weidagang2046的專欄

編寫Servlet和JSP的時候,線程安全問題很容易被忽略,如果忽視了這個問題,你的程序就存在潛在的隱患.

1.Servlet的生命周期

Servlet的生命周期是由Web容器負責的,當客戶端第一次請求Servlet 時,容器負責初始化Servlet,也就是實例化這個Servlet類.以后這個實例就負責客戶端的請求,一般不會再實例化其他Servlet類,也就是有多個線程在使用這個實例.Servlet之所以比CGI效率高就是因為Servlet是多線程的.如果該Servlet被聲明為單線程模型的話,容器就會維護一個實例池,那么將存在多個實例.

2.Servlet的線程安全

Servlet規范已經聲明Servlet不是線程安全的,所以在開發Servlet的時候要注要這個問題.這里以一個現實的模型來說明問題,先定義一個Servlet類,再定義一個SmulateMultiThread類和WebContainer類.

import javax.servlet.http.HttpServlet;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

//該類模擬多線程Servlet的情況

public class SmulateMultiThread implements Runnable{

public SmulateMultiThread() {

}

public static void main(String[] args) {

//處理100個請求

for(int i=0;i<100;i++)

{

new Thread(new SmulateMultiThread()).start();

}

}

public void run() {

HttpServletRequest request=null;

HttpServletResponse response=null;

try {

WebContainer.getServlet().doGet(request, response);

}

catch (IOException ex) {

}

catch (ServletException ex) {

}

}

}

//這是一個Servlet類

class UnsafeServlet extends HttpServlet{

private String unsafe;

public void init() throws ServletException {

}

//Process the HTTP Get request

public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

unsafe=Thread.currentThread().getName();

System.out.println(unsafe);

}

}

//這個是容器類

class WebContainer{

private static UnsafeServlet us=new UnsafeServlet();

public static UnsafeServlet getServlet(){

return us;

}

}

輸出了100不同的線程名稱,如果有100個請求同時被這個Servlet處理的話,那么unsafe就可能有100種去值,最后客戶端將得到錯誤的值.比如客戶1請求的線程名為thread-1,但是返回給他的可能是thread- 20.表現在現實中就是,我登陸的用戶名是user1,登陸后變成了user2.

那么怎樣才能是Servlet安全呢,凡是多個線程可以共享的就不要使用(實例變量+類變量),就這么簡單.也可以使用synchronized同步方法,但是這樣效率不高,還可以使用單線程模型,這樣的話效率就更低了,100個請求同時來的時候就要實例化100個實例.

方法中的臨時變量是不會影響線程安全的,因為他們是在棧上分配空間,而且每個線程都有自己私有的棧空間.

3.JSP中線程安全

JSP的本質是Servlet,所有只要明白了Servlet的安全問題,JSP的安全問題應該很容易理解.使用<%! %>聲明的變量是Servlet的實例變量,不是線程安全的,其他都是線程安全的.

<%! String unsafeVar; %>//不是線程安全的

<% String safeVar; %>// 線程安全的

總結:線程安全問題主要是由實例變量造成的,不管在Servlet還是JSP,或者在Struts的Action里面,不要使用實例變量,任何方法里面都不要出現實例變量,你的程序就是線程安全的.

from: http://www.dwww.cn/new/200610111726432966.html