安全新司机

[20][03][79] Server-Side Request Forgery

文章目录

1. 问题描述
2. 问题场景
- 2.1 函数详解
- - 2.1.1 URL
  - 2.1.2 URLConnection
  - 2.1.3 HttpURLConnection
- 2.2 可能存在漏洞的点
- - 2.2.1 HttpURLConnection
  - 2.2.2 URLConnection
  - - 2.2.2.1 使用 file 协议
    - 2.2.2.2 使用 netdoc 协议
    - 2.2.2.3 使用 jar 协议
    - 2.2.2.4 jar+http
  - 2.2.3 ImageIO
  - 2.2.4 HttpClients
  - 2.2.5 OkHttpClient

1. 问题描述

SSRF（Server-Side Request Forgery）: 服务端请求伪造, 是一个利用服务端探测内网服务资源的漏洞，用一个最简单的例子来理解这个漏洞：比如一个添加图文的功能，填入标题内容和封面图然后提交在网站前台显示，对于这个功能的图片它除了可以让你上传以外，还支持填入远程图片地址，如果你填入了远程的图片地址，则该网站会加载远程图过来进行显示，而如果程序写法不严谨或者过滤不严格，则加载图片地址的这个功能可能就可以包含进行一些恶意的脚本文件，或者你输入内网的 ip 或者一些系统的文件都会被解析执行

而一般我们是无法请求到系统上的文件的，内网的 ip 我们也是无法访问的，有了 SSRF 后，我们提交的加载连接是有服务器进行加载解析，实际上相当于我们以存在 SSRF 这个服务器为跳板进行的一些加载操作，我们在附一张图加深理解

我们知道了 SSRF 的原理后，自然就能想到其危害点有哪些

加载外部的恶意木马文件执行
加载内部的敏感文件程序自身的敏感文件
来访问内网进行内网端口的扫描、获取内网设备信息、枚举内网服务等

2. 问题场景

SSRF一般在一些请求url资源的时候会遇到，如?url=https://ip:prot/xxx.jpg请求别的站点的静态资源之类的

在 java中（高版本jdk）仅支持如下协议

file
ftp
mailto
http
https
jar
netdoc

2.1 函数详解

2.1.1 URL

// 构造方法, 生成一个 URL 对象
new URL(String url)

// 返回一个 URLConnection 实例, 表示与 URL 引用的远程对象的 URL
// 每次当调用此 URL 的协议处理程序的 URLStreamHandler.openConnection(URL) 方法时, 都会创建一个新的 URLConnection 实例
public URLConnection openConnection() throws IOException

应该注意的是，URLConnection 实例不会在创建时建立实际的网络连接, 这只会在调用 URLConnection.connect() 时发生

2.1.2 URLConnection

// 构造与指定 URL 的 URL 连接
protected  URLConnection(URL url)

2.1.3 HttpURLConnection

与URLConnection的区别

URLConnection 支持HTTP/邮件/文件传输协议
HttpURLConnection 只支持 HTTP 协议, 通过 http 协议去做一些探测内网ip存活/端口探测/打redis（有回显）

2.2 可能存在漏洞的点

HttpURLConnection.getInputStream
URLConnection.getInputStream
Request.Get.execute
Request.Post.execute
URL.openStream
ImageIO.read
OkHttpClient.newCall.execute
HttpClients.execute

2.2.1 HttpURLConnection

这个类只能用http协议

@GetMapping("httpUrlConnection")
public ResponseVO httpUrlConnection(@RequestParam("url") String url) {
    try {
        // 创建一个连接
        URLConnection urlConnection = new URL(url).openConnection();
        // 强转为 HttpURLConnection
        HttpURLConnection httpURLConnection = (HttpURLConnection) urlConnection;
        // 获取url中的资源
        BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(httpURLConnection.getInputStream(), StandardCharsets.UTF_8));

        StringBuilder stringBuilder = new StringBuilder();
        String data;
        while ((data = bufferedReader.readLine()) != null) {
            stringBuilder.append(data);
        }
        return ResponseVO.success(stringBuilder.toString());
    } catch (IOException e) {
        log.error(ERROR_MSG, url, e);
        return ResponseVO.fail(ResponseCodeEnum.FAIL, ERROR_RESPONSE_MSG);
    }
}

