同步,主從模式,互相備份模式的功能
數(shù)據(jù)庫同步復(fù)制功能的設(shè)置都在mysql的設(shè)置文件中體現(xiàn)。mysql的配置文件(一般是my.cnf),在unix環(huán)境下在/etc/mysql/my.cnf 或者在mysql用戶的home目錄下的my.cnf。
window環(huán)境中,如果c:根目錄下有my.cnf文件則取該配置文件。當(dāng)運行mysql的winmysqladmin.exe工具時候,該工具會把c:根目錄下的my.cnf 命名為mycnf.bak。并在winnt目錄下創(chuàng)建my.ini。mysql服務(wù)器啟動時候會讀該配置文件。所以可以把my.cnf中的內(nèi)容拷貝到my.ini文件中,用my.ini文件作為mysql服務(wù)器的配置文件。
設(shè)置方法:
設(shè)置范例環(huán)境:
操作系統(tǒng):window2000 professional
mysql:4.0.4-beta-max-nt-log
A ip:10.10.10.22
B ip:10.10.10.53
A:設(shè)置
1.增加一個用戶最為同步的用戶帳號:
GRANT FILE ON *.* TO backup@'10.10.10.53' IDENTIFIED BY ‘1234’
|
2.增加一個數(shù)據(jù)庫作為同步數(shù)據(jù)庫:
B:設(shè)置
1.增加一個用戶最為同步的用戶帳號:
GRANT FILE ON *.* TO backup@'10.10.10.22' IDENTIFIED BY ‘1234’
|
2.增加一個數(shù)據(jù)庫作為同步數(shù)據(jù)庫:
主從模式:A->B
A為master
修改A mysql的my.ini文件。在mysqld配置項中加入下面配置:
server-id=1log-bin#設(shè)置需要記錄log 可以設(shè)置log-bin=c:mysqlbakmysqllog 設(shè)置日志文件的目錄,#其中mysqllog是日志文件的名稱,mysql將建立不同擴展名,文件名為mysqllog的幾個日志文件。binlog-do-db=backup #指定需要日志的數(shù)據(jù)庫
重起數(shù)據(jù)庫服務(wù)。
用show master status 命令看日志情況。
B為slave
修改B mysql的my.ini文件。在mysqld配置項中加入下面配置:
server-id=2master-host=10.10.10.22master-user=backup
|
#同步用戶帳號
master-password=1234master-port=3306master-connect-retry=60
|
預(yù)設(shè)重試間隔60秒replicate-do-db=backup 告訴slave只做backup數(shù)據(jù)庫的更新
重起數(shù)據(jù)庫
用show slave status看同步配置情況。
注意:由于設(shè)置了slave的配置信息,mysql在數(shù)據(jù)庫目錄下生成master.info,所以如有要修改相關(guān)slave的配置要先刪除該文件。否則修改的配置不能生效。
雙機互備模式。
如果在A加入slave設(shè)置,在B加入master設(shè)置,則可以做B->A的同步。
在A的配置文件中 mysqld 配置項加入以下設(shè)置:
master-host=10.10.10.53master-user=backupmaster-password=1234replicate-do-db=
backupmaster-connect-retry=10
|
在B的配置文件中 mysqld 配置項加入以下設(shè)置:
log-bin=c:mysqllogmysqllogbinlog-do-db=backup
|
注意:當(dāng)有錯誤產(chǎn)生時*.err日志文件。同步的線程退出,當(dāng)糾正錯誤后要讓同步機制進行工作,運行slave start
重起AB機器,則可以實現(xiàn)雙向的熱備。
測試:
向B批量插入大數(shù)據(jù)量表AA(1872000)條,A數(shù)據(jù)庫每秒鐘可以更新2500條數(shù)據(jù)。
優(yōu)化數(shù)據(jù)庫的思想:
? ================
? 1、關(guān)鍵字段建立索引。
? 2、使用存儲過程,它使SQL變得更加靈活和高效。
? 3、備份數(shù)據(jù)庫和清除垃圾數(shù)據(jù)。
? 4、SQL語句語法的優(yōu)化。(可以用Sybase的SQL Expert,可惜我沒找到unexpired的
序列號)
? 5、清理刪除日志。
? SQL語句優(yōu)化的原則: ?
