[시큐어 코딩/Secure Coding] API 악용 - null 파라미터 미검사

참고: 안드로이드 시큐어코딩 가이드
참고: Seven pernicious kingdoms

설명

Java 표준에 따르면 Object.equals(), Comparable.compareTo(), Comparator.compare()의 구현시 파라미터로 null이 넘어와도 특정한 값을 리턴해야 합니다. 이 규칙을 따르지 않으면 예기치 못한 동작이 발생할 수 있습니다.

안전한 코딩

모든 메소드의 구현에서 파라미터를 참조하는 구문을 사용한다면 그 넘겨받은 파라미터가 null 인지 비교해야 합니다.

예제 (Java)

// Unsafe class TestApp { public static void main(String[] args) { TestApp object = new TestApp(); boolean test = object.equals(null); } public boolean equals(Object object) { return (toString()).equals(object.toString()); } }

위 코드는 파라미터로 넘어온 값을 null 인지 아닌지 확인 없이 참조하여 예기치 못한 동작이 발생할 수 있습니다.

// Safe public boolean equals(Object object) { if (object != null) { return (toString()).equals(object.toString()); } else { return false; } }