caiqiiqi

java-sec-code学习

配合静态代码审计工具，学习一下。

git clone https://github.com/JoyChou93/java-sec-code
cd java-sec-code
# 生成jar包
mvn clean package

修改配置文件src/main/resources/application.properties:：
将数据库名，账号密码修改为mysql中有的。
参考：mysql最常用最基础的命令

# 调试模式运行
java -Xrunjdwp:transport=dt_socket,suspend=n,server=y,address=12346 -jar /home/cqq/repos/java-sec-code/target/java-sec-code-1.0.0.jar

然后在IDEA中远程调试。

创建数据库

create user 'java_sec_code'@'192.168.17.1' identified by 'java_sec_code';
create user 'java_sec_code'@'localhost' identified by 'java_sec_code';
create database java_sec_code;
grant all privileges on java_sec_code.* to java_sec_code@192.168.17.1;
grant all privileges on java_sec_code.* to java_sec_code@localhost;

alter user java_sec_code@192.168.17.1 identified with mysql_native_password by 'java_sec_code';

文件上传

有对文件内容开头做校验；

    public static boolean isImage(File file) throws IOException {
        BufferedImage bi = ImageIO.read(file);
        if (bi == null) {
            return false;
        }
        return true;
    }

有对上传文件后缀名做校验(白名单：{“.jpg”, “.png”, “.jpeg”, “.gif”, “.bmp”})；
上传的图片会通过uuid生成一个’/tmp’ + uuid + '.png’这样的文件名，然后最后删除掉

通过路径穿越修改filename参数../../../../../home/cqq/repos/java-sec-code/1.png可以将带有jsp代码的图片上传到任意目录

 如果放在tomcat目录下，可以让tomcat解析？

相应的代码在src/main/java/org/joychou/controller/FileUpload.java：

杂

碰到这种(状态码是404)就是Spring没有为这个path配置对应的回调方法。

碰到这种是505，服务端错误，可能是匹配到了path对应的回调方法，但是没有传入需要的参数。

检测fastjon反序列化漏洞的，可以看pom.xml文件中的版本：

全局的CSRF配置

在java-sec-code\src\main\resources\application.properties配置文件中，

这有一行表示不用进行CSRF检测的url白名单：

joychou.security.csrf.exclude.url = /xxe/**, /fastjson/**, /xstream/**, /XmlDecoder/**

因为自己新加了一个类，并对 /XmlDecoder进行了mapping，所以要手动添加到配置文件中，然后重新编译运行。

RememberMe Cookie反序列化代码执行

Cookie中的RememberMe字段被base64编码，然后服务端将用户Cookie中的RememberMe字段进行base64解码之后执行了readObejct操作。
代码：

    /**
     * java -jar ysoserial.jar CommonsCollections5 "open -a Calculator" | base64
     * Add the result to rememberMe cookie.
     *
     * http://localhost:8080/deserialize/rememberMe/vul
     */
    @RequestMapping("/rememberMe/vul")
    public String rememberMeVul(HttpServletRequest request)
            throws IOException, ClassNotFoundException {

        Cookie cookie = getCookie(request, cookieName);

        if (null == cookie){
            return "No rememberMe cookie. Right?";
        }

        String rememberMe = cookie.getValue();
        byte[] decoded = Base64.getDecoder().decode(rememberMe);

        ByteArrayInputStream bytes = new ByteArrayInputStream(decoded);
        ObjectInputStream in = new ObjectInputStream(bytes);
        in.readObject();   //执行任意命令
        in.close();

        return "Are u ok?";
    }

这里用了CommonsCollections5 的链BadAttributeValueExpException（JDK自带），然后需要CommonsCollection依赖。
演示：

但是为什么我调试的时候，还没有跟到执行任意方法的点，就弹出了计算器？

修复方式

升级到xlsx-streamer.jar到2.1.0版本及以上。

SQL注入

参考：

http://rui0.cn/archives/823

Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句。

Statement：普通查询；
PreparedStatement：参数化查询；
CallableStatement：用于存储过程。

简单来说，使用预编译语句（PreparedStatement#setString）会对输入的字符进行转义。
调试验证一下：
在调用PreparedStatement#setString的地方下断点：

java.sql.PreparedStatement只是一个接口，具体的实现类需要调试时查看：
可以看到具体的实现类为：com.mysql.cj.jdbc.ClientPreparedStatement
然后最终在com.mysql.cj.ClientPreparedQueryBindings#setString(int parameterIndex, String x)对特殊字符如'``和"等进行了转义（加`）

查看最终转义之后的结果：

源码在：
https://repo1.maven.org/maven2/mysql/mysql-connector-java/8.0.12/mysql-connector-java-8.0.12-sources.jar

    @Override
    public void setString(int parameterIndex, String x) {
        if (x == null) {
            setNull(parameterIndex);
        } else {
            int stringLength = x.length();

            if (this.session.getServerSession().isNoBackslashEscapesSet()) {
                // Scan for any nasty chars

                boolean needsHexEscape = isEscapeNeededForString(x, stringLength);

                if (!needsHexEscape) {
                    StringBuilder quotedString = new StringBuilder(x.length() + 2);
                    quotedString.append('\'');
                    quotedString.append(x);
                    quotedString.append('\'');

                    byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(quotedString.toString())
                            : StringUtils.getBytes(quotedString.toString(), this.charEncoding);
                    setValue(parameterIndex, parameterAsBytes);

