@shyangs 这个 bug 是 garydgregory 写的, 它是 log4j2 的最大贡献者, 而他在 log4j 中只有 24 个 commit; 如果是本人那 logback 说不定也有同样的问题, 那我可恭喜 javaer 了.

@powerman 我只能解释为作者能力有限, 看他的测试用例, 其实是想通过 jndi 查询 "logging/context-name" 之类的东西, 但他不知道 jndi 的威力. 这也是我为什么说不用这个作者的其它框架的原因, 君子不立危墙之下

@ohwind 看我 53 楼贴的代码, 作者使用了一个高风险的 api, 却只做了最简单的单元测试. 而这段代码的参数是 log4j2 最核心的功能 logger.error 会调用的, 而后者的参数是不安全的字符串.
直接滑坡到 "完美无暇" 和 "二极管思维" 的你才是

@xuanbg 可以直接用 Objects.equals, 这个函数可以代替 StringUtils.equals

@littlewing 滑坡谬误, 看 64 楼

作者想去访问 "java:comp/env/" 中的环境变量比如 "logging/context-name", 但是实际调用的 JNDI 相当于 Java 中的 eval

@ohwind I try to follow a rule with libraries: if a library causes more trouble than the implementation effort it would take to recreate its functionality from scratch (or rather, the portion of its funcitonality that is used in practice), then it's time to purge that library from projects and never use it again.
The part of log4j functionality that gets used in practice, most of the time, is just a wrapper around printf which adds a timestamp and a log-level. This is very quick and easy to write. A library in this role should have zero RCEs, ever in its entire lifetime, or it is unfit for purpose.

这不是我一个人的 idea

@pkoukk 像大家一起不用 Struts 一样不用它

@Crystal8899 https://github.com/apache/logging-log4j2/blob/b93cdf94167691cf509c15f69f3857abaaa80765/log4j-core/src/main/java/org/apache/logging/log4j/core/lookup/Interpolator.java
https://github.com/apache/logging-log4j2/blob/b93cdf94167691cf509c15f69f3857abaaa80765/log4j-core/src/main/java/org/apache/logging/log4j/core/lookup/JndiLookup.java
https://github.com/apache/logging-log4j2/blob/b93cdf94167691cf509c15f69f3857abaaa80765/log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiLookupTest.java

完全没有 jndi 注入的意识.

太离谱了, 这是一个日志框架不该出现的 bug. 也许正确的应对方法不是升级或是改什么配置, 而是不要使用 log4j2 和这个作者开发的其他框架.

@bk201 因为家长眼里恋爱不是结婚的充分或必要条件

语法层面还好
第一个方法, member 也许是 memberId, 第一个方法里的 name 在第二个方法里成了 positionName, 嵌套的 if 应该该改成 &&, else if 应该合并, 多个分支执行相同的代码也应该合并.
第二个方法, if 的嵌套太多了.

设计层面
dao 层查询结果是 Map
changePartyPositions 应该拆成两个函数, 一个方法不允许 null, 另一个方法只有一个 member, 同样不允许 null.
不要返回 boolean, 而是应该抛异常

另外, updateTime 是 string 类型, 而且是参数, 最坏的可能是从前端拿到的, 而且要保存到数据库, 否则有理由怀疑 changePositions 在循环体中, 同样也很糟糕

虽然不希望和他当同事, 不过这已经算 ok 的代码了, 至少看到代码我知道他想干什么.

antiwork

LaTeXAsTeX

当你怀疑自己是不是适合当程序员时, 你就已经不适合了

在你的例子中是等效的;
作为方法签名的话, 有一个微妙区别, 第一个方法可以写出以下代码, 而第二个不行;
// 假如 box 有一个 void set(E e);的方法
box.set(box.get());

语义上, 第一个是方法的泛型参数(类型作为类型), 而第二个是通配符泛型类型(只是类型)

9 楼说得对

可以实现一个乞丐版的日志, 勉强能在编译前给出编译错误和警告, 虽然没有模块和私有函数不过可以用名称代替, 勉强可以把 create 语句放在 GIT 或 SVN 上, 可以打断点调试, 还能手动执行.

马马虎虎凑合吧, 能有这个想法的人说明没维护过老代码, 体验一下也不失为宝贵经验.

标准协议当然是好东西. 写一个新语言只需要实现这个协议就能接入到各 IDE 或编辑器中. 而且以微软的水平, 接口设计肯定比图中好. 像 LSP 的 error 是一个对象. 这在和编译器集成时很有用, 因为异常通常是会携带元信息的.