※ 引述《SansWord (是妳)》之銘言： : 假設我的程式呼叫了一些內建的class(例如java.lang.String) : 那這些class的實做會隨著JVM而異還是不管在哪個JVM都會是一致的？ 理論上所有 JRE implementation 所提供的 J2SE core classes 要是相容的。 : : 這樣問好了，有沒有可能竄改某個JVM的內建class file, 讓所有java程式 : 在這個JVM上面執行時，行為都變成我所竄改後的結果？ 有可能。 一種作法是事先 patch 你所使用的 JRE 所提供的 core classes。 另一種作法是在 runtime 去 patch(transform) JRE 的 core classes。 後者可以透過 pure java agent 或透過 JVMTI 來達成。 ref: java.lang.instrument package。 : 最近要讀一些跟靜態分析和動態分析有關的paper : 也許之後要朝這個方向前進吧～ : 研究成功的話，可以把SQL injection 之類的問題從根本排除掉 我不清楚你所謂把 SQL injection 根本排除掉的思維，避開 SQL injection 應該 是不需要動用 bytecode engineering，除非你是以 bytecode engineering 來達成 meta programming，提供一套不同於傳統的 Relational databases programming 的設計方式。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.173.133.239 ※ 編輯: sbrhsieh 來自: 218.173.133.239 (09/01 19:57)