                } else {
                    byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(x) : StringUtils.getBytes(x, this.charEncoding);
                    setBytes(parameterIndex, parameterAsBytes);
                }

                return;
            }

            String parameterAsString = x;
            boolean needsQuoted = true;

            if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
                needsQuoted = false; // saves an allocation later

                StringBuilder buf = new StringBuilder((int) (x.length() * 1.1));

                buf.append('\'');

                //
                // Note: buf.append(char) is _faster_ than appending in blocks, because the block append requires a System.arraycopy().... go figure...
                //

                for (int i = 0; i < stringLength; ++i) {
                    char c = x.charAt(i);

                    switch (c) {
                        case 0: /* Must be escaped for 'mysql' */
                            buf.append('\\');
                            buf.append('0');
                            break;
                        case '\n': /* Must be escaped for logs */
                            buf.append('\\');
                            buf.append('n');
                            break;
                        case '\r':
                            buf.append('\\');
                            buf.append('r');
                            break;
                        case '\\':
                            buf.append('\\');
                            buf.append('\\');
                            break;
                        case '\'':
                            buf.append('\\');
                            buf.append('\'');
                            break;
                        case '"': /* Better safe than sorry */
                            if (this.session.getServerSession().useAnsiQuotedIdentifiers()) {
                                buf.append('\\');
                            }
                            buf.append('"');
                            break;
                        case '\032': /* This gives problems on Win32 */
                            buf.append('\\');
                            buf.append('Z');
                            break;
                        case '\u00a5':
                        case '\u20a9':
                            // escape characters interpreted as backslash by mysql
                            if (this.charsetEncoder != null) {
                                CharBuffer cbuf = CharBuffer.allocate(1);
                                ByteBuffer bbuf = ByteBuffer.allocate(1);
                                cbuf.put(c);
                                cbuf.position(0);
                                this.charsetEncoder.encode(cbuf, bbuf, true);
                                if (bbuf.get(0) == '\\') {
                                    buf.append('\\');
                                }
                            }
                            buf.append(c);
                            break;

                        default:
                            buf.append(c);
                    }
                }

                buf.append('\'');

                parameterAsString = buf.toString();
            }

            byte[] parameterAsBytes = this.isLoadDataQuery ? StringUtils.getBytes(parameterAsString)
                    : (needsQuoted ? StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charEncoding)
                            : StringUtils.getBytes(parameterAsString, this.charEncoding));

            setValue(parameterIndex, parameterAsBytes, MysqlType.VARCHAR);
        }
    }

【注意】占位符只能占位SQL语句中的普通值，决不能占位表名、列名、SQL关键字（select、insert等)。所以如果使用动态表名，字段，就只能向上面案例那样使用非预编译方法，不过这样显然很容易导致注入。

对于输入为int类型的参数userId，使用参数类型绑定：

st.setInt(1, userId);

使用单引号时报错：

Failed to convert value of type 'java.lang.String' to required type 'int'

order by注入

参考：

https://yang1k.github.io/post/sql%E6%B3%A8%E5%85%A5%E4%B9%8Border-by%E6%B3%A8%E5%85%A5/

order by是mysql中对查询数据进行排序的方法。（注意：没有查询结果的情况下无法进行order by的注入）
使用示例：

select * from 表名 order by 列名(或者数字) asc；升序(默认升序)
select * from 表名 order by 列名(或者数字) desc；降序

这里的重点是order by后接的参数可以是列名，也可以是参数。
由于id是user表的第一列的列名，那么如果想根据id来排序，有两种写法:

select * from users  order by 1;
select * from users  order by id;

盲注(可能有回显，但是不报错)：

对应后端代码：

String sql = "select * from users where username = '" + username + "'" + " order by " + sort;

使用这个payload，第一个表达式为true时，会执行sleep(2)

if(1=1,SLEEP(2),1)

或者benchmark()
原理：

BENCHMARK(count,expr)
benchmark函数会重复计算expr表达式count次，所以我们可以尽可能多的增加计算的次数来增加时间延迟

这个函数是用来计算性能的，可以通过制定某运算的计算次数，来实现延时的效果：

参考：

SQL注入有趣姿势总结
https://phyb0x.github.io/2018/12/11/sql%E6%B3%A8%E5%85%A5%E5%B0%8F%E7%BB%93/

username=cqq查询到数据，才能进行order by注入;

username=111没有查询到数据，无法进行order by注入。
也可以通过order by的参数猜测列数，比如：

http://192.168.239.2:81/?order=11 错误
http://192.168.239.2:81/?order=10 正常

则表示有10列。

load_file通过dnslog带出数据

. 从payload看出load_file的路径是windows下的UNC路径，所以mysql带外注入只能发生在windows机器上

https://www.cnblogs.com/leixiao-/p/9876313.html

基于报错

后端代码：

String sql = "select * from users where username = '" + username + "'" + " order by " + sort;
catch (SQLException e) {
            throw e;

也可以用盲注的payload

if(1=1,SLEEP(2),1)
if(1=2,SLEEP(2),1)