请求地址

GET hhtp://127.0.0.1:8080/ssrf/httpUrlConnection?url=http://ssrf.xxxx.ceye.io

2.2.2 URLConnection

@GetMapping("urlConnection")
public ResponseVO urlConnection(@RequestParam("url") String url, HttpServletResponse response) {
    URLConnection urlConnection = null;
    try {
        urlConnection = new URL(url).openConnection();
    } catch (IOException e) {
        log.error(ERROR_MSG, url, e);
        return ResponseVO.fail(ResponseCodeEnum.FAIL, ERROR_RESPONSE_MSG);
    }

    try (BufferedReader bufferedReader = new BufferedReader(
            new InputStreamReader(urlConnection.getInputStream(), StandardCharsets.UTF_8))) {

        StringBuilder stringBuilder = new StringBuilder();
        String data;
        while ((data = bufferedReader.readLine()) != null) {
            stringBuilder.append(data);
        }
        return ResponseVO.success(stringBuilder.toString());
    } catch (IOException e) {
        log.error(ERROR_MSG, url, e);
        return ResponseVO.fail(ResponseCodeEnum.FAIL, ERROR_RESPONSE_MSG);
    }
}

2.2.2.1 使用 file 协议

GET http://127.0.0.1:8080/ssrf/urlConnection?url=file:///D:\code\idea_workspace\toalibaba\security-study\fortify\src\main\resources\mapper\UserMapper.xml

2.2.2.2 使用 netdoc 协议

GET http://127.0.0.1:8080/ssrf/urlConnection?url=netdoc:///D:\code\idea_workspace\toalibaba\security-study\fortify\src\main\resources\mapper\UserMapper.xml

2.2.2.3 使用 jar 协议

jar 协议语法，jar:{url}!/{entry}，url是文件的路径，entry是想要解压出来的文件
当然这里url不仅仅是http协议，也可以是file协议或者netdoc

jar协议处理文件过程

下载 jar/zip 文件到临时文件中
提取出我们指定的文件
删除临时文件

2.2.2.4 jar+http

http://127.0.0.1:8080/ssrf/urlConnection?url=jar:http://127.0.0.1:4444/sql.txt.zip!/sql.txt

2.2.3 ImageIO

2.2.4 HttpClients

2.2.5 OkHttpClient

你可能感兴趣的:(信息安全,Fortify,信息安全,SSRF,服务端请求伪造)