? ==================
? 1、使用索引來更快地遍歷表。
? 缺省情況下建立的索引是非群集索引,但有時它并不是最佳的。在非群集索引下,數(shù)據(jù)在物理上隨機存放在數(shù)據(jù)頁上。合理的索引設(shè)計要建立在對各種查詢的分析和預(yù)測上。一般來說:
? ①.有大量重復(fù)值、且經(jīng)常有范圍查詢
? (between, > ,< ,> =,< =)和order by、group by發(fā)生的列,可考慮建立群集索引;
? ②.經(jīng)常同時存取多列,且每列都含有重復(fù)值可考慮建立組合索引;
? ③.組合索引要盡量使關(guān)鍵查詢形成索引覆蓋,其前導(dǎo)列一定是使用最頻繁的列。索引雖有助于提高性能但不是索引越多越好,恰好相反過多的索引會導(dǎo)致系統(tǒng)低效。用戶在表中每加進一個索引,維護索引集合就要做相應(yīng)的更新工作。
? 2、IS NULL 與 IS NOT NULL
? 不能用null作索引,任何包含null值的列都將不會被包含在索引中。即使索引有多列這樣的情況下,只要這些列中有一列含有null,該列就會從索引中排除。也就是說如果某列存在空值,即使對該列建索引也不會提高性能。任何在where子句中使用is null或is not null的語句優(yōu)化器是不允許使用索引的。
? 3、IN和EXISTS
? EXISTS要遠比IN的效率高。里面關(guān)系到full table scan和range scan。幾乎將所有的IN操作符子查詢改寫為使用EXISTS的子查詢。
? 4、在海量查詢時盡量少用格式轉(zhuǎn)換。
? 5、當(dāng)在SQL SERVER 2000中,如果存儲過程只有一個參數(shù),并且是OUTPUT類型的,必須在調(diào)用這個存儲過程的時候給這個參數(shù)一個初始的值,否則會出現(xiàn)調(diào)用錯誤。
? 6、ORDER BY和GROPU BY
? 使用ORDER BY和GROUP BY短語,任何一種索引都有助于SELECT的性能提高。注意如果索引列里面有NULL值,Optimizer將無法優(yōu)化。
? 7、任何對列的操作都將導(dǎo)致表掃描,它包括數(shù)據(jù)庫函數(shù)、計算表達式等等,查詢時要盡可能將操作移至等號右邊。
? 8、IN、OR子句常會使用工作表,使索引失效。如果不產(chǎn)生大量重復(fù)值,可以考慮把子句拆開。拆開的子句中應(yīng)該包含索引。
? 9、SET SHOWPLAN_ALL ON 查看執(zhí)行方案。DBCC檢查數(shù)據(jù)庫數(shù)據(jù)完整性。
? DBCC(DataBase Consistency Checker)是一組用于驗證 SQL Server 數(shù)據(jù)庫完整性的程序。
? 10、慎用游標
? 在某些必須使用游標的場合,可考慮將符合條件的數(shù)據(jù)行轉(zhuǎn)入臨時表中,再對臨時表定義游標進行操作,這樣可使性能得到明顯提高。
? 總結(jié):
? 所謂優(yōu)化即WHERE子句利用了索引,不可優(yōu)化即發(fā)生了表掃描或額外開銷。經(jīng)驗顯示,SQL Server性能的最大改進得益于邏輯的數(shù)據(jù)庫設(shè)計、索引設(shè)計和查詢設(shè)計方面。反過來說,最大的性能問題常常是由其中這些相同方面中的不足引起的。其實SQL優(yōu)化的實質(zhì)就是在結(jié)果正確的前提下,用優(yōu)化器可以識別的語句,充份利用索引,減少表掃描的I/O次數(shù),盡量避免表搜索的發(fā)生。其實SQL的性能優(yōu)化是一個復(fù)雜的過程,上述這些只是在應(yīng)用層次的一種體現(xiàn),深入研究還會涉及數(shù)據(jù)庫層的資源配置、網(wǎng)絡(luò)層的流量控制以及操作系統(tǒng)層的總體設(shè)計。?
