md!这代码有毒
你好,我是yes。
刚想周五下午摸个鱼,直接一个钉钉消息打破了我的计划:有个bug。
我说:啥bug?
对方说:刚申请的内部用户的账号登录不上去。
我说:还有这种事,报啥错?
登录的时候报了这个错:
他的密码是这个的:
我瞄了一眼,这明显不含大写啊,你让他密码改成含大写的就行了。
对方有点懵:关键这密码是初始生成的密码啊!他现在登都登不上咋改!管理员重置密码的功能也都没做。
我:???初始密码生成竟然没大写。
我直接一波探索,找到了那块逻辑:
乍一看没啥毛病。。实则毛病挺大:
首先用的是 hutool 的 RandomUtil。
从代码逻辑来看,是想通过 RandomUtil.randomStringUpper(4)
; 得到 4 个大写随机字符,然而:
很显然,写这个逻辑的同学被这个方法名骗了,咱平日编码严谨点还是得点进去瞄一眼逻辑的。
所以通过 RandomUtil.randomStringUpper
并不一定能得到大写字母,因为可能都随机到数字。
如果说第一个坑我还能理解这位同学,那么第二坑我觉得真的有点秀了。
第二个坑:String randomString = RandomUtil.randomString(allStr.toString(), 18);
这又是几个意思??
好不容易 allStr 拼接了含大写、小写、数字、特殊字符,然后就搁这从中随机取 18 次?
那么问题来了,这18次一定能随机到大写吗?一定能随机到数字吗??
前面辛辛苦苦拼的各种格式的字符,最后靠随机取是吧,一切随缘咯。
你看看,这逻辑实现是不是有点毒。
不过回头想想,我来这公司也挺久了,是第一次收到这个反馈。。。说明之前运气确实不错。
这种随缘代码使用频率不高确实不容易发现问题。
不扯了,突然钉钉又推了一个消息。。线上有报错,容我去排查一波,有必要的话下周分享!
我是yes,我们下篇见!