好長時間沒有更新了，今天更新一篇關于java反射機制的文章，初學Java安全，內容如有不恰當的地方，還請各位大佬指正。

一、什么是反射

反射（Reflection）是Java的特征之一，C/C++語言中不存在反射，反射的存在使得運行中的Java程序能夠獲取自身的信息，并且可以操作類或對象的內部屬性。那什么是反射呢？

下面是官方的解釋：

反射使得Java代碼能夠發現有已加載類的字段、方法和構造函數的信息，并在安全限制內使用反射的字段、方法和構造函數對其底層對應的對象進行操作

簡單來說，通過反射，我們可以在運行時獲得程序或程序集中每一個類型的成員和成員的信息。同樣的，Java的反射機制也是也是如此，在運行狀態中，通過Java的反射機制，我們能夠判斷一個對象所屬的類；了解任意一個類的所有屬性和方法；能夠調用任意一個對象的任意方法和屬性；這種動態獲取的信息以及動態調用對象的方法的功能稱為Java語言的反射機制。

二、反射的用途

在靜態語言中，一般對象的類型都是在編譯期就確定下來的，二通過Java反射機制，可以動態的創建對象并調用其方法或屬性，這也就使得的反射的用途很廣泛，在開發過程中使用Eclipse、IDEA等開發工具時，當我們輸入一個對象或類并想調用它的屬性或方法時，編譯器會自動列出它的屬性或方法，這是通過反射實現的；載入，JavaBean和jsp之間的調用也是通過反射實現的。反射最重要的用途是開發各種框架，如上文中提到的Spring框架以及ORM框架，都是通過反射機制來實現的。

面向不同的用戶，反射機制的重要程度也大不相同。對于框架開發人員來說，反射雖小但作用非常大，它是各種容器實現的核心。對于一般的開發者來說，反射的作用相對較小。但總體來說，適當了解二框架的底層機制對我們的編程思想也是非常有幫助的。

三、靜態語言和動態語言

在學習反射之前，我們有必要了解一下什么是動態語言和靜態語言

• 靜態語言（強類型語言）

靜態語言是在編譯時變量的數據類型即可確定的語言，多數靜態語言要求在使用變量之前必須聲明數據的類型。如C++、Java、Delphi、C#等

• 動態語言（弱類型語言）

動態語言時在運行是確定數據類型的語言。變量使用之前不需要類型聲明，通常變量的類型是被賦值的那個值的類型。如PHP/ASP/Ruby/Python.Perl/ABAP/SQL/JavaScript/Unix Shell等等。

可以在程序運行時改變程序結構和變量類型的語言，比如在程序運行時，新的類和對象可以被加載和創建，新的函數或方法可以被加入或者去除等等。

3.1、動態特性

動態語言具有的某些特性即為動態特性

以PHP舉例，一段代碼，其中變量值的改變可鞥導致這段代碼發生功能上的變化，我們將這種現象稱為PHP的動態特性

比如下面的這個例子

我們只有當代碼運行時，通過變量傳入的值才能確定其具體功能

3.2、動態特性與Java反射

正是因為PHP中存在多種動態特性，使得開發人員能通過很少的代碼實現非常多的功能，比較經典的例子就是一句話木馬，通過一行<?php @eval($_POST[cmd]);代碼即可實現多種多樣的功能

但是Java本身是一門靜態語言，無法像PHP那么靈活多變。但是通過Java反射機制，可以為自身提供一些動態特性。比如，當我們通過IDE寫代碼時，敲擊點好號“.”，會出現當前對象或類所包含的屬性和方法，這里用到的就是Java反射機制。

反射最重要的用途就是開發各種通用框架，很多框架嗾使通過XML文件來進行配置的（如：struts.xml，spring-*.xml等），即所謂的框架核心配置文件。為了確保框架的通用性，程序運行時需要根據配置文件中對應的內容加載不同的類或對象，調用不同的方法，這也依賴于Java反射機制。

3.3、Java反射機制功能點

綜上所述，Java反射機制的功能可分為如下幾點：

• 在程序運行時查找一個對象所屬的類
• 在程序運行時查找任意一個類的成員變量和方法
• 在程序運行時構造任意一個類的對象
• 在程序運行時調用任意一個對象的方法

四、Java的命令執行類

4.1、java.lang.Runtime類

這個類是一個共有類，每個Java應用程序都有一個Runtime類實例，它允許應用程序與運行應用程序的環境交互。當前運行時可以從getRuntime方法獲得。應用程序無法創建自己的此類實例。

該類的主要方法是：getRuntime()，得到一個和當前程序相關聯的Runtime類的對象，解釋如下：

返回與當前Java應用關聯的runtime對象。大多數Runtime類的方法是實例方法，所以必須被當前運行時對象調用。

Runtime對象可以調用exec()方法執行命令，詳細文檔解釋如下：

在一個單獨的進程中執行指定的命令。這是一個方便的方法。以exec(command)形式調用與exec(String,Stringp[],file)的表現是相同的。

