界: API Abuse

API 就像是呼叫者與被呼叫者之間簽訂的規定。最常見的 API 濫用形式是由呼叫者這一當事方未能遵守此規定所造成的。例如，如果程式在呼叫 chroot() 後無法呼叫 chdir()，即違反規範如何以安全方式變更使用中根目錄的規定。程式庫濫用的另一個好例子是期待被呼叫者向呼叫者傳回值得信賴的 DNS 資訊。在這種情況下，呼叫者是透過對其行為做出某些假設 (傳回值可用於驗證目的) 來濫用被呼叫者 API。另一方也可能違反呼叫者與被呼叫者間的規定。例如，如果編碼器衍生出子類別 SecureRandom 並傳回一個非隨機值，則違反了規定。

Missing Check for Null Parameter

Java/JSP

Abstract

此函數必須將其參數與 null 作比較，但是卻違反了這個規定。

Explanation

Java 標準要求實作 Object.equals()、Comparable.compareTo() 和 Comparator.compare() 方法時，如果其參數為 null，則必須傳回指定的值。若沒有遵守這個規定，將會導致無法預期的結果。

範例 1：以下 equals() 方法的實作，不會將其參數與 null 比較。


public boolean equals(Object object)
{
   return (toString().equals(object.toString()));
}

References

[1] MET10-J. Follow the general contract when implementing the compareTo() method CERT

[2] MET08-J. Preserve the equality contract when overriding the equals() method CERT

[3] Standards Mapping - Common Weakness Enumeration CWE ID 684

[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

desc.controlflow.java.missing_check_for_null_parameter