但是有更好的为什么不用呢？
主要使用两个操作xml的函数：

updatexml(0,concat(0x7c,user()),1)        # 接收三个参数
extractvalue(0, concat(0x7c,version()))   # 接收两个参数

如果代码中写好了catch语句，没有throw则不能根据回显的报错进行注入，而如果这样写，即将报的异常抛出：

即便不像正常代码那样回显数据：

            while(rs.next()){
                String res_name = rs.getString("username");
                String res_pwd = rs.getString("password");
                result +=  res_name + ": " + res_pwd + "\n";
            }

			return result;

也可进行报错注入：

使用`updatexml`进行基于报错的注入，

payload:

username=cqq' or updatexml(0,concat(0x7c,user()),1) or'&password=socks

完整sql语句：

mysql> insert into users(username, password) values('cqq' or updatexml(0,concat(0x7c,version()),1) or'','socks');
ERROR 1105 (HY000): XPATH syntax error: '|5.7.26-0ubuntu0.18.04.1'

UPDATEXML (XML_document, XPath_string, new_value);
第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc
第二个参数：XPath_string (Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。
第三个参数：new_value，String格式，替换查找到的符合条件的数据

这里的0x7c是|用于拼接结果，其实可以换成其他的：

对mybatis的报错注入

/sqli/mybatis/vul01?username=cqq'+or+updatexml(0,concat(0x7c,version()),1);--+

漏洞代码是：

// SQLI.java
    @RequestMapping("/mybatis/vul01")
    public List<User> mybatis_vul1(@RequestParam("username") String username) {
        return userMapper.findByUserNameVul(username);
    }

// UserMapper.java

    @Select("select * from users where username = '${username}'")
    List<User> findByUserNameVul(@Param("username") String username);

第二处，
先用单引号测试，

/sqli/mybatis/vul02?username=cqq'

后端拼接出的sql语句是这样的：

select * from users where username like '%cqq'%'

同样的payload：

/sqli/mybatis/vul02?username=cqq'+or+updatexml(0,concat(0x7c,version()),1);--+

其漏洞代码为：

// SQLI.java
    @RequestMapping("/mybatis/vul02")
    public List<User> mybatis_vul2(@RequestParam("username") String username) {
        return userMapper.findByUserNameVul2(username);
    }

// UserMapper.java
List<User> findByUserNameVul2(String username);


    <select id="findByUserNameVul2" parameterType="String" resultMap="User">
        select * from users where username like '%${_parameter}%'
    select>

#{}传过来的参数带单引号’'， ${}传过来的参数不带单引号。

而使用安全的接口为：
一个单引号和两个单引号都返回null：

对应代码为：

//SQLI.java
    @GetMapping("/mybatis/sec01")
    public User mybatis_sec1(@RequestParam("username") String username) {
        return userMapper.findByUserName(username);
    }

// UserMapper.java
    @Select("select * from users where username = #{username}")
    User findByUserName(@Param("username") String username);

使用`extractvalue()`报错注入

extractvalue()和updatexml()类似，只不过extractvalue()只需要两个参数。

EXTRACTVALUE (XML_document, XPath_string);
第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc
第二个参数：XPath_string (Xpath格式的字符串).

select extractvalue(0, concat(0x7c,version()));

对比，

updatexml使用第二个参数放注入的payload，第一、第三个参数放0占位即可；
extractvalue()使用第二个参数放注入的payload，第一个参数放0占位即可。

两个函数的本意本来都是写xpath的格式，这里故意不写xpath格式，而使用version(), user()等函数，将这个函数执行的结果通过报错显示出来。

参考：
http://www.admintony.com/SQL%E6%B3%A8%E5%85%A5-insert%E3%80%81update%E3%80%81delete%E6%B3%A8%E5%85%A5.html

updatexml和extractvalue()的用法参考官方文档：

https://dev.mysql.com/doc/refman/8.0/en/xml-functions.html

故障排除

启动时碰到：

Failed to start component [StandardEngine[Tomcat].StandardHost[localhost].TomcatEmbeddedContext[]]

在pom中添加这个解决问题：

<dependency>
   <groupId>javax.servletgroupId>
   <artifactId>javax.servlet-apiartifactId>
   <version>4.0.1version>
dependency>

参考：
https://stackoverflow.com/questions/43041695/failed-to-start-component-standardenginetomcat-standardhostlocalhost-tomcat
https://www.cnblogs.com/hyy9527/p/13559442.html