【一文读懂】HTTP与Websocket协议 Bl_a_ck 通讯协议 http websocket 网络协议
HTTP协议概述HTTP(HypertextTransferProtocol)，即超文本传输协议，是一种用于在客户端和服务器之间传输超文本（例如网页、图片、音频、视频等）的通信协议。它是万维网（WWW）的基础，负责在浏览器（客户端）和web服务器之间交换信息。HTTP是一个应用层协议，位于OSI模型的第七层，通常通过TCP（传输控制协议）进行通信。HTTP是无状态的、面向请求/响应的协议，意思是每
基于滑动窗口的限流去重策略概念及简单实现 Jerry._ 爪哇开发 java 开发语言
概念：滑动窗口去重的目标是在一定时间范围内，避免处理重复请求，常用于去除重复的API调用、订单请求、发送消息等。实现原理：请求哈希存储：通过唯一标识（如用户ID、请求参数、消息ID）生成哈希值，存入缓存（如Redis、GuavaCache）。时间窗口：设置一个固定的时间窗口（如5秒），在窗口期内如果相同请求再次到来，则认为是重复请求。滑动检查：随着窗口的滑动，每次检查当前时间范围内是否存在相同的请
Python 爬虫实战：在东方财富网抓取股票行情数据，辅助投资决策西攻城狮北 python 爬虫实战案例东方财富网
目录一、引言二、准备工作1.环境搭建2.获取目标网址三、分析网页结构1.查看HTML结构2.分析请求方式四、编写爬虫代码1.导入必要的库2.设置请求头3.获取股票行情数据4.保存数据到CSV文件5.主函数五、数据分析与可视化1.加载数据2.数据清洗3.数据分析4.数据可视化六、总结一、引言在金融投资领域，股票行情数据是投资者做出决策的重要依据。东方财富网作为国内领先的金融信息平台，提供了丰富的股票
使用 Nginx 搭建代理服务器（正向代理 HTTPS 网站）指南 web13688565871 nginx https 运维
在网络应用中，代理服务器是用于中转用户请求和服务端响应的工具。正向代理主要用于客户端与外部服务器之间的访问代理，帮助客户端隐藏其IP地址或访问受限资源。本文将详细介绍如何使用Nginx搭建正向代理服务器，特别是针对HTTPS网站的代理。一、正向代理与反向代理的区别1.1正向代理正向代理位于客户端和服务器之间，代表客户端向服务器发起请求。其主要功能是隐藏客户端信息，代理客户端进行网络访问，尤其是访问
Python爬虫——网站基本信息 IT·小灰灰 python 爬虫开发语言网络
在智能时代，数据是新的石油。Python爬虫技术赋予了我们成为数据猎人的能力，让我们能够在网络的广袤土地上狩猎，为机器学习和人工智能的发展提供燃料目录一、介绍——Python二、介绍——Python爬虫1.请求库2.解析库3.数据存储4.多线程/多进程5.异步编程6.代理和反爬虫7.爬虫框架8.爬虫的法律和道德问题9.异常处理10.日志记录三、爬虫示例代码一、介绍——PythonPython是一种
标准应用 | 2025年网络安全服务成本度量实施参考安全大哥 Web渗透测试应用安全 web安全网络安全
01网络安全服务成本度量依据相关新变化为了解决我国网络安全服务产业发展中面临的服务供需两方对于服务成本组成认知偏差较大、网络安全服务成本度量缺乏依据的问题，中国网络安全产业联盟（CCIA）组织北京赛西科技发展有限责任公司、北京安信天行科技有限公司等21家相关单位共同研究制定了GB/T42461-2023《信息安全技术网络安全服务成本度量指南》（以下简称“标准”）。该标准以原劳动和社会保障部发布的《
Forrester发布2024年五大网络安全新威胁岛屿旅人网络安全 web安全网络安全网络安全
文章目录前言一、大选年的叙事（舆论）操控攻击二、深度伪造引发身份安全危机三、生成式人工智能数据泄露四、人工智能软件供应链攻击五、太空成为安全战略高点数据泄露平均成本高达218万美元前言人工智能正重塑网络安全格局，武器化大语言模型正成为首选攻击工具，安全团队在应对武器化人工智能攻击方面将面临日益严峻的挑战。Forrester近日发布《2024年网络安全威胁预测报告》指出，人工智能正重塑网络安全格局，
redis 使用 m0_74825634 面试学习路线阿里巴巴 redis 数据库缓存
文章目录补充说明语法选项参数实例连接服务端添加数据查询数据删除数据补充说明yum安装的redis.conf在/etc/redis/redis.conf语法redis-cli(选项)(参数)选项-a输入密码-n选择数据库若无此参数默认选中0数据库参数set添加数据keys用于查询此参数后可输入正则查询|keys"*"del删除数据实例连接服务端无密码链接:redis-cli有密码链接:redis-c
WEB漏洞-XXE&XML之利用检测绕过网小白白 xml java php web 网络安全
XXE"xmlexternalentityinjection"-XML外部实体注入漏洞服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入xml基本语法XML被设计用来结构化、存储以及传输信息;恰恰相反,HTML是被设计用来显示数据，其焦点是数据的外观。XML没有预定义的标签。它仅仅是纯文本而已。有能力处理纯文本的软件都可以处理XML。XML不会做任何事情
网游服务端分层架构酒与花生米架构
