編程技術：編寫安全執行緒的JSP程式

js|安全|編程|程式

JSP預設是以多線程方式執行的，這是JSP與ASP，PHP，PERL等指令碼語言不一樣的地方，也是它的優勢之一，但如果不注意多線程中的同步問題，會使所寫的JSP程式有難以發現的錯誤。下面以一個例子說明JSP中的多線程問題及解決方案。

一、JSP的中存在的多線程問題：

當用戶端第一次請求某一個JSP檔案時，服務端把該JSP編譯成一個CLASS檔案，並建立一個該類的執行個體，然後建立一個線程處理CLIENT端的請求。如果有多個用戶端同時請求該JSP檔案，則服務端會建立多個線程。每個用戶端請求對應一個線程。以多線程方式執行可大大降低對系統的資源需求,提高系統的並發量及回應時間.對JSP中可能用的的變數說明如下:

執行個體變數

執行個體變數是在堆中分配的,並被屬於該執行個體的所有線程共用，所以不是安全執行緒的.

JSP系統提供的8個類變數

JSP中用到的OUT,REQUEST,RESPONSE,SESSION,CONFIG,PAGE,PAGECONXT是安全執行緒的,APPLICATION在整個系統內被使用,所以不是安全執行緒的.

局部變數

局部變數在堆棧中分配,因為每個線程都有它自己的堆棧空間,所以是安全執行緒的.

靜態類

靜態類不用被執行個體化,就可直接使用,也不是安全執行緒的.

外部資源:

在程式中可能會有多個線程或進程同時操作同一個資源(如:多個線程或進程同時對一個檔案進行寫操作).此時也要注意同步問題.

二、下面的例子存在的多線程問題：

<%@ page import=" javax.naming.*, java.util.*, java.sql.*, weblogic.common.* " %> <% String name String product; long  quantity; name=request.getParameter("name"); product=request.getParameter("product"); quantity=request.getParameter("quantity"); /*(1)*/ savebuy(); %> <%! public void  savebuy() {    /*進行資料庫操作，把資料儲存到表中*/     try {       Properties props = new Properties();        props.put("user","scott");       props.put("password","tiger");       props.put("server","DEMO");         Driver myDriver = (Driver) iver").newInstance();       conn = myDriver.connect("jdbc:weblogic:oracle", props);       stmt = conn.createStatement();       String inssql = "insert into buy(empid, name, dept) values (?, ?, ?,?)";       stmt = conn.prepareStatement(inssql);        stmt.setString(1, name);       stmt.setString(2, procuct);          stmt.setInt(3, quantity);       stmt.execute();     }     catch (Exception e)      {         System.out.println("SQLException was thrown: " + e.getMessage());     }      finally //close connections and     {          try {           if(stmt != null)             stmt.close();           if(conn != null)             conn.close();         } catch (SQLException sqle) {             System.out.println("SQLException was thrown: " + sqle.getMessage());         }     } } %>

上面的程式類比網上購物中的一部分,把使用者在瀏覽器中輸入的使用者名稱,購買的物品名稱,數量儲存到表BUY中。在savebuy()函數中用到了執行個體變數,所以它不是安全執行緒的.因為:程式中的每一條語句都不是原子操作,如name=request.getParameter("name");在執行是會對應多個機器指令,在任何時候都可能因系統調度而轉入睡眠狀態,讓其他的線程繼續執行.如果線程A在執行到(1)的時候轉入睡眠狀態,線程B開始執行並改變QUANTITY的值,那麼當又到A執行時,它會從調用savebuy()函數開始執行，這樣它儲存到表中的QUANTITY是被線程B改過的值,那麼線程A對應的使用者所實際購買的數量與保持到表中的資料不一致.這是個很嚴重的問題.

三、解決方案

採用單線程方式

在該JSP檔案中加上: ,使它以單線程方式執行,這時，仍然只有一個執行個體，所有用戶端的請求以串列方 式執行。這樣會降低系統的效能.

對函數savebuy()加synchronized進行線程同步,該JSP仍然以多線程方式執行，但也會降低系統的效能

public synchronized void savebuy()
{
......
}

採用局部變數代替執行個體變數,函數savebuy()聲明如下:

因為在savebuy()中使用的是傳給他的形參,是在堆棧中分配的,所以是安全執行緒的.

public void savebuy(String name,String product, int quantity)
{
......
}

調用方式改為:

＜%

String name

String product;

long quantity;

name=request.getParameter("name");

product=request.getParameter("product");

quantity=request.getParameter("quantity");

savebuy(name,product,quantity)

%＞

如果savebuy的參數很多,或這些資料要在很多地方用到,也可聲明一個類,並用他做參數,如:

public class buyinfo
{
String name;
String product;
long quantity;
}
public void savebuy(buyinfo info)
{
......
}

調用方式改為:

＜%

buyinfo userbuy = new buyinfo();

userbuy.name=request.getParameter("name");

userbuy.product=request.getParameter("product");

userbuy.quantity=request.getParameter("quantity");

savebuy(userbuy);

%＞

所以最好是用3,因為1,2會降低系統的效能.

多線程問題一般只有在在大並發量訪問時，才有可能出現，並且很難重複出現，所以應在編程時就時刻注意。