Kafka 副本 leader 是怎么选举的？？思维导图代码示例（java 架构) 用心去追梦 kafka java 架构
Kafka中的副本（Replica）Leader选举是确保数据高可用性和容错性的重要机制。当一个分区的Leader副本不可用时，Kafka需要从该分区的ISR（In-SyncReplicas）列表中选择一个新的Leader来继续处理生产者和消费者的请求。ISR列表包含所有与Leader保持同步的副本。Kafka副本Leader选举思维导图KafkaReplicaLeaderElection├──触
java基础深化与提高--容器盗格拉斯 java java基础深化 java 开发语言
泛型基本概念泛型是JDK5.0以后增加的新特性。泛型的本质就是“数据类型的参数化”，处理的数据类型不是固定的，而是可以作为参数传入。我们可以把“泛型”理解为数据类型的一个占位符(类似：形式参数)，即告诉编译器，在调用泛型时必须传入实际类型。参数化类型，白话说就是：1把类型当作是参数一样传递。2只能是引用类型。泛型的好处在不使用泛型的情况下，我们可以使用Object类型来实现任意的参数类型，但是在使
I2C协议与FPGA开发教程_VHDL/Verilog实现侯昂
本文还有配套的精品资源，点击获取简介：本压缩包文件包含了I2C协议的学习资料，特别是针对FPGA开发的实验教程。内容涵盖了I2C基础知识、通信模式、总线仲裁机制，以及用VHDL和Verilog语言实现I2C控制器的方法。教程还包括在FPGA平台配置I2C接口的详细步骤和实验指导，帮助读者深入理解I2C协议，并在FPGA上实现其控制。1.I2C协议基础介绍I2C（Inter-IntegratedCi
深入解析Vue3响应式系统：从Proxy实现到依赖收集的核心原理苹果酱0567 面试题汇总与解析课程设计 spring boot vue.js java mysql
深入解析Vue3响应式系统：从Proxy实现到依赖收集的核心原理响应式系统的基本原理作为一个热门的JavaScript框架，Vue在3.x版本中引入了基于Proxy的响应式系统。这个系统的核心思想是利用Proxy对象拦截对数据的访问和修改，从而实现数据的自动更新。当我们改变一个被代理的对象时，相关的视图会自动更新，无需手动干预。这一创新的设计让Vue3在性能和开发体验上都有了大幅度的改进。如何实现
备赛蓝桥杯之第十五届职业院校组省赛第三题：产品360度展示云端·目前学前端备赛蓝桥杯蓝桥杯职场和发展
提示：本篇文章仅仅是作者自己目前在备赛蓝桥杯中，自己学习与刷题的学习笔记，写的不好，欢迎大家批评与建议由于个别题目代码量与题目量偏大，请大家自己去蓝桥杯官网【连接高校和企业-蓝桥云课】去寻找原题，在这里只提供部分原题代码本题目为：2024年十五届省赛职业院校组真题第三题：产品360度展示题目：需要考生作答的代码段如下：/***@param{*}initialValue初始值*@param{Arra
JavaScript学习记录22 济南小草根 JavaScript javascript 学习开发语言
第十节RegExp对象1.概述正则表达式（regularexpression）是一种表达文本模式（即字符串结构）的方法，有点像字符串的模板，常常用来按照“给定模式”匹配文本。比如，正则表达式给出一个Email地址的模式，然后用它来确定一个字符串是否为Email地址。JavaScript的正则表达式体系是参照Perl5建立的。新建正则表达式有两种方法。一种是使用字面量，以斜杠表示开始和结束。varr
我在华为的安全日常 jmoych 华为安全网络大数据运维云计算架构
在华为工作了数年后，我养成了一个习惯：每次离开座位，即便是去卫生间，我也会条件反射地锁屏电脑。晚上回到家，躺在床上，脑海中偶尔会闪过一丝疑虑：办公室的门窗是否关好？虽然这种担忧可能有些多余，但它确实已经融入了我的日常生活。以上来自华为管理与数字化转型大群的华为内部人士的吐槽。从上述内部人士的吐槽中我们可以看出华为企业安全的一些端倪，这一切，都要归功于华为对于“企业安全”的严格要求。下面笔者以第一人
企业技术架构图 iteye_14949 企业架构图技术架构图
发布一企业技术架构图，供大家参考。该技术架构图是本人根据多年企业技术架构经验而制定，是企业技术的总架构图，希望对CTO们有所借鉴。简单说明：1.中间件基础运行环境是经过统一规划的以WebLogic、JBOSS为主的集群环境2.企业集成平台是以基础业务应用为基础服务于上层平台和基础业务应用的高度集成平台3.数据中心是企业公共数据的集中管理比如用户数据、企业编码，可以通过数据集成平台或服务集成平台分发
Python实现复原毫米波雷达呼吸波形的示例 go5463158465 python 算法机器学习 python 开发语言
以下是一个使用Python实现复原毫米波雷达呼吸波形的示例，该示例将涉及模型算法在重建损失和KL（Kullback-Leibler）损失之间的平衡问题。我们将使用深度学习中的变分自编码器（VAE）作为模型来进行呼吸波形的复原，因为VAE可以很好地处理重建和潜在空间分布的问题。步骤概述数据准备：生成或加载毫米波雷达的呼吸波形数据。定义VAE模型：包括编码器和解码器。定义损失函数：结合重建损失和KL损
大数据技术在数据安全治理中的应用罗思付之技术屋综合技术探讨及方案专栏大数据
摘要面对新形势下的数据安全治理挑战，顺应数据安全领域的技术发展趋势，针对大型国企在数据安全治理实际应用中突出的关键权限人员识别问题，提出了一种基于图算法的关键权限人员识别技术。该技术可以发现系统中潜在的权限影响因素，并可从多个角度衡量不同含义的权重影响力，识别结果可解释性强。针对数据安全治理中的用户与实体行为异常检测问题，提出一种基于生成对抗网络的用户与实体行为异常检测方法，实验结果表明，所提方法
fpga学习入门串口rs232回环杨龙龙yll fpga
