0

当我们在以下代码上运行 proguard 时,它应该删除 Logging 语句:

Log.d(TAG, "field= "+field+“ : enhancedfield=”+enhancedfield);

但是...编译后你会看到:

Log.d(TAG, new StringBuilder().append("Field= ").append(field)
     .append(“ : enhancedfield=”).append(enhancedfield).toString());

现在,当我们对此运行 proguard 时,你会得到一些剩菜:

new StringBuilder().append("Field= ").append(field)
    .append(“ : enhancedfield=”).append(enhancedfield).toString();

这会将信息泄露给潜在的黑客......

我能做什么:声明一个final static boolean并且仅在值为true. 因为该值可以在编译时确定,所以当该值为 false 时将不包含日志记录代码。但这污染了我的代码,所以我对此并不满意。

现在我的问题:我怎样才能改善这种行为?留下更少的剩菜并泄露更少的信息?

4

3 回答 3

2

您可以通过强制将语句分开来阻止编译器使用 Stringbuilder:

Log.d(TAG, "field:");
Log.d(TAG, field);
Log.d(TAG, "enhancedfield:");
Log.d(TAG, enhancedfield);

这当然会影响日志的结果(4 行而不是 1 行),并且代码不是很容易维护。

于 2012-12-10T14:44:44.213 回答
1

这是问题在 ProGuard 优化期间删除未使用的字符串的副本。您可以定义自己的日志记录方法以避免 StringBuilder 调用。

于 2012-12-11T16:33:12.090 回答
0

日志字符串在混淆中总是一个问题,它们不能被混淆掉,你只能将它们移动到一个单独的类中,这没有多大帮助。

该字符串的加密会更安全。在我们的实践中,我们不太关心,在非常特殊的算法中,这是技术的核心,一旦您知道这些方法可以正常工作,您就可以完全删除日志记录。

使用静态最终布尔值 isDebug 的缺点是您无法再启用日志记录,您必须重新构建并安装调试版本。

解决方案是否带有 statcic final dbg = false 

if (dbg) Log.d("unwanted debug log");

真的污染你的代码?

于 2012-12-10T13:28:25.123 回答