1.为何Mybatis将Integer为0的源码属性解析成空串?
2.Mybatis OGNL导致的并发安全问题
3.Java学习资源
4.很开心,在使用mybatis的下载过程中我踩到一个坑。
5.实战Arthas:常见命令与最佳实践
6.Java 诊断工具 Arthas 常见命令(超详细实战教程)
为何Mybatis将Integer为0的源码属性解析成空串?
在一次代码审查中,同事分享了一个有趣的下载问题:在Mybatis中,Integer类型的源码age为0时,为什么会解析成空串,下载统计 源码导致SQL语句的源码条件判断失效?
为了解答疑问,作者查阅了Mybatis的下载源码。首先,源码从GitHub上的下载最新版本下载代码,构建测试用例。源码在SqlSessionFactoryBuilder的下载构建流程中,经过XMLConfigBuilder解析配置,源码构建Configuration类,下载进而生成SqlSessionFactory和SqlSession。源码执行过程中,mybatis使用SimpleExecutor或CachingExecutor,后者涉及动态代理和拦截器的执行,关键在于DynamicSqlSource和IfSqlNode类。
在IfSqlNode的evaluator.evaluateBoolean方法中,使用了OGNLCache来获取值,而问题出在OGNL表达式对空字符串的处理上。在ASTNotEq类的compareWithConversion方法中,当字符串长度为0时,会被解析为0.0,这不仅影响Integer,也影响Float和Double类型。因此,夺宝源码商城问题的根源在于OGNL表达式对空字符串的解析规则。
Mybatis OGNL导致的并发安全问题
Mybatis是一个轻量级半自动化ORM框架,通过xml描述符或注解将对象与SQL语句结合,实现面向对象与数据库映射的简化。其最大优势在于将应用程序与Sql语句解耦,Sql语句在xml文件中定义。
OGNL(Object-Graph Navigation Language)是Mybatis中广泛使用的表达式语言,用于设置和获取Java对象属性,执行列表投影和lambda表达式。灵活的OGNL表达式在Struts2等框架中应用时,也会引入可执行漏洞风险。
某公司使用Mybatis 3.2.3版本作为数据访问层。在线业务系统运行期间,出现并发安全问题。异常表现为随机出现,构造特定OGNL表达式时不会重现,具体异常堆栈信息显示List的size()方法不可访问。此问题在测试环境未重现,占总调用次数的0.%。
编写模拟多线程并发环境下的测试代码以验证问题。并发测试代码执行后,异常在预期的并发环境下重现。异常堆栈信息指向OgnlRuntime类无法访问java.util.Collections私有成员SingletonList。
问题关键在于method作为共享变量,即java.util.Collections$SingletonList.size()方法。在第一个线程允许调用method方法,第二个线程将其设为不可访问后,class源码软件第一个线程再次调用时引发MethodFailedException异常。这是典型的并发同步问题。
OGNL 2.7版本已修复此问题,Mybatis在3.3.0版本中进行了修复升级。源码已直接嵌入mybatis包中,解决了并发访问共享资源导致的异常问题。
Java学习资源
Java Commons Java tutorial WebService常用第三方webservice IDEEclipse Eclipse GUI Plugin Eclipse根据java代码生成UML图 Tomcat Hudson Jenkins Atlassian Bamboo TeamCity JUnit DbUnit JMockit TestNG ReportNG SLF4J Log4j Logback Log4E代码评审 guava jga Java Class Dependency Analyzer OW2Forge Rock apache Apache Commons sandbox中的项目无法直接通过maven进行依赖,必须通过svn下载源码,部署到本地maven仓库中。例如对于sandbox中的classscan项目: # 项目地址:commons.apache.org/sand... svn checkout mons/sandbox/classscan classscan cd classscan 当install带有parent的maven项目时,如果没有把parent一并install,其它项目引用时会出现 mvn install--Failed to read artifact descriptor for org.apache.maven.plugins:maven-source-plugin:jar:2.1.2 cd parent (classscan/parent) mvn clean package install -DskipTests cd ../api (classscan/api) mvn clean package install -DskipTests cd ../bcel (classscan/bcel) mvn clean package install -DskipTests 在pom.xml中添加依赖 org.apache.commons.classscan bcel 0.2-SNAPSHOT org.apache.commons.classscan api 0.2-SNAPSHOT Eclipse中Update Project,选择Force Update of Snapshots/Releases Apache HttpComponents Maven and M2Eclipse maven快速下载某个jar包依赖的所有jar 经常碰到这种事情:在一些非maven工程中(由于某种原因这种工程还是手工添加依赖的),需要用到某个新的类库(假设这个类库发布在maven库中),而这个类库又间接依赖很多其他类库,如果依赖路径非常复杂的话,一个个检查手动下载是很麻烦的事。