代码注入不好吗？

Question

有一些相当强大的工具，例如 SIMBL 或 Airfoil/Instant Hijack 使用代码注入。
据我了解，这些工具将自己的代码注入其他程序中。 这个想法对我来说听起来很危险，因为这似乎有可能使完全稳定的软件变得脆弱和“有缺陷”。 这似乎也带来了安全风险。

出于稳定性或安全原因是否应该避免使用这些工具？

Answer 1

这取决于您使用它的目的以及所注入代码的质量。 可以有完全稳定的注入代码。 事实上，当我以前开发第三方游戏反作弊软件时，代码注入是其中很大一部分，我经常能够通过消除原始游戏开发者从未修复过的错误和漏洞来使游戏更加稳定。不再支持该游戏。

另一方面，我可能会对将第三方代码注入企业安全、审计或会计软件持怀疑态度。

Answer 2

我相信它不仅仅指用于黑客攻击或破解系统的某种代码注入。

这也是 Java 世界中经常使用的技术，使用诸如 AOP 或 IPOjo。

当它们有意义时，它们会补充当前的代码，从而允许它们：

• 在给定框架（IPojo 的 OSGI 声明性服务）中运行
• 添加功能（AOP 的日志记录服务）

只要初始代码可以在没有代码注入的情况下运行，稳定性不是一个问题。

稳定性和安全性（在代码注入的这两种善意用法的情况下）应该在单独的测试代码中评估注入代码的稳定性和安全性。