在网络游戏服务端的分层架构中，每一层都负责不同的任务和功能。下面是每一层及其常见模块的详细说明，1.客户端层（ClientLayer）模块：玩家界面：显示游戏界面、信息。输入处理：玩家的输入（如控制角色、点击按钮）处理。数据展示：展示从服务器获取的数据，如游戏状态、人物信息。与其他层的交互：向网络层发送请求，获取游戏数据。接收服务器返回的游戏状态，并在客户端进行展示。2.网络层（NetworkLa
SYN-TFO伪造攻击.c 金猪报喜-阿尔法 c语言安全网络
/*--------------------------------------------------*\SYN-TFO伪造攻击作者:alpha编译方法：gcc-osyntfosyntfo.c-pthread\*--------------------------------------------------*/#include#include#include#include#include#
中科院空天院的面试题总结-Java web18285997089 面试学习路线阿里巴巴 java 开发语言
JAVA1.谈谈ajax的异步请求，与同步请求的区别答：同步是指：发送方发出数据后，等接收方发回响应以后才发下一个数据包的通讯方式。异步是指：发送方发出数据后，不等接收方发回响应，接着发送下个数据包的通讯方式。自己说了一堆，面试官直接这两句回我，简洁明了，这就是功力，惭愧2.数据库中有成绩字段，给出查询排名前10的语句答：select*from(select*from表orderby成绩desc)
常见API架构介绍九边架构
一、API架构介绍1.介绍两个服务间进行接口调用，通过调用API的形式进行交互，这是常见CS架构实现的模式，客户端通过调用API即可使用服务端提供的服务。相较于SPI这种模式，就是服务端只规定服务接口，但具体实现交由第三方或者自身来实现，API这种模式是具体的实现和API接口都是服务端来实现的。API使用协议或规范来定义那些通过网络传输的消息的语义和信息。这些规范构成了API的体系机构。API架构
Python - WSGI 和 ASGI 服务器小菠萝测试笔记网络网关 java python http
WSGIwiki上的解释WebServerGatewayInterfaceWeb服务器网关接口是为Python定义的Web服务器和Web应用程序或框架之间的一种简单而通用的接口WSGI的问题随着移动网络的发展，Web技术也在升级，比如WebSocket、HTTP/2，HTTP/3WSGI应用是一个单调用、同步接口，即输入一个请求，返回一个响应；这个模式无法支持长连接或者WebSocket这样的连接
rustdesk远程桌面使用 m0_74823388 面试学习路线阿里巴巴 java
文章目录简介1.客户端rustdesk使用2.基于S6-overlay的镜像服务端部署3.声明简介为什么使用rustdesk，因为向日葵，todesk，免费版本的有各种各样的坑，比如限制你的登录，需要你重新登录使用，画面模糊，限制你的流量网速等等，还不如自搭rustdesk，安全高且速度只取决于服务端的网速和线下设备的网速。1.客户端rustdesk使用1.下载客户端rustdesk下载地址2.配
RPC与Restful 篡篡 Linux杂记 restful http
什么是RPCRPC，即远程过程调用协议，是一种通过网络从远程计算机程序上请求服务，而不需要了解底层网络技术的协议。既然REST，何需RPC？Restful主要用于各个组件之间的通信，或者说用于对外提供调用接口；RPC则用于同一组件中各个不同模块之间的通信。区别所属类别不同REST，是RepresentationalStateTransfer的简写，中文描述表述性状态传递（是指某个瞬间状态的资源数据
【Bluedroid】BLE连接过程详解 byte轻骑兵解读 Android Android BLE C++
在BLE通信中，广播（Advertising）和扫描（Scanning）是设备发现和建立连接的基本过程。根据蓝牙SPEC，当一个设备（称为Advertiser）在广播模式下发送广播包时，它遵循一定的时序和规则，以便其他设备（称为Observer或Scanner）可以检测到它，并在适当的时机发送连接请求。BluedroidBLE（低功耗蓝牙）的链接过程主要涉及扫描、连接和通信三个基本步骤。一、基本步
C# 面试问题高级：056 - 什么是中间件？ caifox菜狐狸 C#面试问题高级 c#面试中间件开发语言设计模式职场和发展
中间件是指处理HTTP请求和响应的一部分组件，它们构成了一个处理请求的管道（Pipeline）。每个中间件在请求通过它时执行一些操作，并且可以选择将请求传递到下一个中间件或终止管道。1.中间件的基本概念中间件（Middleware）是软件架构中的一个重要组成部分，它位于操作系统和应用软件之间，为应用程序提供运行与开发环境的支持。在C#开发中，特别是在ASP.NETCore框架下，中间件是一种特殊的
第1章大型互联网公司的基础架构——1.5 服务发现卷心菜不卷Iris 读书笔记服务发现服务注册注册中心微服务互联网大厂大厂基础架构
讲到这里，我们已经对一个客户端请求进入业务HTTP服务的过程有了较为详细的了解。业务HTTP服务在处理请求的过程中免不了与其他下游服务通信——可能会调用其他业务服务，可能需要访问数据库，可能会向消息中间件投递消息等，所以业务HTTP服务必须知道下游服务部署的可用地址。这就是本节要介绍的服务发现问题。这里不是特指HTTP服务，在当前流行的微服务架构下，任何服务都涉及与其他服务通信的问题。要求每个服务
