XSS (Cross Site Scripting) 흔한 보안 공격이다. 스크립트 태그 XSS 공격을 막는 방법 1. 입력 데이터 검증하기 방어할 수 있는 가장 단순한 방법은 스크립트 태그의 특수문자를 HTML Entity라는 것으로 치환하는 것이다. 서버와 클라이언트측에서 문자열 데이터 중 스크립트 문자를 로 replace 처리하면 된다는 것이다. 에에 <가 뭔데? HTML 문서에서는
전체 글
여러분 안냐세욤
하나의 Repo에 여러 Repo의 커밋기록 담기 우테코에서 fork해서 진행한 여러 프로젝트가 있다. 잔디를 심기 위해 각 프로젝트(미션)을 하나의 개인 Repository에 넣어 폴더로 정리하고 싶었다. 아래 방법이 가장 직관적이고 마음에 든다. 방법 1. 일단 모든 것을 담아둘 Repository를 만들고 clone해온다. 2. 아래 명령을 수행한다. git subtree add --prefix=만들디렉토리명 저장소주소 브랜치명 // 예시 git subtree add --prefix=java-racingcar-6 https://github.com/yyeennyy/java-racingcar-6.git main 커밋로그 확인하기 woowa-precourse에서 subtree를 각각 add한 후의 그래프는..
🪄 상속용 클래스는 신경써라 상속용 클래스는 반드시 상속을 염두에 두고 설계해야 한다(Item18). 이번 아이템에서는 상속을 고려한 설계와 문서화가 뭔지 공부한다. 상속을 허용할 클래스는, 클래스에서 재정의 가능 메서드를 호출할 수 있는 모든 상황을 문서로 남겨야 한다. 클래스의 API로 공개된 메서드에서, 클래스 자신의 또 다른 메서드를 호출할 수도 있다(자기사용). 그런데 만약 '재정의 가능 메서드'를 호출하는 형태라면, 호출하는 메서드의 API 설명에 그 사실을 적시해야 한다. 어떤 순서로 호출하는지, 각 호출 결과가 처리에 어떤 영향을 주는지 말이다. *재정의 가능이란?: public과 protected 메서드 중 final이 아닌 모든 메서드다. *백그라운드 스레드나 정적 초기화 과정에서도 호..
🪄 상속은 캡슐화를 깨뜨린다 상속은 좋은 의도로 사용된다. 1. 공통 코드를 재사용하여 중복 줄임 2. 유지보수, 확장, 유연함 등.. 그런데 상속이 캡슐화를 깨뜨린다라.. 무엇을 이야기하는 걸까? 하위 클래스들이 "상위 클래스의 변화에 종속되어 끌려다니는" 좋지 못한 상황을 이야기하는 것이다. *만약 상위 클래스가 확장을 잘 고려했고, 문서화도 잘 해두었다면 안전하여 괜찮다. *참고: 상속용으로 설계한 클래스는 하위 클래스를 만들어서 검증해야 한다. . . 상속은 상위클래스와 하위클래스가 순수한 is-a 관계일 때만 써야 한다. 무엇보다도 상속 관계는 is-a 및 is kind of 관계, 컴포지션은 has-a 및 is part of 관계라고도 할 수 있다. 예를 들어 Car is-a Automobil..
불변 클래스 불변 클래스는 내부 값을 수정할 수 없는 클래스다. 즉 불변 인스턴스에 간직된 정보는 고정되어, 객체가 파괴되는 순간까지 절대 변하지 않는다. 또한 불변 클래스는 가변 클래스보다 설계, 구현, 사용이 쉬우며, 오류의 여지가 적어 안전하다. 자바에서도 다양한 불변 클래스가 있는데, String, BigInteger, BigDecimal이 있다. . . ─ 불변 클래스가 따르는 5가지 규칙 1. 객체의 상태를 변경하는 Setter를 제공하지 않는다. 2. 클래스를 확장할 수 없도록 한다. - 하위 클래스에서 실수로, 악의로 객체의 상태를 변하게 하는 사태를 막아야 함 - 상속을 막는 대표적인 방법은 final 클래스로 선언하는 것이고, 다른 방법도 뒤에서 언급할 것임 3. 모든 필드를 final..