下面是一段代碼示例：

五、獲取類對象

獲取類對象的方式有很多種，這里提供四種方式

• forName()
• 直接獲取
• getClass()
• getSystemClassLoader().loadClass()

5.1、獲取類對象-forName()

如果要使用Class類中的方法完成，就需要使用forName方法，只要有類名稱即可，更為防爆，擴展性更強。這種方法并不陌生，在配置JDBC的時候，我們通常采用這種方法

5.2、獲取類對象-直接獲取

任何數據類型都具備一個靜態的屬性，可以使用.class來獲取其對應的Class對象。這種方法相對簡單，但還是要明確用到類的靜態成員

5.3、獲取類對象-getClass()

我們可以通過Object類中的getClass()方法來獲取字節碼對象，不過這種方式較為繁瑣，必須要明確具體的類，然后創建對象

六、獲取類方法

獲取某個Class對象的方法集合，主要有以下幾種方法：

• getDeclareMethods
• getDecleardMethod
• getMethods
• getMethod

6.1、獲取類方法-getDeclaredMethods

getDeclaredMethods方法返回類或接口聲明的所有方法，包括：public、protected、private和默認方法，但不包括繼承的方法

6.2、獲取類方法-getMethods

getMethods方法返回某個類的所有public方法，包括其繼承的public方法

6.3、獲取類方法-getMethod

getMethod方法只能返回一個特定的方法，如 Runtime類中的exec()方法，該方法的第一個參數為方法名稱，后面的參數為方法的參數對應Class的對象

6.4、獲取類方法 - getDeclaredMethod

getDeclaredMethod方法與getMethod類似，也只能返回一個特定的方法，該方法的第一個參數為方法名，第二個參數名是方法參數

七、獲取類成員變量

為了更直觀地體現出獲取類成員變量的方法，我們首先創建一個Student類，要獲取Student類成員變量，主要有以下幾個方法：

• getDeclaredFields
• getDeclaredField
• getFields
• getField

7.1、獲取類成員變量-getDeclaredFields

getDeclaredFields方法能夠獲得類成員變量數組，包括public、private和proteced，但是不包括父類的聲明字段

7.2、獲取類成員變量-getFields

gteFields能夠獲得某個類的所有的public字段，包括父類中的字段

7.3、獲取類成員變量-getDeclaredField

該方法與getDeclaresFields的區別是只能獲得類的單個成員變量

7.4、獲取類成員變量-getField

與getFields類似，getField方法能夠獲得某個類特定的public字段，包括父類中的字段

八、構造任意類的對象

構造任意類的對象最經典的方式：

無參數：className.newInstance()

有參數：getConstructor().newInstance()

構造任意類的對象兩種方式異同

（1）首先兩種方式在原始碼所在的位置上不同

• Class.newInstance() → 在java.lang包
• Constructor.newInstance() → 在java.lang.reflect包

（2）在使用方法上的不同

• ClassName.newInstance():

- Class.forName("com.ms08067.newInstance.newInstanceExample").newInstance();

 - newInstanceExample.class.newInstance();

• getConstructor().newInstance()

- newInstanceExample.class.getConstructor().newInstance();

• Class.newInstance() 只能反射無參的構造器
• Constructor.newInstance() 可以反射任何構造器
• Class.newInstance() 需要構造器可見
• Constructor.newInstance() 可以反私有構造器
• Class.newInstance() 對于捕獲或者未捕獲的一場均由構造器丟擲；
• Constructor.newInstance() 通常會把丟擲的異常封裝成InvocationTrageException丟擲

九、調用任意實例對象的方法

調用任意實例對象的方法最經典的方式

• 直接調用：objectName.functionName()
• invoke調用：invoke()

invoke方法調用任意實例對象是通過反射實現的，下面是一個示例：

十、不安全的反射

如前所述，利用Java的反射機制，我們可以無視類方法、變量訪問權限修飾符，調用任何類的任意方法、訪問并修改成員變量值，但是這樣做可能導致安全問題，如果一個攻擊者能夠通過應用程序創建意外的控制流路徑，就有可能繞過安全檢查發起相關攻擊。假設有一段代碼如下：

其中存在一個字段name，當獲取用戶請求的name字段后進行判斷，如果請求的是Delect操作，則執行DelectCommand函數；若執行的是Add操作，則執行AddCommand函數；如果不是這兩種操作，則執行其他代碼。

假如開發者看到了這段代碼，他認為可以使用Java的反射來重構此代碼以減少代碼行，如下所示：

這樣的重構看起來使得代碼行減少，消除了if/else塊，而且可以在不修改命令分派器的情況下添加新的命令類型，但是如果沒有對傳入的name字段進行限制，則可以實例化實現Command接口的任何對象，從而導致安全問題。實際上，攻擊者甚至不局限于本例中的Command接對象，而是使用任何其他對象來實現，如調用系統中任何對象的默認構造函數，或者調用Runtime對象去執行系統命令，這可能導致遠程命令執行漏洞，因此不安全的反射的危害性極大，也是我們審計過程中需要重點關注的內容。