根据Effective Java Item 24(在需要时制作防御性副本),可变对象会带来安全风险,尤其是作为构造函数参数传递时。鼓励一个人根据需要制作防御性副本。
BigDecimal意味着不可改变,但它不是最终的。根据Effective Java Item 15(最小化可变性),一个类不能是不可变的,除非它是final或者它的所有构造函数都是不可扩展的。
更糟糕的是,BigDecimal没有提供复制构造函数。
那么,BigDecimal参数会带来安全隐患吗?是否应该经历调用new BigDecimal(untrusted.toString())的痛苦过程?
答案 0 :(得分:0)
根据https://stackoverflow.com/a/33463772/14731:
如Effective Java,Item 13,Favor Immutability,中所讨论的那样,这是在编写课程时的设计疏忽
根据https://stackoverflow.com/a/12600683/14731,BigDecimal确实存在安全风险,必要时应制作防御性副本。
看起来创建防御性副本的最快方法是:
public static BigDecimal copyOf(BigDecimal value)
{
if (value == null || value.getClass() == BigDecimal.class)
return value;
return new BigDecimal(value.unscaledValue(), value.scale());
}
更新:显然现在在Effective Java 3rd edition,Item 17(Minimize Mutability)中明确讨论过这个问题。
答案 1 :(得分:0)
这样的事情也可以:
BigDecimal newValue = oldValue == null ? null : oldValue.add(BigDecimal.ZERO);。