奇偶检验位这里是省略了做好回环后可以使用上位机做回环测试，top文件写的方式就是将rx（fpga端）接受到的模块（pc端）tx发送出去，这两个端口用杜邦线连接，同理模块的rx连接fpga的tx，看上位机接收区是否是你发送的即可测试代码正确，如果不对的话可以先把上位机停止位改成1.5或者2位即可需要使用到usb转ttl的模块一个这个做仿真的话稍微麻烦tb文件里需要例化tx发送给top文件，再例化rx
解决finalshell，连接主机报错 Session.connect: java.net.SocketException: Connection reset 点动生态云 ssh 服务器桥接模式
出现问题：在清除缓存后已连接的端口有些输入命令按左右键有问题重新打开窗口提示连接主机报错Session.connect:java.net.SocketException:Connectionreset可能的原因：1.防火墙或安全组配置问题：如果远程服务器上的防火墙或安全组配置阻止了SSH连接，会出现这种情况。2.SSH服务未启用：如果远程服务器上没有启动SSH服务，就无法建立SSH连接。3.SSH
关于在学习mybatis框架中遇到的xml解析错误的bug 愿天堂没有java java学习 mybatis 学习 xml
项目场景：在写动态sql语句时，由于不小心对文字进行错误的备注操作从而导致mybatis中写sql语句1的xml文件解析错误代码重现：org.xml.sax.SAXParseException;lineNumber:136;columnNumber:10;元素类型为"mapper"的内容必须匹配"(cache-ref|cache|resultMap*|parameterMap*|sql*|inse
基于Maven的Spring/SpringMVC/Mybatis/Mybatis-plus/Apache-Shiro基础环境配置 weixin_30685029 java json 测试
记录一下，以便不时之需。pom.xml122.534.2.5.RELEASE41.8.9563.4.071.3.089101.1.7110.1.4121.7.211314151.0.18165.1.381718191.2.22021224.122324252627javax.servlet28servlet-api29${servlet-api.version}30provided31323334
对话系统(Chatbots) 原理与代码实例讲解 AI天才研究院 AI大模型企业级应用开发实战大数据AI人工智能计算科学神经计算深度学习神经网络大数据人工智能大型语言模型 AI AGI LLM Java Python 架构设计 Agent RPA
1.背景介绍1.1对话系统的发展历程对话系统，又称聊天机器人(Chatbots)，是模拟人类对话的计算机程序。从早期的基于规则的系统到如今基于深度学习的智能体，对话系统经历了漫长的发展历程。第一阶段：基于规则的系统(1960s-1990s)早期的对话系统主要基于预先定义的规则和模板。例如，ELIZA(1966)是一个模拟心理治疗师的程序，通过模式匹配和关键词识别来生成回复。这些系统只能处理有限的对
阿里注册中心 Nacos 启动报错 Unable to start web server FH-Admin springcloud 前端 java spring boot
报错内容如下org.springframework.context.ApplicationContextException:Unabletostartwebserver;nestedexceptionisorg.springframework.boot.web.server.WebServerException:UnabletostartembeddedTomcatatorg.springfram
5个冷门Adobe软件实用技巧助你效率翻倍 shelby_loo adobe
关于Edu邮箱与Adobe软件你是否还在为高昂的Adobe软件订阅费而烦恼？是否还在为破解版软件带来的不稳定和安全隐患而担忧？其实，有一个更简单、更安全的方法可以免费享用Adobe全套软件，那就是利用Edu教育邮箱。众所周知，许多高校和教育机构会为在校师生提供免费的Edu邮箱。凭借这个邮箱，你可以免费申请AdobeCreativeCloud学生版，尽情使用Photoshop、Illustrator
基于JAVA开发APISIX插件 kiranet 后端架构 gateway 中间件
网关知识介绍什么是网关网关是一种能够在不同网络或协议之间进行数据交换的设备或服务器。网关可以实现不同网络之间的互联互通，也可以实现不同协议之间的转换和适配。网关可以根据不同的功能和层次进行分类。网关可以提供多种服务，例如路由、安全、负载均衡、缓存、压缩、加密、认证、授权、过滤、转码等。南北流量、东西流量南北流量客户端和服务器之间的流量被称为南北流量。东西流量不同服务器之间的流量与数据中心或不同数据
如何使用深度学习中的 Transformer 算法进行视频目标检测 go5463158465 python 算法深度学习 python 开发语言
以下将介绍如何使用深度学习中的Transformer算法进行视频目标检测，并给出一个复现相关论文思路及示例代码。这里以DETR（End-to-EndObjectDetectionwithTransformers）为基础进行说明，它是将Transformer引入目标检测领域的经典论文。步骤概述环境准备：安装必要的库，如PyTorch、torchvision等。数据准备：使用公开的视频目标检测数据集，
TypeScript 学习 -类型 - 10 草明 TypeScript typescript 学习前端
编写声明文件编写ts的声明文件源文件是ts文件,可以自动生成生命文件tsconfig.json:{"compilerOptions":{"target":"es2016","module":"commonjs","declaration":true,"outDir":"./dist","declarationDir":"./dist/types","esModuleInterop":true,"f