ES 命令行查询不像程序员的程序媛 elasticsearch 大数据搜索引擎
一般我们都是用可视化界面或者类似kibbana工具可以自动编辑es查询条件。如果用linux命令来查询，其实就是转换成http请求，用curl来请求#查询所有索引名称curl-XGET"http://es集群ip地址:9200/_cat/indices?v"#查询某个索引下文档curl-XPOST"http://es集群ip地址:9200/索引名/_search"-H'Content-Type:a
网络原理之HTTP协议，及理解Cookie和Session的区别 qq_41603622 网络 http cookie session https
文章目录一、HTTP原理简介二、HTTP内容简介1.认识URL2.HTTP协议格式3.HTTP的方法4.HTTP的状态码通过Fiddler抓包工具分析请求和响应的格式5.HTTP常见Header6.Cookie和Session的简单介绍三、补充1.HttpVSHttps提示：以下是本篇文章正文内容一、HTTP原理简介 HTTP协议(超文本传输协议HyperTextTransferProtocol
vue和Django快速创建项目 CCSBRIDGE 了解Vue vue.js 前端 javascript
一、VUE1.创建Vue3+JavaScript项目npmcreatevite@latest项目名称----templatevue创建Vue3+TypeScript项目npmcreatevite@latest项目名称----templatevue-ts2.然后cd项目名称npminstallnpminstallaxios#发送API请求npminstallpinia#Vue3推荐的状态管理库npm
Golang使用redis实现分布式锁(redigo框架) DDDerek~ golang redis 分布式
本文思路来自Wx公众号：小徐生先生的变成世界，原文地址分布式锁个人理解分布式锁是分布式服务器的单机锁，对于单机锁是保证服务器在同一时间只能有一个线程能访问该方法。但是对于分布式服务器来说，可能存在多台服务器接收用户请求，这样请求在不同服务器的数据就没办法通过单机锁来阻塞。所以才需要通过额外的组件，实现多服务器之间的管理。选型Redis的原因Redis高效且具备高可用性，当提供分布式锁服务的基础组件
大学信息安全技术期末考试复习题网络安全Max 网络
一、单选题（一）1、在以下人为的恶意攻击行为中，属于主动攻击的是（）AA．数据篡改及破坏B．数据窃听C．数据流分析D．非法访问2、数据完整性指的是（）CA．保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B．提供连接实体身份的鉴别C．防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致D．确保数据数据是由合法实体发出的3、CA指的是：（）AA．证书授权B．加密
Java（Springboot）奶龙牛牛 java spring boot 开发语言
get请求在Controller中--->从仓库里取出要用的mysql----->对于get请求（httpsession,model容器）----->从httpsession取出userid再赋值给userid----->用userid在mysql获取用户的信息------>然后用户的信息在保存在model容器里---->return到html地址里面put请求得到请求体的参数--->从https
理解WebGPU 中的 GPUAdapter ：连接浏览器与 GPU 的桥梁 ttod_qzstudio WebGPU WebGPU
在WebGPU开发中，GPUAdapter是一个至关重要的对象，它作为浏览器与GPU之间的桥梁，为开发者提供了请求GPU设备、查询GPU特性以及获取适配器信息的能力。本文将详细介绍GPUAdapter的核心属性和方法，并通过实际代码示例展示如何使用它来初始化WebGPU环境。什么是GPUAdapter？GPUAdapter是WebGPUAPI中的一个接口，表示浏览器选择的物理GPU的抽象。它提供了
每天一篇逻辑漏洞不灭锦鲤学习
前言：水一篇文章，今天也没有去挖洞内容：学了那么多了，还没有长进，是不是我的学习方法有问题但是到底哪里有问题呢，我又不知道，我好像好久没有总结了，应该写一篇日记，然后总结的一篇文章，然后把日记的内容丢里面，感觉就挺好了，就不用去找文章了好了就这样，进入正题好了，今天学会伪造了jsonp的xss，就是说是json格式的话，不是jsonp格式，可以尝试在url后面加上callback，看是否有返回值
软考高级《系统架构设计师》知识点（三） Ritchie里其系统架构
数据库系统数据库系统概念数据库系统DBS的组成：数据库、硬件、软件、人员。数据库管理系统DBMS的功能：数据定义、数据库操作、数据库运行管理、数据的存储管理、数据库的建立和维护等。DBMS的分类：关系数据库系统RDBS、面向对象的数据库系统OODBS、对象关系数据库系统ORDBS。数据库系统的体系结构：集中式数据库系统(所有东西集中在DBMS电脑上)、客户端/服务器体系结构(客户端负责请求和数据表