關(guān)注beanaction時,查到的資料,順便做個備份
多數(shù)IT 組織都必須解決三個主要問題:1.幫助組織減少成本 2.增加并且保持客戶 3.加快業(yè)務(wù)效率。完成這些問題一般都需要實現(xiàn)對多個業(yè)務(wù)系統(tǒng)的數(shù)據(jù)和業(yè)務(wù)邏輯的無縫訪問,也就是說,要實施系統(tǒng)集成工程,以便聯(lián)結(jié)業(yè)務(wù)流程、實現(xiàn)數(shù)據(jù)的訪問與共享。
JpetStore 4.0是ibatis的最新示例程序,基于Struts MVC框架(注:非傳統(tǒng)Struts開發(fā)模式),以ibatis作為持久化層。該示例程序設(shè)計優(yōu)雅,層次清晰,可以學(xué)習(xí)以及作為一個高效率的編程模型參考。本文是在其基礎(chǔ)上,采用Spring對其中間層(業(yè)務(wù)層)進行改造。使開發(fā)量進一步減少,同時又擁有了Spring的一些好處…
1. 前言
JpetStore 4.0是ibatis的最新示例程序。ibatis是開源的持久層產(chǎn)品,包含SQL Maps 2.0 和 Data Access Objects 2.0 框架。JpetStore示例程序很好的展示了如何利用ibatis來開發(fā)一個典型的J2EE web應(yīng)用程序。JpetStore有如下特點:
- ibatis數(shù)據(jù)層
- POJO業(yè)務(wù)層
- POJO領(lǐng)域類
- Struts MVC
- JSP 表示層
以下是本文用到的關(guān)鍵技術(shù)介紹,本文假設(shè)您已經(jīng)對Struts,SpringFramewok,ibatis有一定的了解,如果不是,請首先查閱附錄中的參考資料。
- Struts 是目前Java Web MVC框架中不爭的王者。經(jīng)過長達五年的發(fā)展,Struts已經(jīng)逐漸成長為一個穩(wěn)定、成熟的框架,并且占有了MVC框架中最大的市場份額。但是Struts某些技術(shù)特性上已經(jīng)落后于新興的MVC框架。面對Spring MVC、Webwork2 這些設(shè)計更精密,擴展性更強的框架,Struts受到了前所未有的挑戰(zhàn)。但站在產(chǎn)品開發(fā)的角度而言,Struts仍然是最穩(wěn)妥的選擇。本文的原型例子JpetStore 4.0就是基于Struts開發(fā)的,但是不拘泥于Struts的傳統(tǒng)固定用法,例如只用了一個自定義Action類,并且在form bean類的定義上也是開創(chuàng)性的,令人耳目一新,稍后將具體剖析一下。
- Spring Framework 實際上是Expert One-on-One J2EE Design and Development 一書中所闡述的設(shè)計思想的具體實現(xiàn)。Spring Framework的功能非常多。包含AOP、ORM、DAO、Context、Web、MVC等幾個部分組成。Web、MVC暫不用考慮,JpetStore 4.0用的是更成熟的Struts和JSP;DAO由于目前Hibernate、JDO、ibatis的流行,也不考慮,JpetStore 4.0用的就是ibatis。因此最需要用的是AOP、ORM、Context。Context中,最重要的是Beanfactory,它能將接口與實現(xiàn)分開,非常強大。目前AOP應(yīng)用最成熟的還是在事務(wù)管理上。
- ibatis 是一個功能強大實用的SQL Map工具,不同于其他ORM工具(如hibernate),它是將SQL語句映射成Java對象,而對于ORM工具,它的SQL語句是根據(jù)映射定義生成的。ibatis 以SQL開發(fā)的工作量和數(shù)據(jù)庫移植性上的讓步,為系統(tǒng)設(shè)計提供了更大的自由空間。有ibatis代碼生成的工具,可以根據(jù)DDL自動生成ibatis代碼,能減少很多工作量。
2. JpetStore簡述
2.1. 背景
最初是Sun公司的J2EE petstore,其最主要目的是用于學(xué)習(xí)J2EE,但是其缺點也很明顯,就是過度設(shè)計了。接著Oracle用J2EE petstore來比較各應(yīng)用服務(wù)器的性能。微軟推出了基于.Net平臺的 Pet shop,用于競爭J2EE petstore。而JpetStore則是經(jīng)過改良的基于struts的輕便框架J2EE web應(yīng)用程序,相比來說,JpetStore設(shè)計和架構(gòu)更優(yōu)良,各層定義清晰,使用了很多最佳實踐和模式,避免了很多"反模式",如使用存儲過程,在java代碼中嵌入SQL語句,把HTML存儲在數(shù)據(jù)庫中等等。最新版本是JpetStore 4.0。
2.2. JpetStore開發(fā)運行環(huán)境的建立
1、開發(fā)環(huán)境
- Java SDK 1.4.2
- Apache Tomcat 4.1.31
- Eclipse-SDK-3.0.1-win32
- HSQLDB 1.7.2
2、Eclipse插件
- EMF SDK 2.0.1:Eclipse建模框架,lomboz插件需要,可以使用runtime版本。
- lomboz 3.0:J2EE插件,用來在Eclipse中開發(fā)J2EE應(yīng)用程序
- Spring IDE 1.0.3:Spring Bean配置管理插件
- xmlbuddy_2.0.10:編輯XML,用免費版功能即可
- tomcatPluginV3:tomcat管理插件
- Properties Editor:編輯java的屬性文件,并可以預(yù)覽以及自動存盤為Unicode格式。免去了手工或者ANT調(diào)用native2ascii的麻煩。
3、示例源程序
- ibatis示例程序JpetStore 4.0 http://www.ibatis.com/jpetstore/jpetstore.html
- 改造后的源程序(+spring)(源碼鏈接)
2.3. 架構(gòu)
圖1 JpetStore架構(gòu)圖
圖1 是JPetStore架構(gòu)圖,更詳細的內(nèi)容請參見JPetStore的白皮書。參照這個架構(gòu)圖,讓我們稍微剖析一下源代碼,得出JpetStore 4.0的具體實現(xiàn)圖(見圖2),思路一下子就豁然開朗了。前言中提到的非傳統(tǒng)的struts開發(fā)模式,關(guān)鍵就在struts Action類和form bean類上。
