編寫servlet和jsp的時候,線程安全問題很容易被忽略,如果忽視了這個問題,你的程序就存在潛在的隱患.

1.servlet的生命周期

servlet的生命周期是由web容器負責的,當客戶端第一次請求servlet時,容器負責初始化servlet,也就是實例化這個servlet類.以后這個實例就負責客戶端的請求,一般不會再實例化其他servlet類,也就是有多個線程在使用這個實例.servlet之所以比cgi效率高就是因為servlet是多線程的.如果該servlet被聲明為單線程模型的話,容器就會維護一個實例池,那么將存在多個實例.

2.servlet的線程安全

servlet規范已經聲明servlet不是線程安全的,所以在開發servlet的時候要注要這個問題.這里以一個現實的模型來說明問題,先定義一個servlet類,再定義一個smulatemultithread類和webcontainer類.

import javax.servlet.http.httpservlet;

import javax.servlet.servletexception;

import javax.servlet.http.httpservletrequest;

import javax.servlet.http.httpservletresponse;

import java.io.ioexception;

//該類模擬多線程servlet的情況

public class smulatemultithread implements runnable{

public smulatemultithread() {

}

public static void main(string[] args) {

//處理100個請求

for(int i=0;i<100;i++)

{

new thread(new smulatemultithread()).start();

}

}

public void run() {

httpservletrequest request=null;

httpservletresponse response=null;

try {

webcontainer.getservlet().doget(request, response);

}

catch (ioexception ex) {

}

catch (servletexception ex) {

}

}

}

//這是一個servlet類

class unsafeservlet extends httpservlet{

private string unsafe;

public void init() throws servletexception {

}

//process the http get request

public void doget(httpservletrequest request, httpservletresponse response) throws servletexception, ioexception {

unsafe=thread.currentthread().getname();

system.out.println(unsafe);

}

}

//這個是容器類

class webcontainer{

private static unsafeservlet us=new unsafeservlet();

public static unsafeservlet getservlet(){

return us;

}

}

輸出了100不同的線程名稱,如果有100個請求同時被這個servlet處理的話,那么unsafe就可能有100種去值,最后客戶端將得到錯誤的值.比如客戶1請求的線程名為thread-1,但是返回給他的可能是thread-20.表現在現實中就是,我登陸的用戶名是user1,登陸后變成了user2.

那么怎樣才能是servlet安全呢,凡是多個線程可以共享的就不要使用(實例變量+類變量),就這么簡單.也可以使用synchronized同步方法,但是這樣效率不高,還可以使用單線程模型,這樣的話效率就更低了,100個請求同時來的時候就要實例化100個實例.

方法中的臨時變量是不會影響線程安全的,因為他們是在棧上分配空間,而且每個線程都有自己私有的棧空間.

3.jsp中線程安全

jsp的本質是servlet,所有只要明白了servlet的安全問題,jsp的安全問題應該很容易理解.使用<%! %>聲明的變量是servlet的實例變量,不是線程安全的,其他都是線程安全的.

<%! string unsafevar; %>//不是線程安全的

<% string safevar; %>// 線程安全的

總結:線程安全問題主要是由實例變量造成的,不管在servlet還是jsp,或者在struts的action里面,不要使用實例變量,任何方法里面都不要出現實例變量,你的程序就是線程安全的.