Debian1 KubernetesV1.32 NFS搭建十八点四零 k8s nfs 动态供给
1、NFS1.1服务端#服务端安装aptinstall-ynfs-kernel-server#写入共享存储目录cat>>/etc/exports<
设计模式Python版命令模式（下）小王子1024 设计模式Python版设计模式 python 命令模式
文章目录前言一、命令队列的实现二、撤销操作的实现三、请求日志四、宏命令前言GOF设计模式分三大类：创建型模式：关注对象的创建过程，包括单例模式、简单工厂模式、工厂方法模式、抽象工厂模式、原型模式和建造者模式。结构型模式：关注类和对象之间的组合，包括适配器模式、桥接模式、组合模式、装饰模式、外观模式、享元模式和代理模式。行为型模式：关注对象之间的交互，包括职责链模式、命令模式、解释器模式、迭代器模式
iOS http封装 374016526 ios 服务器交互 http 网络请求
程序开发避免不了与服务器的交互，这里打包了一个自己写的http交互库。希望可以帮到大家。内置一个basehttp，当我们创建自己的service可以继承实现。 KuroAppBaseHttp *baseHttp = [[KuroAppBaseHttp alloc] init]; [baseHttp setDelegate:self]; [baseHttp
lolcat ：一个在 Linux 终端中输出彩虹特效的命令行工具 brotherlamp linux linux教程 linux视频 linux自学 linux资料
那些相信 Linux 命令行是单调无聊且没有任何乐趣的人们，你们错了，这里有一些有关 Linux 的文章，它们展示着 Linux 是如何的有趣和“淘气” 。在本文中，我将讨论一个名为“lolcat”的小工具 – 它可以在终端中生成彩虹般的颜色。何为 lolcat ? Lolcat 是一个针对 Linux，BSD 和 OSX 平台的工具，它类似于 cat 命令，并为 cat
MongoDB索引管理（1）——[九] eksliang mongodb MongoDB管理索引
转载请出自出处：http://eksliang.iteye.com/blog/2178427 一、概述数据库的索引与书籍的索引类似，有了索引就不需要翻转整本书。数据库的索引跟这个原理一样，首先在索引中找，在索引中找到条目以后，就可以直接跳转到目标文档的位置，从而使查询速度提高几个数据量级。不使用索引的查询称
Informatica参数及变量 18289753290 Informatica 参数变量
下面是本人通俗的理解，如有不对之处，希望指正 info参数的设置：在info中用到的参数都在server的专门的配置文件中（最好以parma）结尾下面的GLOBAl就是全局的，$开头的是系统级变量，$$开头的变量是自定义变量。如果是在session中或者mapping中用到的变量就是局部变量，那就把global换成对应的session或者mapping名字。 [GLOBAL] $Par
python 解析unicode字符串为utf8编码字符串酷的飞上天空 unicode
php返回的json字符串如果包含中文，则会被转换成\uxx格式的unicode编码字符串返回。在浏览器中能正常识别这种编码，但是后台程序却不能识别，直接输出显示的是\uxx的字符，并未进行转码。转换方式如下 >>> import json >>> q = '{"text":"\u4
Hibernate的总结永夜-极光 Hibernate
1.hibernate的作用,简化对数据库的编码,使开发人员不必再与复杂的sql语句打交道做项目大部分都需要用JAVA来链接数据库，比如你要做一个会员注册的页面，那么获取到用户填写的基本信后，你要把这些基本信息存入数据库对应的表中，不用hibernate还有mybatis之类的框架，都不用的话就得用JDBC，也就是JAVA自己的，用这个东西你要写很多的代码，比如保存注册信
SyntaxError: Non-UTF-8 code starting with '\xc4' 随便小屋 python
刚开始看一下Python语言，传说听强大的，但我感觉还是没Java强吧！写Hello World的时候就遇到一个问题，在Eclipse中写的，代码如下 ''' Created on 2014年10月27日 @author: Logic ''' print("Hello World!"); 运行结果 SyntaxError: Non-UTF-8
学会敬酒礼仪不做酒席菜鸟 aijuans 菜鸟
俗话说，酒是越喝越厚，但在酒桌上也有很多学问讲究，以下总结了一些酒桌上的你不得不注意的小细节。细节一：领导相互喝完才轮到自己敬酒。敬酒一定要站起来，双手举杯。细节二：可以多人敬一人，决不可一人敬多人，除非你是领导。细节三：自己敬别人，如果不碰杯，自己喝多少可视乎情况而定，比如对方酒量，对方喝酒态度，切不可比对方喝得少，要知道是自己敬人。细节四：自己敬别人，如果碰杯，一
《创新者的基因》读书笔记 aoyouzi 读书笔记《创新者的基因》
创新者的基因创新者的“基因”，即最具创意的企业家具备的五种“发现技能”：联想，观察，实验，发问，建立人脉。第一部分破坏性创新，从你开始第一章破坏性创新者的基因如何获得启示：发现以下的因素起到了催化剂的作用：(1) -个挑战现状的问题；(2)对某项技术、某个公司或顾客的观察；(3) -次尝试新鲜事物的经验或实验；(4)与某人进行了一次交谈，为他点醒