struts Action類只有一個:BeanAction。沒錯,確實是一個!與傳統(tǒng)的struts編程方式很不同。再仔細研究BeanAction類,發(fā)現(xiàn)它其實是一個通用類,利用反射原理,根據(jù)URL來決定調(diào)用formbean的哪個方法。BeanAction大大簡化了struts的編程模式,降低了對struts的依賴(與struts以及WEB容器有關(guān)的幾個類都放在com.ibatis.struts包下,其它的類都可以直接復(fù)用)。利用這種模式,我們會很容易的把它移植到新的框架如JSF,spring。
這樣重心就轉(zhuǎn)移到form bean上了,它已經(jīng)不是普通意義上的form bean了。查看源代碼,可以看到它不僅僅有數(shù)據(jù)和校驗/重置方法,而且已經(jīng)具有了行為,從這個意義上來說,它更像一個BO(Business Object)。這就是前文講到的,BeanAction類利用反射原理,根據(jù)URL來決定調(diào)用form bean的哪個方法(行為)。form bean的這些方法的簽名很簡單,例如:
public String myActionMethod() {
//..work
return "success";
}
|
方法的返回值直接就是字符串,對應(yīng)的是forward的名稱,而不再是ActionForward對象,創(chuàng)建ActionForward對象的任務(wù)已經(jīng)由BeanAction類代勞了。
另外,程序還提供了ActionContext工具類,該工具類封裝了request 、response、form parameters、request attributes、session attributes和 application attributes中的數(shù)據(jù)存取操作,簡單而線程安全,form bean類使用該工具類可以進一步從表現(xiàn)層框架解耦。
在這里需要特別指出的是,BeanAction類是對struts擴展的一個有益嘗試,雖然提供了非常好的應(yīng)用開發(fā)模式,但是它還非常新,一直在發(fā)展中。
圖2 JpetStore 4.0具體實現(xiàn)
2.4. 代碼剖析
下面就讓我們開始進一步分析JpetStore4.0的源代碼,為下面的改造鋪路。
- BeanAction.java是唯一一個Struts action類,位于com.ibatis.struts包下。正如上文所言,它是一個通用的控制類,利用反射機制,把控制轉(zhuǎn)移到form bean的某個方法來處理。詳細處理過程參考其源代碼,簡單明晰。
-
Form bean類位于com.ibatis.jpetstore.presentation包下,命名規(guī)則為***Bean。Form bean類全部繼承于BaseBean類,而BaseBean類實際繼承于ActionForm,因此,F(xiàn)orm bean類就是Struts的 ActionForm,F(xiàn)orm bean類的屬性數(shù)據(jù)就由struts框架自動填充。而實際上,JpetStore4.0擴展了struts中ActionForm的應(yīng)用: Form bean類還具有行為,更像一個BO,其行為(方法)由BeanAction根據(jù)配置(struts-config.xml)的URL來調(diào)用。雖然如此,我們還是把Form bean類定位于表現(xiàn)層。
Struts-config.xml的配置里有3種映射方式,來告訴BeanAction把控制轉(zhuǎn)到哪個form bean對象的哪個方法來處理。
以這個請求連接為例http://localhost/jpetstore4/shop/viewOrder.do
1. URL Pattern
<action path="/shop/viewOrder" type="com.ibatis.struts.BeanAction"
name="orderBean" scope="session"
validate="false">
<forward name="success" path="/order/ViewOrder.jsp"/>
</action>
|
此種方式表示,控制將被轉(zhuǎn)發(fā)到"orderBean"這個form bean對象 的"viewOrder"方法(行為)來處理。方法名取"path"參數(shù)的以"/"分隔的最后一部分。
2. Method Parameter
<action path="/shop/viewOrder" type="com.ibatis.struts.BeanAction"
name="orderBean" parameter="viewOrder" scope="session"
validate="false">
<forward name="success" path="/order/ViewOrder.jsp"/>
</action>
|
此種方式表示,控制將被轉(zhuǎn)發(fā)到"orderBean"這個form bean對象的"viewOrder"方法(行為)來處理。配置中的"parameter"參數(shù)表示form bean類上的方法。"parameter"參數(shù)優(yōu)先于"path"參數(shù)。
3. No Method call
<action path="/shop/viewOrder" type="com.ibatis.struts.BeanAction"
name="orderBean" parameter="*" scope="session"
validate="false">
<forward name="success" path="/order/ViewOrder.jsp"/>
</action>
|
此種方式表示,form bean上沒有任何方法被調(diào)用。如果存在"name"屬性,則struts把表單參數(shù)等數(shù)據(jù)填充到form bean對象后,把控制轉(zhuǎn)發(fā)到"success"。否則,如果name為空,則直接轉(zhuǎn)發(fā)控制到"success"。
這就相當(dāng)于struts內(nèi)置的org.apache.struts.actions.ForwardAction的功能
