静的解析(主に脆弱性)なツール二種類をとある脆弱性が満載なサンプルを試してたらFileReaderをそのまんま使ってたところが両方ともひっかかった。
文字、配列、行をバッファリングすることによって、文字型入力ストリームからテキストを効率良く読み込みます。
バッファのサイズは、デフォルト値のままにすることも、特定の値を指定することもできます。デフォルト値は、通常の使い方では十分な大きさです。
一般的に、Reader に対して読み込み要求が出されると、それに対応する基本となる文字型ストリームまたはバイトストリームへの読み込み要求が発行されます。このため、FileReader や InputStreamReader のように read() 操作の効率の良くない Reader では、その周りを BufferedReader でラップすることをお勧めします。たとえば、次の例は指定されたファイルからの入力をバッファします。
BufferedReader in
Oracle Technology Network for Java Developers | Oracle Technology Network | Oracle
= new BufferedReader(new FileReader("foo.in"));
バッファリングせずに read()、readLine() を使うと、呼び出しごとにファイルからバイトを読み込み、文字型に変換し、そのたびに復帰するので、非常に効率が悪くなります。
で、これがサービス停止攻撃につながるんだと。
ツールによってレベル高としてたりよくわからんレベル(いわゆるinfoレベル?)にしてたり。
実際にやってみないとわからんなぁ...