表单验证技术百合不是茶 JavaScript DOM对象 String对象事件
js最主要的功能就是验证表单,下面是我对表单验证的一些理解,贴出来与大家交流交流 ,数显我们要知道表单验证需要的技术点, String对象,事件,函数一:String对象;通常是对字符串的操作; 1,String的属性; 字符串.length;表示该字符串的长度; var str= "java"
web.xml配置详解之context-param bijian1013 java servlet web.xml context-param
一.格式定义： <context-param> <param-name>contextConfigLocation</param-name> <param-value>contextConfigLocationValue></param-value> </context-param> 作用：该元
Web系统常见编码漏洞（开发工程师知晓） Bill_chen sql PHP Web fckeditor 脚本
1.头号大敌：SQL Injection 原因：程序中对用户输入检查不严格，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。本质: 对于输入检查不充分，导致SQL语句将用户提交的非法数据当作语句的一部分来执行。示例： String query = "SELECT id FROM users
【MongoDB学习笔记六】MongoDB修改器 bit1129 mongodb
本文首先介绍下MongoDB的基本的增删改查操作，然后，详细介绍MongoDB提供的修改器，以完成各种各样的文档更新操作 MongoDB的主要操作 show dbs 显示当前用户能看到哪些数据库 use foobar 将数据库切换到foobar show collections 显示当前数据库有哪些集合 db.people.update，update不带参数，可
提高职业素养，做好人生规划白糖_ 人生
培训讲师是成都著名的企业培训讲师，他在讲课中提出的一些观点很新颖，在此我收录了一些分享一下。注：讲师的观点不代表本人的观点，这些东西大家自己揣摩。 1、什么是职业规划：职业规划并不完全代表你到什么阶段要当什么官要拿多少钱，这些都只是梦想。职业规划是清楚的认识自己现在缺什么，这个阶段该学习什么，下个阶段缺什么，又应该怎么去规划学习，这样才算是规划。
国外的网站你都到哪边看？ bozch 技术网站国外
学习软件开发技术，如果没有什么英文基础，最好还是看国内的一些技术网站，例如：开源OSchina，csdn，iteye,51cto等等。个人感觉如果英语基础能力不错的话，可以浏览国外的网站来进行软件技术基础的学习，例如java开发中常用的到的网站有apache.org 里面有apache的很多Projects,springframework.org是spring相关的项目网站,还有几个感觉不错的
编程之美-光影切割问题 bylijinnan 编程之美
package a; public class DisorderCount { /**《编程之美》“光影切割问题” * 主要是两个问题： * 1.数学公式（设定没有三条以上的直线交于同一点）： * 两条直线最多一个交点，将平面分成了4个区域； * 三条直线最多三个交点，将平面分成了7个区域； * 可以推出：N条直线 M个交点，区域数为N+M+1。
关于Web跨站执行脚本概念 chenbowen00 Web 安全跨站执行脚本
跨站脚本攻击(XSS)是web应用程序中最危险和最常见的安全漏洞之一。安全研究人员发现这个漏洞在最受欢迎的网站,包括谷歌、Facebook、亚马逊、PayPal,和许多其他网站。如果你看看bug赏金计划,大多数报告的问题属于 XSS。为了防止跨站脚本攻击,浏览器也有自己的过滤器,但安全研究人员总是想方设法绕过这些过滤器。这个漏洞是通常用于执行cookie窃取、恶意软件传播,会话劫持,恶意重定向。在
[开源项目与投资]投资开源项目之前需要统计该项目已有的用户数 comsci 开源项目
现在国内和国外,特别是美国那边,突然出现很多开源项目,但是这些项目的用户有多少,有多少忠诚的粉丝,对于投资者来讲,完全是一个未知数,那么要投资开源项目,我们投资者必须准确无误的知道该项目的全部情况,包括项目发起人的情况,项目的维持时间..项目的技术水平,项目的参与者的势力,项目投入产出的效益.....
oracle alert log file（告警日志文件） daizj oracle 告警日志文件 alert log file
The alert log is a chronological log of messages and errors, and includes the following items: All internal errors (ORA-00600), block corruption errors (ORA-01578), and deadlock errors (ORA-00060)
关于 CAS SSO 文章声明 denger SSO