<action path="/shop/viewOrder" type="org.apache.struts.actions.ForwardAction"
parameter="/order/ViewOrder.jsp " scope="session" validate="false">
</action>
|
- Service類位于com.ibatis.jpetstore.service包下,屬于業(yè)務(wù)層。這些類封裝了業(yè)務(wù)以及相應(yīng)的事務(wù)控制。Service類由form bean類來調(diào)用。
- com.ibatis.jpetstore.persistence.iface包下的類是DAO接口,屬于業(yè)務(wù)層,其屏蔽了底層的數(shù)據(jù)庫操作,供具體的Service類來調(diào)用。DaoConfig類是工具類(DAO工廠類),Service類通過DaoConfig類來獲得相應(yīng)的DAO接口,而不用關(guān)心底層的具體數(shù)據(jù)庫操作,實現(xiàn)了如圖2中{耦合2}的解耦。
- com.ibatis.jpetstore.persistence.sqlmapdao包下的類是對應(yīng)DAO接口的具體實現(xiàn),在JpetStore4.0中采用了ibatis來實現(xiàn)ORM。這些實現(xiàn)類繼承BaseSqlMapDao類,而BaseSqlMapDao類則繼承ibatis DAO 框架中的SqlMapDaoTemplate類。ibatis的配置文件存放在com.ibatis.jpetstore.persistence.sqlmapdao.sql目錄下。這些類和配置文件位于數(shù)據(jù)層
- Domain類位于com.ibatis.jpetstore.domain包下,是普通的javabean。在這里用作數(shù)據(jù)傳輸對象(DTO),貫穿視圖層、業(yè)務(wù)層和數(shù)據(jù)層,用于在不同層之間傳輸數(shù)據(jù)。
剩下的部分就比較簡單了,請看具體的源代碼,非常清晰。
2.5. 需要改造的地方
JpetStore4.0的關(guān)鍵就在struts Action類和form bean類上,這也是其精華之一(雖然該實現(xiàn)方式是試驗性,待擴充和驗證),在此次改造中我們要保留下來,即控制層一點不變,表現(xiàn)層獲取相應(yīng)業(yè)務(wù)類的方式變了(要加載spring環(huán)境),其它保持不變。要特別關(guān)注的改動是業(yè)務(wù)層和持久層,幸運的是JpetStore4.0設(shè)計非常好,需要改動的地方非常少,而且由模式可循,如下:
1. 業(yè)務(wù)層和數(shù)據(jù)層用Spring BeanFactory機制管理。
2. 業(yè)務(wù)層的事務(wù)由spring 的aop通過聲明來完成。
3. 表現(xiàn)層(form bean)獲取業(yè)務(wù)類的方法改由自定義工廠類來實現(xiàn)(加載spring環(huán)境)。
3. JPetStore的改造
3.1. 改造后的架構(gòu)
其中紅色部分是要增加的部分,藍色部分是要修改的部分。下面就讓我們逐一剖析。
3.2. Spring Context的加載
為了在Struts中加載Spring Context,一般會在struts-config.xml的最后添加如下部分:
<plug-in className="org.springframework.web.struts.ContextLoaderPlugIn">
<set-property property="contextConfigLocation"
value="/WEB-INF/applicationContext.xml" />
</plug-in>
|
Spring在設(shè)計時就充分考慮到了與Struts的協(xié)同工作,通過內(nèi)置的Struts Plug-in在兩者之間提供了良好的結(jié)合點。但是,因為在這里我們一點也不改動JPetStore的控制層(這是JpetStore4.0的精華之一),所以本文不準備采用此方式來加載ApplicationContext。我們利用的是spring framework 的BeanFactory機制,采用自定義的工具類(bean工廠類)來加載spring的配置文件,從中可以看出Spring有多靈活,它提供了各種不同的方式來使用其不同的部分/層次,您只需要用你想用的,不需要的部分可以不用。
具體的來說,就是在com.ibatis.spring包下創(chuàng)建CustomBeanFactory類,spring的配置文件applicationContext.xml也放在這個目錄下。以下就是該類的全部代碼,很簡單:
public final class CustomBeanFactory {
static XmlBeanFactory factory = null;
static {
Resource is = new
InputStreamResource( CustomBeanFactory.class.getResourceAsStream("applicationContext.xml"));
factory = new XmlBeanFactory(is);
}
public static Object getBean(String beanName){
return factory.getBean(beanName);
}
}
|
實際上就是封裝了Spring 的XMLBeanFactory而已,并且Spring的配置文件只需要加載一次,以后就可以直接用CustomBeanFactory.getBean("someBean")來獲得需要的對象了(例如someBean),而不需要知道具體的類。CustomBeanFactory類用于{耦合1}的解耦。
