扫描仪安全读取用户输入

Question

在要求用户输入（而不是从文本文件中读取）时，特别是使用扫描仪时，我无法找到安全性或缺乏安全性的良好总结。我知道在 C 语言中，读取用户输入有很多危险，我们需要时刻警惕诸如缓冲区溢出之类的事情。

我曾经与某人交谈过，他说如果我使用 Scanner 类，他们很容易破坏我的程序。那一刻，我并没有给她太多压力，但它让我思考：在读取用户输入（字符串、整数等）时，我需要建立多少保护？

她所指的攻击类型的几个示例：输入太长而无法实际保存字符串（超过约 20 亿个字符，并且没有 \n），从而导致异常。如果要求名称，请输入数值。甚至可能会破坏扫描仪并以更复杂的方式强制其进入未定义的行为？

我正在考虑一种防止这种情况的方法，方法是在 Scanner.nextLine() 周围进行 try-catch 以防止输入太长，或者甚至可能逐个读取字符并确保它符合我的需要（尽管我发现 hasNext() 并不能真正用于用户输入，只能用于文件读取）。

我真正要问的是：防止有人故意尝试破坏您的扫描仪并导致异常或“未定义行为”的最佳方法是什么？扫描仪真的是最好的工具吗？在牢记恶意人员时，您是否更喜欢其他课程？

Answer 1

对不起我的英语。我只是想帮忙:)

我认为 try-catch 会解决你所有的问题。 所有尝试都会捕获超过 20 亿个字符。 没问题。哇。

但是，还有其他选择。 你可以使用 FileReader 或 FileInputStream。 这是一个例子。

try{//Use FileReader 
    File file = new File("text.txt");
    FileReader file_reader = new FileReader(file);
    int cur = 0;
    while((cur = file_reader.read()) != -1){
        System.out.print((char)cur);
    }
    file_reader.close();
}catch (Exception e) {e.getStackTrace();}

和

try {//Use FileInputStream
    String filePath = "text.txt";
    FileInputStream fileStream =  new FileInputStream( filePath );
    byte[ ] readBuffer = new byte[fileStream.available()];
    while (fileStream.read( readBuffer ) != -1){
        System.out.println(new String(readBuffer));
    }
    fileStream.close();
} catch (Exception e) {e.getStackTrace();}

我不知道哪种方式更适合防守。 但我知道使用 FileInputStream 很好。它更快。

再见。我希望你这个答案不错。 :)