TypeScript 学习 - 创建一个项目草明 TypeScript typescript 学习 javascript
创建一个项目实际使用中,使用yarncreatereact-app比npxcreate-react-app更顺利一些.使用yarncreatereact-appts-react-app--templatetypescript创建一个TypeScript项目使用yarncreatereact-appts-react-app创建一个JavaScript项目如果不使用脚手架创建,可以安装依赖,以及编写入
[疯狂Java]正则表达式：捕获组、反向引用、捕获组命名 Lirx_Tech 疯狂Java笔记疯狂Java 正则表达式捕获组反向引用捕获组命名
1.捕获组及其编号：1)捕获组之前讲过，就是匹配到的内容，按照()子表达式划分成若干组；2)例如正则表达式：(ab)(cd(ef))就有三个捕获组，没出现一对()就是一个捕获组3)捕获组编号规则：i.引擎会对捕获组进行编号，编号规则是左括号(从左到右出现的顺序，从1开始编号；ii.例如：2.反向引用：1)捕获组的作用就是为了可以在正则表达式内部或者外部（Java方法）引用它；2)如何引用？当然是通
大模型问答机器人的智能化程度 AI大模型应用之禅 AI大模型与大数据 java python javascript kotlin golang 架构人工智能
大模型、问答机器人、智能化程度、自然语言处理、深度学习、Transformer模型、知识图谱、推理能力、对话系统1.背景介绍近年来，人工智能技术取得了飞速发展，特别是深度学习的兴起，为自然语言处理（NLP）领域带来了革命性的变革。其中，大模型问答机器人作为一种新型的智能交互系统，凭借其强大的语言理解和生成能力，在客服、教育、娱乐等领域展现出广阔的应用前景。问答机器人是指能够理解用户自然语言问题并给
AI学习指南Ollama篇-Ollama的多模态应用探索俞兆鹏 AI学习指南 ai
AI学习指南应用篇-Ollama的多模态应用探索一、引言（一）背景介绍随着大语言模型（LLM）的发展，多模态应用（结合文本、图像、语音等）成为新的趋势。多模态模型能够处理多种类型的数据，如文本、图像和语音，从而提供更丰富、更智能的交互体验。Ollama作为本地部署工具，支持多模态模型的运行，为开发者提供了强大的功能。（二）文章目标本文将探讨Ollama在多模态应用中的可能性，并通过实际案例展示如何
Payment Kit（华为支付服务）概述李洋-蛟龙腾飞公司 HarmonyOS
PaymentKit（华为支付服务）提供了方便、安全和快捷的支付方式，开发者在开发的商户应用/元服务中接入华为支付服务便捷且快速。商户应用/元服务接入PaymentKit后，可在商户的应用/元服务内通过拉起华为支付收银台来完成订单的支付并展示支付结果以及完成用户对实体商品或服务（例如酒店服务、出行服务、充值缴费服务等）的购买。一、场景介绍商城购物用户在商户的应用/元服务选购完不同的商品后，可以直接
【笔记】从华为云看4P理论的卓越践行者通信_楠木笔记华为云系统架构用户运营产品运营产品经理
在当今竞争激烈的云计算市场中，华为云犹如一颗明星取得了令人瞩目的成绩。其成功的背后，离不开对4P营销理论——产品（Product）、价格（Price）、渠道（Place）、促销（Promotion）的巧妙运用与深度融合。这一经典的营销理论框架，在华为云的市场战略布局中被赋予了新的活力与内涵，下面就结合最近的学习总结，让我们深入探究华为云是如何运用4P营销理论书写其辉煌篇章的。学习是一种愉悦，一种收
【学习笔记总结】华为云：应用上云后的安全规划及设计通信_楠木学习笔记华为云架构云计算安全架构
一、背景和问题数字化时代，随着信息技术的飞速发展，企业和各类组织纷纷将自身的应用程序迁移至云端。云计算凭借其诸多优势，如成本效益、可扩展性、灵活性以及便捷的资源共享等，已然成为了现代业务运营的重要支撑。今年，我所在企业也将IT系统全面迁移上XX云，究其原因是为了在激烈的市场竞争中保持敏捷性和创新性，需要快速部署新的应用并实现高效的数据处理，云平台提供的丰富资源和便捷的服务模式使其能够迅速满足这些需
Python-作业统计管理系统 Vicky__3021 Python实例 python 编程语言
目录一、设计目的二、需求分析三、总体设计1.系统流程设计2.系统模块设计四、详细设计1.模块选择2.界面设计3.模块实现五、总结六、感想七、Python源码mainexcelhandlejob一、设计目的1、教学目的本课程设计是学生学习完《Python程序设计》课程后，进行的一次全面的综合训练，通过课程设计，更好地掌握使用Python语言进行程序设计的方法，加深对Python语言特点和使用Pyth
【Numpy核心编程攻略：Python数据处理、分析详解与科学计算】1.24 随机宇宙：生成现实世界数据的艺术精通代码大仙 numpy python numpy python 开发语言
1.24随机宇宙：生成现实世界数据的艺术目录随机宇宙：生成现实世界数据的艺术引言复杂联合分布的采样技巧随机游走的蒙特卡洛实现基于物理规律的生成模型随机数在加密中的应用总结参考文献引言复杂联合分布的采样技巧随机游走的蒙特卡洛实现基于物理规律的生成模型随机数在加密中的应用总结参考文献随机数生成分布采样物理模拟密码学应用多元正态分布随机过程布朗运动流体动力学安全随机数随机性检验1.24.1引言在数据科学
数据结构----线性结构----多维数组和广义表 XUPT 数据结构与算法链表数据结构算法 java
学习时间2021-01-20学习内容多维数组和广义表可以看作线性表的扩展，即他们的数据元素构成线性表，而数据元素本身又是一个线性结构。多维数组多维数组是一维数组的扩展，也就是数组的数组，例如二维数组可以看作是一维数组作为数据元素构成的一维数组，三维数组可以看作二维数组作为元素构成的一维数组。数组一旦被定义，他的维数和维界就不再改变。因此，除了数组的初始化和销毁之外，数组的操作只有获得特定位置的元素