CustomBeanFactory類在本文中只用于表現(xiàn)層的form bean對象獲得service類的對象,因為我們沒有把form bean對象配置在applicationContext.xml中。但是,為什么不把表現(xiàn)層的form bean類也配置起來呢,這樣就用不著這CustomBeanFactory個類了,Spring會幫助我們創(chuàng)建需要的一切?問題的答案就在于form bean類是struts的ActionForm類!如果大家熟悉struts,就會知道ActionForm類是struts自動創(chuàng)建的:在一次請求中,struts判斷,如果ActionForm實例不存在,就創(chuàng)建一個ActionForm對象,把客戶提交的表單數(shù)據(jù)保存到ActionForm對象中。因此formbean類的對象就不能由spring來創(chuàng)建,但是service類以及數(shù)據(jù)層的DAO類可以,所以只有他們在spring中配置。
所以,很自然的,我們就創(chuàng)建了CustomBeanFactory類,在表現(xiàn)層來銜接struts和spring。就這么簡單,實現(xiàn)了另一種方式的{耦合一}的解耦。
3.3. 表現(xiàn)層
上 面分析到,struts和spring是在表現(xiàn)層銜接起來的,那么表現(xiàn)層就要做稍微的更改,即所需要的service類的對象創(chuàng)建上。以表現(xiàn)層的AccountBean類為例:
原來的源代碼如下
private static final AccountService accountService = AccountService.getInstance();
private static final CatalogService catalogService = CatalogService.getInstance();
|
改造后的源代碼如下
private static final AccountService accountService = (AccountService)CustomBeanFactory.getBean("AccountService");
private static final CatalogService catalogService = (CatalogService)CustomBeanFactory.getBean("CatalogService");
|
其他的幾個presentation類以同樣方式改造。這樣,表現(xiàn)層就完成了。關(guān)于表現(xiàn)層的其它部分如JSP等一概不動。也許您會說,沒有看出什么特別之處的好處啊?你還是額外實現(xiàn)了一個工廠類。別著急,帷幕剛剛開啟,spring是在表現(xiàn)層引入,但您發(fā)沒發(fā)現(xiàn):
- presentation類僅僅面向service類的接口編程,具體"AccountService"是哪個實現(xiàn)類,presentation類不知道,是在spring的配置文件里配置。(本例中,為了最大限度的保持原來的代碼不作變化,沒有抽象出接口)。Spring鼓勵面向接口編程,因為是如此的方便和自然,當(dāng)然您也可以不這么做。
- CustomBeanFactory這個工廠類為什么會如此簡單,因為其直接使用了Spring的BeanFactory。Spring從其核心而言,是一個DI容器,其設(shè)計哲學(xué)是提供一種無侵入式的高擴展性的框架。為了實現(xiàn)這個目標,Spring 大量引入了Java 的Reflection機制,通過動態(tài)調(diào)用的方式避免硬編碼方式的約束,并在此基礎(chǔ)上建立了其核心組件BeanFactory,以此作為其依賴注入機制的實現(xiàn)基礎(chǔ)。org.springframework.beans包中包括了這些核心組件的實現(xiàn)類,核心中的核心為BeanWrapper和BeanFactory類。
3.4. 持久層
在討論業(yè)務(wù)層之前,我們先看一下持久層,如下圖所示:
在上文中,我們把iface包下的DAO接口歸為業(yè)務(wù)層,在這里不需要做修改。ibatis的sql配置文件也不需要改。要改的是DAO實現(xiàn)類,并在spring的配置文件中配置起來。
1、修改基類
所有的DAO實現(xiàn)類都繼承于BaseSqlMapDao類。修改BaseSqlMapDao類如下:
public class BaseSqlMapDao extends SqlMapClientDaoSupport {
protected static final int PAGE_SIZE = 4;
protected SqlMapClientTemplate smcTemplate = this.getSqlMapClientTemplate();
public BaseSqlMapDao() {
}
}
|
使BaseSqlMapDao類改為繼承于Spring提供的SqlMapClientDaoSupport類,并定義了一個保護屬性smcTemplate,其類型為SqlMapClientTemplate。關(guān)于SqlMapClientTemplate類的詳細說明請參照附錄中的"Spring中文參考手冊"
2、修改DAO實現(xiàn)類
所有的DAO實現(xiàn)類還是繼承于BaseSqlMapDao類,實現(xiàn)相應(yīng)的DAO接口,但其相應(yīng)的DAO操作委托SqlMapClientTemplate來執(zhí)行,以AccountSqlMapDao類為例,部分代碼如下:
public List getUsernameList() {
return smcTemplate.queryForList("getUsernameList", null);
}
public Account getAccount(String username, String password) {
Account account = new Account();
account.setUsername(username);
account.setPassword(password);
return (Account) smcTemplate.queryForObject("getAccountByUsernameAndPassword", account);
}
public void insertAccount(Account account) {
smcTemplate.update("insertAccount", account);
smcTemplate.update("insertProfile", account);
smcTemplate.update("insertSignon", account);
}
|
就這么簡單,所有函數(shù)的簽名都是一樣的,只需要查找替換就可以了!