由于几年前写了几篇 CAS 系列的文章，之后陆续有人参照文章去实现，可都遇到了各种问题，同时经常或多或少的收到不少人的求助。现在这时特此说明几点： 1. 那些文章发表于好几年前了，CAS 已经更新几个很多版本了，由于近年已经没有做该领域方面的事情，所有文章也没有持续更新。 2. 文章只是提供思路，尽管 CAS 版本已经发生变化，但原理和流程仍然一致。最重要的是明白原理，然后
初二上学期难记单词 dcj3sjt126com english word
lesson 课 traffic 交通 matter 要紧；事物 happy 快乐的，幸福的 second 第二的 idea 主意；想法；意见 mean 意味着 important 重要的，重大的 never 从来，决不 afraid 害怕的 fifth 第五的 hometown 故乡，家乡 discuss 讨论；议论 east 东方的 agree 同意；赞成 bo
uicollectionview 纯代码布局, 添加头部视图 dcj3sjt126com Collection
#import <UIKit/UIKit.h> @interface myHeadView : UICollectionReusableView { UILabel *TitleLable; } -(void)setTextTitle; @end #import "myHeadView.h" @implementation m
N 位随机数字串的 JAVA 生成实现 FX夜归人 java Math 随机数 Random
/** * 功能描述随机数工具类<br /> * @author FengXueYeGuiRen * 创建时间 2014-7-25<br /> */ public class RandomUtil { // 随机数生成器 private static java.util.Random random = new java.util.R
Ehcache（09）——缓存Web页面 234390216 ehcache 页面缓存
页面缓存目录 1 SimplePageCachingFilter 1.1 calculateKey 1.2 可配置的初始化参数 1.2.1 cach
spring中少用的注解@primary解析 jackyrong primary
这次看下spring中少见的注解@primary注解，例子 @Component public class MetalSinger implements Singer{ @Override public String sing(String lyrics) { return "I am singing with DIO voice
Java几款性能分析工具的对比 lbwahoo java
Java几款性能分析工具的对比摘自：http://my.oschina.net/liux/blog/51800 在给客户的应用程序维护的过程中，我注意到在高负载下的一些性能问题。理论上，增加对应用程序的负载会使性能等比率的下降。然而，我认为性能下降的比率远远高于负载的增加。我也发现，性能可以通过改变应用程序的逻辑来提升，甚至达到极限。为了更详细的了解这一点，我们需要做一些性能
JVM参数配置大全 nickys jvm 应用服务器
JVM参数配置大全 /usr/local/jdk/bin/java -Dresin.home=/usr/local/resin -server -Xms1800M -Xmx1800M -Xmn300M -Xss512K -XX:PermSize=300M -XX:MaxPermSize=300M -XX:SurvivorRatio=8 -XX:MaxTenuringThreshold=5 -
搭建 CentOS 6 服务器(14) - squid、Varnish rensanning varnish
（一）squid 安装 # yum install httpd-tools -y # htpasswd -c -b /etc/squid/passwords squiduser 123456 # yum install squid -y 设置 # cp /etc/squid/squid.conf /etc/squid/squid.conf.bak # vi /etc/
Spring缓存注解@Cache使用 tom_seed spring
参考资料 http://www.ibm.com/developerworks/cn/opensource/os-cn-spring-cache/ http://swiftlet.net/archives/774 缓存注解有以下三个： @Cacheable @CacheEvict @CachePut
dom4j解析XML时出现"java.lang.noclassdeffounderror: org/jaxen/jaxenexception"错误 xp9802
java.lang.NoClassDefFoundError: org/jaxen/JaxenExc 关键字: java.lang.noclassdeffounderror: org/jaxen/jaxenexception 使用dom4j解析XML时，要快速获取某个节点的数据，使用XPath是个不错的方法，dom4j的快速手册里也建议使用这种方式执行时却抛出以下异常： Exceptio

按字母分类： A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 其他