深入浅出Java Annotation(元注解和自定义注解） Josh_Persistence Java Annotation 元注解自定义注解
一、基本概述　　 Annontation是Java5开始引入的新特征。中文名称一般叫注解。它提供了一种安全的类似注释的机制，用来将任何的信息或元数据（metadata）与程序元素（类、方法、成员变量等）进行关联。　　更通俗的意思是为程序的元素（类、方法、成员变量）加上更直观更明了的说明，这些说明信息是与程序的业务逻辑无关，并且是供指定的工具或
mysql优化特定类型的查询 annan211 java 工作 mysql
本节所介绍的查询优化的技巧都是和特定版本相关的，所以对于未来mysql的版本未必适用。 1 优化count查询对于count这个函数的网上的大部分资料都是错误的或者是理解的都是一知半解的。在做优化之前我们先来看看真正的count()函数的作用到底是什么。 count()是一个特殊的函数，有两种非常不同的作用，他可以统计某个列值的数量，也可以统计行数。在统
MAC下安装多版本JDK和切换几种方式棋子chessman jdk
环境： MAC AIR,OS X 10.10,64位历史：过去 Mac 上的 Java 都是由 Apple 自己提供，只支持到 Java 6，并且OS X 10.7 开始系统并不自带（而是可选安装）（原自带的是1.6）。后来 Apple 加入 OpenJDK 继续支持 Java 6，而 Java 7 将由 Oracle 负责提供。在终端中输入jav
javaScript （1） Array_06 JavaScript java 浏览器
JavaScript 1、运算符　　运算符就是完成操作的一系列符号，它有七类：　　赋值运算符（=,+=,-=,*=,/=,%=,<<=,>>=,|=,&=）、算术运算符(+,-,*,/,++,--,%)、比较运算符(>,<,<=,>=,==,===,!=,!==)、逻辑运算符(||,&&,!)、条件运算(?:)、位
国内顶级代码分享网站袁潇含 java jdk oracle .net PHP
现在国内很多开源网站感觉都是为了利益而做的当然利益是肯定的,否则谁也不会免费的去做网站 &
Elasticsearch、MongoDB和Hadoop比较随意而生 mongodb hadoop 搜索引擎
IT界在过去几年中出现了一个有趣的现象。很多新的技术出现并立即拥抱了“大数据”。稍微老一点的技术也会将大数据添进自己的特性，避免落大部队太远，我们看到了不同技术之间的边际的模糊化。假如你有诸如Elasticsearch或者Solr这样的搜索引擎，它们存储着JSON文档，MongoDB存着JSON文档，或者一堆JSON文档存放在一个Hadoop集群的HDFS中。你可以使用这三种配
mac os 系统科研软件总结张亚雄 mac os
1.1 Microsoft Office for Mac 2011 大客户版，自行搜索。 1.2 Latex （MacTex）: 系统环境：https://tug.org/mactex/ &nb
Maven实战（四）生命周期 AdyZhang maven
1. 三套生命周期 Maven拥有三套相互独立的生命周期，它们分别为clean，default和site。每个生命周期包含一些阶段，这些阶段是有顺序的，并且后面的阶段依赖于前面的阶段，用户和Maven最直接的交互方式就是调用这些生命周期阶段。以clean生命周期为例，它包含的阶段有pre-clean, clean 和 post
Linux下Jenkins迁移 aijuans Jenkins
1. 将Jenkins程序目录copy过去源程序在/export/data/tomcatRoot/ofctest-jenkins.jd.com下面 tar -cvzf jenkins.tar.gz ofctest-jenkins.jd.com &
request.getInputStream()只能获取一次的问题 ayaoxinchao request Inputstream
问题：在使用HTTP协议实现应用间接口通信时，服务端读取客户端请求过来的数据，会用到request.getInputStream()，第一次读取的时候可以读取到数据，但是接下来的读取操作都读取不到数据原因： 1. 一个InputStream对象在被读取完成后，将无法被再次读取，始终返回-1； 2. InputStream并没有实现reset方法（可以重
数据库SQL优化大总结之百万级数据库优化方案 BigBird2012 SQL优化
网上关于SQL优化的教程很多，但是比较杂乱。近日有空整理了一下，写出来跟大家分享一下，其中有错误和不足的地方，还请大家纠正补充。这篇文章我花费了大量的时间查找资料、修改、排版，希望大家阅读之后，感觉好的话推荐给更多的人，让更多的人看到、纠正以及补充。 1.对查询进行优化，要尽量避免全表扫描，首先应考虑在 where 及 order by 涉及的列上建立索引。 2.应尽量避免在 where
jsonObject的使用 bijian1013 java json
在项目中难免会用java处理json格式的数据，因此封装了一个JSONUtil工具类。 JSONUtil.java package com.bijian.json.study; import java.util.ArrayList; import java.util.Date; import java.util.HashMap;
[Zookeeper学习笔记之六]Zookeeper源代码分析之Zookeeper.WatchRegistration bit1129 zookeeper