3、除去工廠類以及相應(yīng)的配置文件
除去DaoConfig.java這個DAO工廠類和相應(yīng)的配置文件dao.xml,因為DAO的獲取現(xiàn)在要用spring來管理。
4、DAO在Spring中的配置(applicationContext.xml)
<bean id="dataSource"
class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName">
<value>org.hsqldb.jdbcDriver</value>
</property>
<property name="url">
<value>jdbc:hsqldb:hsql://localhost/xdb</value>
</property>
<property name="username">
<value>sa</value>
</property>
<property name="password">
<value></value>
</property>
</bean>
<!-- ibatis sqlMapClient config -->
<bean id="sqlMapClient"
class="org.springframework.orm.ibatis.SqlMapClientFactoryBean">
<property name="configLocation">
<value>
classpath:com\ibatis\jpetstore\persistence\sqlmapdao\sql\sql-map-config.xml
</value>
</property>
<property name="dataSource">
<ref bean="dataSource"/>
</property>
</bean>
<!-- Transactions -->
<bean id="TransactionManager"
class="org.springframework.jdbc.datasource.DataSourceTransactionManager">
<property name="dataSource">
<ref bean="dataSource"/>
</property>
</bean>
<!-- persistence layer -->
<bean id="AccountDao"
class="com.ibatis.jpetstore.persistence.sqlmapdao.AccountSqlMapDao">
<property name="sqlMapClient">
<ref local="sqlMapClient"/>
</property>
</bean>
|
具體的語法請參照附錄中的"Spring中文參考手冊"。在這里只簡單解釋一下:
1. 我們首先創(chuàng)建一個數(shù)據(jù)源dataSource,在這里配置的是hsqldb數(shù)據(jù)庫。如果是ORACLE數(shù)據(jù)庫,driverClassName的值是"oracle.jdbc.driver.OracleDriver",URL的值類似于"jdbc:oracle:thin:@wugfMobile:1521:cdcf"。數(shù)據(jù)源現(xiàn)在由spring來管理,那么現(xiàn)在我們就可以去掉properties目錄下database.properties這個配置文件了;還有不要忘記修改sql-map-config.xml,去掉<properties resource="properties/database.properties"/>對它的引用。
2. sqlMapClient節(jié)點。這個是針對ibatis SqlMap的SqlMapClientFactoryBean配置。實際上配置了一個sqlMapClient的創(chuàng)建工廠類。configLocation屬性配置了ibatis映射文件的名稱。dataSource屬性指向了使用的數(shù)據(jù)源,這樣所有使用sqlMapClient的DAO都默認使用了該數(shù)據(jù)源,除非在DAO的配置中另外顯式指定。
3. TransactionManager節(jié)點。定義了事務(wù),使用的是DataSourceTransactionManager。
4. 下面就可以定義DAO節(jié)點了,如AccountDao,它的實現(xiàn)類是com.ibatis.jpetstore.persistence.sqlmapdao.AccountSqlMapDao,使用的SQL配置從sqlMapClient中讀取,數(shù)據(jù)庫連接沒有特別列出,那么就是默認使用sqlMapClient配置的數(shù)據(jù)源datasource。
這樣,我們就把持久層改造完了,其他的DAO配置類似于AccountDao。怎么樣?簡單吧。這次有接口了:) AccountDao接口->AccountSqlMapDao實現(xiàn)。
3.5. 業(yè)務(wù)層
業(yè)務(wù)層的位置以及相關(guān)類,如下圖所示:
在這個例子中只有3個業(yè)務(wù)類,我們以O(shè)rderService類為例來改造,這個類是最復(fù)雜的,其中涉及了事務(wù)。
1、在ApplicationContext配置文件中增加bean的配置:
<bean id="OrderService"
class="org.springframework.transaction.interceptor.TransactionProxyFactoryBean">
<property name="transactionManager">
<ref local="TransactionManager"></ref>
</property>
<property name="target">
<bean class="com.ibatis.jpetstore.service.OrderService">
<property name="itemDao">
<ref bean="ItemDao"/>
</property>
<property name="orderDao">
<ref bean="OrderDao"/>
</property>
<property name="sequenceDao">
<ref bean="SequenceDao"/>
</property>
</bean>