필드를 노출하면 캡슐화가 깨진다 public 클래스에는 절대 가변 필드를 직접 노출해서는 안된다. (불변 필드도 안심할 수 없다.) 하지만 package-private 클래스나 private 중첩 클래스에서는 종종 필드를 필드를 노출하는 편이 나을 때도 있다. 일단 public 클래스에서 데이터 필드에 직접 접근한다면 캡슐화가 깨지는 것이다(Item15). 그렇게 되면 단점이 많은데, 불변식을 보장할 수도 없고, 외부에서 필드에 접근할 때 부수 작업을 수행할 수도 없다. 그래서 필드는 모두 private으로 바꾸고, 접근자(getter) 및 변경자(mutator, setter)를 두는 방식으로 개선할 수 있다. 노출해도 되는 상황이 있나요? 하지만 pakage-private 클래스 혹은 private 중..
캡슐화 잘 설계된 컴포넌트의 기본은 내부 정보를 외부로부터 잘 은닉하기! 즉 캡슐화이다. 내부 구현을 완벽히 숨겨서 "구현"과 "API"를 깔끔히 분리하는 것이다. 소프트웨어 설계의 근간이다! 항상 고민하도록 하자. 캡슐화 장점은 간단히.. - 시스템 개발 속도를 높인다. - 시스템 관리 비용을 낮춘다. - 캡슐화 자체가 성능을 높여주진 않으나 최적화에 도움을 준다. (다른 컴포넌트에 영향 주지 않고 해당 컴포넌트만 최적화 가능) - 재사용성을 높인다. - 큰 시스템 제작 난이도를 낮춘다. 접근 제한자를 잘 다루는 것이 중요 private, protected, public ... 을 잘 활용하는 것이 캡슐화의 핵심이다! 기본 원칙은 간단하다. "모든 클래스와 멤버의 접근성을 가능한 좁혀야 한다"는 것이다..
최적화의 어두운 진실 최적화는 해로운 결과로 이어지기 쉽다. 빠르지도, 제대로 동작하지도 않고, 수정하기도 어려운 소프트웨어를 탄생시킬 수 있다. 성능 때문에 견고한 구조를 희생하지 말자. 빠른 프로그램보다는 좋은 프로그램을 작성하라. 좋은 프로그램은 정보 은닉 원칙을 따르므로, 구성요소의 각 내부를 독립적으로 재설계 가능하다(Item15) . . 책에서는 "모든 사람이 마음 깊이 새겨야 할 최적화 격언 세 개"를 소개하고 있다. 이 격언들은 자바가 탄생하기 20년 전에 나온 것으로, 최적화의 어두운 진실을 이야기해준다. (맹목적인 어리석음을 포함해) 그 어떤 핑계보다 효율성이라는 이름 아래 행해진 컴퓨터 죄악이 더 많다(심지어 효율을 높이지도 못하면서). ─ 윌리엄 울프 (전체의 97% 정도인) 자그마..
네이티브 메서드 네이티브 메서드란, C나 C++같은 네이티브 프로그래밍 언어로 작성한 메서드를 말한다. 자바 네이티브 인터페이스(JNI)는 자바 프로그램이 그런 네이티브 메서드를 호출하는 기술이다. 네이티브 메서드의 주요 쓰임 1. 레지스트리 같은 플랫폼 특화 기능을 사용할 때 └ 필요성 줄어드는 중임: 자바가 성숙해가면서 하부 플랫폼(OS 등)의 기능들을 점차 흡수중 2. 네이티브 라이브러리(네이티브 코드로 작성된)를 사용할 때 └ 네이티브 라이브러리는 특히 GNU 다중 정밀 연산 라이브러리(GMP)를 필두로 개선 작업 계속되어옴 └ 고성능 다중 정밀 연산이 필요하다면, 네이티브 메서드를 통해 GMP를 사용하는 것을 고려해도 좋음 3. 성능 개선을 목적으로 사용함 └ 비권장: 요즘 자바는 다른 플랫폼에..
리플렉션 리플렉션 기능(java.lang.reflect)을 이용하면 임의의 클래스에 접근할 수 있다. 예를 들어 Class 객체가 주어지면 그 클래스의 Constructor, Method, Field 인스턴스를 가져올 수 있고, 이어서 이 인스턴스들로는 그 클래스의 멤버 이름, 필드 타입, 메서드 시그니처 등을 가져올 수 있다. 더 나아가서 Constructor, Method, Field 인스턴스를 이용해 각각에 연결된 실제 생성자, 메서드, 필드를 조작할 수도 있다. (저 인스턴스들을 통해 해당 클래스의 인스턴스를 생성하거나, 메서드를 호출하거나, 필드에 접근할 수 있음) 예를 들어 Method.invoke를 통해 어떤 객체의 메서드를 호출할 수 있다. 이렇게 리플렉션을 이용하면 컴파일 시점에 존재하지..