你以为的 null 不是真的 null,但 bug 是真的 bug!
刷到一篇搞笑的帖子:
用户取用户名为 "null"!
是的,你没看错,不是 Java 里的 null
,不是 SQL 里的 NULL
,而是一个货真价实的字符串 "null"!这玩意儿乍一看人畜无害,但只要你代码里稍不注意,它就能让你怀疑人生。
想象一下,你在代码里写:
if (username == null) {
throw new IllegalArgumentException("用户名不能为空!");
}
然后用户提交:
{
"username": "null",
"password": "123456"
}
结果? 你的代码屁都没放,用户成功注册!
为啥?因为 "null"
是个合法的字符串,不是 null
!你的代码根本不会拦截它,数据库里就多了一个幽灵用户,名字就叫 "null"。防御性编程能否帮助程序员抵御裁员风暴
更搞笑的是,日志里打印:
当前用户:null
你以为是系统异常?不,人家就叫这个名!
你以为只是个名字?天真!它能让你体验全方位崩溃:
null
,你根本分不清是真·空值还是假·字符串,只能疯狂 debug。"null"
当成特殊标识符,可能导致 XSS 或信息泄露。大模型 | Spring AI 对接百炼平台大模型使用教程null
值,结果 "null" 用户被漏掉,导致业务逻辑出错。别慌,老司机教你几招:
(1)严格校验用户名别只检查 null
,还要拦截 "null"
、"undefined"
、空格等毒瘤字符串:
private static final Set<String> ILLEGAL_USERNAMES = Set.of(
"null", "undefined", " ", "\t", "\n", "admin", "root"
);
public void validateUsername(String username) {
if (username == null || ILLEGAL_USERNAMES.contains(username.trim().toLowerCase())) {
throw new IllegalArgumentException("用户名非法!");
}
}
(2)前端也要拦截别全甩锅给后端,前端表单校验加个规则:
if (["null", "undefined", ""].includes(username.trim())) {
alert("用户名不能是 null 或 undefined!");
return;
}
(3)数据库约束加个 CHECK
约束,禁止存入非法用户名:
ALTER TABLE users ADD CONSTRAINT chk_username
CHECK (username NOT IN ('null', 'undefined', ' '));
(4)日志区分真假 null打印日志时加个标记:
logger.info("用户名为: {}", username == null ? "[NULL]" : username);
用户可能只是手滑,或者系统自动填充了个 "null"
,但最终熬夜 debug 的是你。所以:
所有被 "null" 坑过的程序员你们不是一个人!下次再看到 "null"
,记得先喝杯咖啡,今晚可能又要熬了……