整理些平时不好的coding习惯导致的bug📝

1、包装类型导致的NPE

处理项目的一个bug，看日志是发生了空指针，相关代码如下：

@Data
public class Dto {private Integer offset;private Integer limit;}

if (dto.getLimit() < 0 || dto.getLimit() > 100) {throw new RuntimeException("参数非法");
}

这里对外API文档写的offset和limit有默认值0和20，但实际代码里并未赋值，这里用的是int的包装类，不传时，默认值为null，而下面 < 0 的比较，会触发自动拆箱，调用Integer对象的intValue()方法，因此，空指针

2、xxApiWrapper命名

发现一个类命名的单词，wrapper，用它结尾命名一个封装📦类，很不错

/*** 封装调用xx系统的API*/
public class ServiceApiWrapper {}

3、@see注释

有时候，一些字段是枚举类型，但Dto类中我们更想用String，此时，可以@see 跟一个全类名，方便点击跳转到对应的类上：

/*** @see com.llg.common.SourceTypeEnum*/
private String sourceType;

4、MySQL模糊匹配特殊字符bug

用户反馈有个模糊查询，输入_下划线，返回的有带-中划线的结果，debug到对应位置的代码：

criteria.andCondition("upper(group_id) like upper('%" + searchKey + "%')");

这里很明显是用户输入的下划线被当成通配符了，作用是匹配单个字符，对于这种情况，要考虑两个点：

• SQL注入
• 特殊字符

字符	类型	含义
%	通配符	匹配任意数量字符（包括0个）
_	通配符	匹配单个字符
\	转义符	取消后续字符的特殊含义

永远不要直接拼接用户输入到你的SQL中，对于特殊字符，用这个工具类处理一下，加转义符，取消后面字符的特殊含义：

public class SqlUtil {// https://dev.mysql.com/doc/refman/5.7/en/string-comparison-functions.html#operator_likepublic static String escapeLikeValue(String value) {if (value == null) {return null;}return value.replace("\\", "\\\\").replace("%", "\\%").replace("_", "\\_");}
}

对于SQL注入，其实最好的就是预处理，SQL模板化，让SQL和传入的值分开，但这里项目用了tk mybatis框架，考虑加个正则表达式拦一下，能解决一部分，但并不是最优解：

private static final Pattern RISK_SQL = Pattern.compile("[\\s#/*'\"]");
if (RISK_SQL.matcher(searchKey).find()) {throw new RuntimeException("输入非法");
}

但这么改其实漏洞🕳️也不少，比如union 或者结束; 搭配Drop table等等：

SELECT * FROM users WHERE id = 1 UNION SELECT password FROM users

'); DROP TABLE x; --

总之，这种拼接SQL的，要特别注意SQL注入导致数据泄漏或者数据被删的问题。