下面给出一个便捷的办法,创建一个新目录里面建一个maven pom文件, 添加需要依赖的类库: 4.0.0 com.dep.download dep-download 1.0-SNAPSHOT com.xx.xxx yy-yyy x.y.z 在这个目录下运行命令,所有跟这个类库相关的直接和间接依赖的jar包都会下载到 ./target/dependency/下 杂项 间接依赖的jar包能否直接使用 如果工程依赖A.jar,并用maven设置好依赖,同时A.jar会依赖B.jar,所以maven在下载A.jar的同时会下载B.jar,这时如果项目发现需要使用B.jar中的一些内容,在maven中不必从新设置依赖,可以在工程中直接使用。 把某个本地jar包安装到本地仓库中 mvn install:install-file -DgroupId=“edu.jiangxin” -DartifactId=”gcu” -Dversion=“1.0.0” -Dpackaging=”jar” -Dfile=“D:\CS\J2EE\lib\edu.jiangxin.gcu-1.0.0.jar” 把某个本地jar包部署到某个远程仓库中 mvn deploy:deploy-file -DgroupId=“edu.jiangxin” -DartifactId=”gcu” -Dversion=“1.0.0” -Dpackaging=”jar” -Dfile=“D:\CS\J2EE\lib\edu.jiangxin.gcu-1.0.0.jar” -Durl= yourlocalrepository:... -DrepositoryId=internal bintray bintray.com/ Ant Eclipse Color Themes MyEclipse EclEmma eCobertura JavaNCSS Clover(收费) CAP (code analysis plugin) Visual Performance Analyzer VisualVM JD(Java Decompiler) 注:不支持命令行使用,因而很难批量编译。 jad 注:jad支持命令行方式使用,最新版本为1.5.8g,支持的class版本过低。经常出现问题:Thedpsj指标源码 class file version is .0 (only .3, .0 and .0 are supported)。还有一个工具uuDeJava,也是基于jad,所以估计也难以避免这个问题。 jdec JODED J Java Decompiler 注:收费软件,没有试用过 ProGuard FindBugs PMD Metric Jdepend SourceHelper Structure inFusion SourceMonitor Simian CheckStyle CCTE J-Technologies一家(收费) FORTIFY SCA(收费) coverity(收费) klocwork(收费) GProf Dot and Graphviz sikuli exe4j JBoss GlassFish Virgo Jetty cpDetector EZMorph Apache Shiro Struts Spring Hibernate iBATIS/MyBatis appfuse TopLink json neethi XML SAXON jsoup HTML Parser Java port of Mozilla charset detector(jchardet) JMX jsch * yFiles The yFiles diagramming software components are extensive class libraries that enable you to add high-quality diagramming functionality to your own software applications OpenLDAP Protobuf zip4j JFlex JavaCC sablecc Xtext antlr cglib javassist jclasslib ical4j 分词规则引擎 Drools jBPM OpenAS2 Java Native Access (JNA) mpi Java eBus JACOBA Apache POI - the Java API for Microsoft Documents iText(AGPL) aspose MVEL(Drools) OGNL(Struts) SPEL(Spring) JSP EL freemarker Velocity Aurora很开心,在使用mybatis的过程中我踩到一个坑。
在实际开发过程中,我遇到了mybatis的一个问题,觉得很有必要记录下来并分享给大家。
这个坑的具体情况是这样的:在mybatis中,OgnlOps.equal(0,"")返回的是true,这违背了我们的常识,并且会带来一些问题。
接下来,我将按照遇到问题 -> 分析问题 -> 解决问题的思路,用追踪源码的方法,对这个问题进行剖析。
同时,我会分享一下我是如何通过逆向排查的方法,通过Debug模式找到关键源码,并解决这个问题的。
本文源码:mybatis 3.5.3版本。
背景介绍和需求分析
为了简化问题,我们假设有一个订单表,表结构如下:
为了方便说明,我们假设表里面只有两条数据:订单号为的订单状态为0(关闭),订单号为的vue源码购买订单状态为1(开启)。
已经开发好的功能是模糊查询订单名称,接口如下:
现在需要在已有功能上添加一个根据状态过滤订单的功能。
假设某个页面有这样的一个下拉框,可以根据订单状态过滤订单数据。
准备开发
现在明确了需求,根据订单状态进行过滤。
很简单,最主要的修改地方就是对mapper.xml的修改。
开始自测,遇到问题
为了确保功能的正确性,我进行了单元测试,分别传入状态0和1,预期的结果是各自查询出一条数据。
然而,执行结果却与预期不符,status=0时查询出2条数据,status=1时查询出1条数据。
当时我意识到这个问题可能并不简单,于是决定分析原因。
分析问题
为了找到问题的根源,我首先将sql打印出来,查看最终执行的sql。
通过分析sql,我发现当status为0时,mybatis并没有给我们拼接where关键字。
逆向排查法
为了定位问题,我通过日志找到了关键源码,并使用逆向排查的方法进行追踪。
最终,我发现问题的根源在于mybatis中的OgnlOps.equal(0,"")返回了true。
关键源码
通过分析源码,我找到了导致这个问题的关键代码,并解决了这个问题。
解决问题
为了解决这个问题,我修改了mapper.xml文件中的if标签,最终实现了预期效果。
总结
这次的经历让我深刻认识到,在开发过程中遇到问题时,要善于分析、思考和总结,才能不断提升自己的技能。
实战Arthas:常见命令与最佳实践
本文深入介绍实战 Arthas 的常见命令与最佳实践,帮助开发者更高效地进行 Java 应用程序的诊断和调优。推荐关注 Arthas 官方文档与 Arthas Idea 插件,以加速学习与问题排查。以下是常用命令详解与使用技巧:
类命令:getstatic 用于查看类的静态属性,推荐使用 ognl 命令以获取更灵活的交互方式。
jad 命令反编译指定已加载类的源码,适用于快速验证代码是否生效。retransform 命令则用于加载外部 .class 文件,重新编译已有类,但需谨慎使用,以免影响程序稳定性。
监测排查命令包括:monitor 实现方法执行监控,stack 输出当前方法调用路径,thread 显示当前线程信息,trace 显示方法内部调用路径及耗时,trace 命令尤其适用于性能问题定位,而 tt 命令则记录方法调用的详细信息。
JVM 监控命令有:heapdump 生成堆转储文件,jfr 集成 Java Flight Recorder 收集诊断数据,memory 查看 JVM 内存信息,dashboard 实时显示系统数据,classloader 列出所有 classloader 信息,logger 查看 logger 信息,sc 查看已加载类,mbean 显示 MBean 信息,profiler 生成应用热点火焰图,vmoption 查看和更新 VM 参数,vmtool 利用 JVMTI 接口实现内存对象查询和强制 GC。
特殊命令中,-v 用于查看匹配表达式的执行结果,ognl 命令灵活执行 OGNL 表达式,options 为全局开关,help 查看命令帮助,history 列出命令历史,cls 清屏,quit 退出 Arthas。
快捷键及实用功能:使用 OGNL 语言简化表达式过滤,支持管道命令进行进一步筛选,后台异步执行检测命令,实现问题排查的灵活性。
Arthas 强大的功能和灵活性为开发者提供了强大的工具,帮助提高诊断和调优效率。探索更多 Arthas 的用法与功能,将有助于提升开发工作的便利性和效率。
Java 诊断工具 Arthas 常见命令(超详细实战教程)
在云原生环境中,微服务众多,一个高效的诊断工具Arthas对于问题排查至关重要。Arthas,由阿里开源,深受开发者喜爱,其在线诊断功能无需重启服务,支持动态追踪Java代码和实时监控JVM状态,适用于JDK 6+平台,采用命令行交互模式,具备Tab补全功能,方便定位问题。 Arthas官方定位为Java应用诊断神器,GitHub上已有超过.4K颗星的赞誉。它的功能丰富,如查看线程、内存、GC状态,分析入参/返回值/异常,快速定位热点,生成火焰图等,对解决疑难问题大有裨益。本文将深入介绍Arthas的常见命令应用。启动示例与诊断工具
首先,通过下载并运行arthas-demo.jar启动案例程序,然后启动诊断工具Arthas-boot.jar。诊断工具操作流程
启动Arthas-boot后,它会列出所有Java进程,用户选择需要诊断的进程,比如输入1并回车。成功Attach后,会显示Arthas LOGO,并通过输入help获取命令帮助。实时数据监控与系统操作
通过dashboard命令,你可以查看CPU、内存、GC和运行环境等实时数据。只需输入q或Ctrl+C退出dashboard。具体命令功能
- thread命令:打印线程ID及其栈信息,如thread 1 | grep 'main('。
- sc和sm命令:sc用于查看已加载类,sm用于查找类的具体函数,支持-d参数详细查看。
- jad命令:用于反编译代码,可指定源代码输出。
- ognl命令:动态执行代码,支持返回值展开和多行表达式。
- watch命令:查看函数参数、返回值、异常信息,支持条件表达式和异常捕获。
- sysprop和jvm命令:获取系统和JVM信息。
- reset命令:重置增强类,清除Arthas的字节码增强。
实操案例与异常排查
遇到函数调用异常时,Arthas能帮助查看详细请求参数和堆栈。例如,通过watch命令追踪UserController的参数和异常。
其他功能
- 修改应用Logger Level,可以使用ognl获取和设置。
- 热更新代码,如修改UserController逻辑。
- 利用tt命令获取Spring Context并调用函数。
- 跟踪HTTP请求过滤器,找出 Unauthorized的源头。
每个命令都有详细的文档支持,可根据具体需求灵活运用。更多高级功能如查看线程、CPU使用率和调用栈,请参考相关教程以充分利用Arthas的强大功能。