</property>
<property name="transactionAttributes">
<props>
<prop key="insert*">PROPAGATION_REQUIRED</prop>
</props>
</property>
</bean>
|
定義了一個OrderService,還是很容易懂的。為了簡單起見,使用了嵌套bean,其實現(xiàn)類是com.ibatis.jpetstore.service.OrderService,分別引用了ItemDao,OrderDao,SequenceDao。該bean的insert*實現(xiàn)了事務(wù)管理(AOP方式)。TransactionProxyFactoryBean自動創(chuàng)建一個事務(wù)advisor, 該advisor包括一個基于事務(wù)屬性的pointcut,因此只有事務(wù)性的方法被攔截。
2、業(yè)務(wù)類的修改
以O(shè)rderService為例:
public class OrderService {
/* Private Fields */
private ItemDao itemDao;
private OrderDao orderDao;
private SequenceDao sequenceDao;
/* Constructors */
public OrderService() {
}
/**
* @param itemDao 要設(shè)置的 itemDao。
*/
public final void setItemDao(ItemDao itemDao) {
this.itemDao = itemDao;
}
/**
* @param orderDao 要設(shè)置的 orderDao。
*/
public final void setOrderDao(OrderDao orderDao) {
this.orderDao = orderDao;
}
/**
* @param sequenceDao 要設(shè)置的 sequenceDao。
*/
public final void setSequenceDao(SequenceDao sequenceDao) {
this.sequenceDao = sequenceDao;
}
//剩下的部分
…….
}
|
紅色部分為修改部分。Spring采用的是Type2的設(shè)置依賴注入,所以我們只需要定義屬性和相應(yīng)的設(shè)值函數(shù)就可以了,ItemDao,OrderDao,SequenceDao的值由spring在運行期間注入。構(gòu)造函數(shù)就可以為空了,另外也不需要自己編寫代碼處理事務(wù)了(事務(wù)在配置中聲明),daoManager.startTransaction();等與事務(wù)相關(guān)的語句也可以去掉了。和原來的代碼比較一下,是不是處理精簡了很多!可以更關(guān)注業(yè)務(wù)的實現(xiàn)。
4. 結(jié)束語
ibatis是一個功能強大實用的SQL Map工具,可以直接控制SQL,為系統(tǒng)設(shè)計提供了更大的自由空間。其提供的最新示例程序JpetStore 4.0,設(shè)計優(yōu)雅,應(yīng)用了迄今為止很多最佳實踐和設(shè)計模式,非常適于學(xué)習(xí)以及在此基礎(chǔ)上創(chuàng)建輕量級的J2EE WEB應(yīng)用程序。JpetStore 4.0是基于struts的,本文在此基礎(chǔ)上,最大程度保持了原有設(shè)計的精華以及最小的代碼改動量,在業(yè)務(wù)層和持久化層引入了Spring。在您閱讀了本文以及改造后的源代碼后,會深切的感受到Spring帶來的種種好處:自然的面向接口的編程,業(yè)務(wù)對象的依賴注入,一致的數(shù)據(jù)存取框架和聲明式的事務(wù)處理,統(tǒng)一的配置文件…更重要的是Spring既是全面的又是模塊化的,Spring有分層的體系結(jié)構(gòu),這意味著您能選擇僅僅使用它任何一個獨立的部分,就像本文,而它的架構(gòu)又是內(nèi)部一致。
因了需要用到這些信息,所以總結(jié)一下,方便以后參閱
通過request.getHeader("User-Agent")大致可以取得用戶瀏覽器的信息
如果里面包含:
"msie"-->MicroSoft?
"opera" -->Opera Software
"mozilla"-->Netscape Communications
如果取瀏覽器版本信息
String str = request.getHeader("User-Agent");
MS :? str.substring(str.indexOf("msie") + 5);
Other :
tmpString = (str.substring(tmpPos = (str.indexOf("/")) + 1, tmpPos + str.indexOf(" "))).trim(); ?//沒有親自試
操作系統(tǒng)部分,不啰嗦了
private void setOs()
{
if (this.userAgent.indexOf("win") > -1){
? if (this.userAgent.indexOf("windows 95") > -1 || this.userAgent.indexOf("win95") > -1){
???? this.os = "Windows 95";
? }
? if (this.userAgent.indexOf("windows 98") > -1 || this.userAgent.indexOf("win98") > -1){
???? this.os = "Windows 98";
? }
? if (this.userAgent.indexOf("windows nt") > -1 || this.userAgent.indexOf("winnt") > -1){
????? this.os = "Windows NT";
? }
? if (this.userAgent.indexOf("win16") > -1 || this.userAgent.indexOf("windows 3.") > -1){
????? this.os = "Windows 3.x";
? }
?}
}
獲取語言request.getHeader("Accept-Language");
詳細信息可以再分解....