Zookeeper类是Zookeeper提供给用户访问Zookeeper service的主要API，它包含了如下几个内部类首先分析它的内部类，从WatchRegistration开始，为指定的znode path注册一个Watcher， /** * Register a watcher for a particular p
【Scala十三】Scala核心七：部分应用函数 bit1129 scala
何为部分应用函数？ Partially applied function: A function that’s used in an expression and that misses some of its arguments.For instance, if function f has type Int => Int => Int, then f and f(1) are p
Tomcat Error listenerStart 终极大法 ronin47 tomcat
Tomcat报的错太含糊了，什么错都没报出来，只提示了Error listenerStart。为了调试，我们要获得更详细的日志。可以在WEB-INF/classes目录下新建一个文件叫logging.properties，内容如下 Java代码 handlers = org.apache.juli.FileHandler, java.util.logging.ConsoleHa
不用加减符号实现加减法 BrokenDreams 实现
今天有群友发了一个问题，要求不用加减符号(包括负号)来实现加减法。分析一下，先看最简单的情况，假设1+1，按二进制算的话结果是10，可以看到从右往左的第一位变为0，第二位由于进位变为1。
读《研磨设计模式》-代码笔记-状态模式-State bylijinnan java 设计模式
声明：本文只为方便我个人查阅和理解，详细的分析以及源代码请移步原作者的博客http://chjavach.iteye.com/ /* 当一个对象的内在状态改变时允许改变其行为，这个对象看起来像是改变了其类状态模式主要解决的是当控制一个对象状态的条件表达式过于复杂时的情况把状态的判断逻辑转移到表示不同状态的一系列类中，可以把复杂的判断逻辑简化如果在
CUDA程序block和thread超出硬件允许值时的异常 cherishLC CUDA
调用CUDA的核函数时指定block 和 thread大小，该大小可以是dim3类型的（三维数组），只用一维时可以是usigned int型的。以下程序验证了当block或thread大小超出硬件允许值时会产生异常！！！GPU根本不会执行运算！！！所以验证结果的正确性很重要！！！在VS中创建CUDA项目会有一个模板，里面有更详细的状态验证。以下程序在K5000GPU上跑的。
诡异的超长时间GC问题定位 chenchao051 jvm cms GC hbase swap
HBase的GC策略采用PawNew+CMS, 这是大众化的配置，ParNew经常会出现停顿时间特别长的情况，有时候甚至长到令人发指的地步，例如请看如下日志： 2012-10-17T05:54:54.293+0800: 739594.224: [GC 739606.508: [ParNew: 996800K->110720K(996800K), 178.8826900 secs] 3700
maven环境快速搭建 daizj 安装 mavne 环境配置
一下载maven 安装maven之前，要先安装jdk及配置JAVA_HOME环境变量。这个安装和配置java环境不用多说。 maven下载地址：http://maven.apache.org/download.html，目前最新的是这个apache-maven-3.2.5-bin.zip，然后解压在任意位置，最好地址中不要带中文字符，这个做java 的都知道，地址中出现中文会出现很多
PHP网站安全，避免PHP网站受到攻击的方法 dcj3sjt126com PHP
对于PHP网站安全主要存在这样几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL injection)6、跨网站请求伪造攻击(Cross Site Request Forgerie
yii中给CGridView设置默认的排序根据时间倒序的方法 dcj3sjt126com GridView
public function searchWithRelated() { $criteria = new CDbCriteria; $criteria->together = true; //without th
Java集合对象和数组对象的转换 dyy_gusi java集合
在开发中，我们经常需要将集合对象（List，Set）转换为数组对象，或者将数组对象转换为集合对象。Java提供了相互转换的工具，但是我们使用的时候需要注意，不能乱用滥用。 1、数组对象转换为集合对象最暴力的方式是new一个集合对象，然后遍历数组，依次将数组中的元素放入到新的集合中，但是这样做显然过
nginx同一主机部署多个应用 geeksun nginx
近日有一需求，需要在一台主机上用nginx部署2个php应用，分别是wordpress和wiki，探索了半天，终于部署好了，下面把过程记录下来。 1. 在nginx下创建vhosts目录，用以放置vhost文件。 mkdir vhosts 2. 修改nginx.conf的配置，在http节点增加下面内容设置，用来包含vhosts里的配置文件 #
ubuntu添加admin权限的用户账号 hongtoushizi ubuntu useradd
ubuntu创建账号的方式通常用到两种：useradd 和adduser . 本人尝试了useradd方法，步骤如下： 1:useradd 使用useradd时，如果后面不加任何参数的话，如：sudo useradd sysadm 创建出来的用户将是默认的三无用户：无home directory ,无密码,无系统shell。顾应该如下操作：
第五章常用Lua开发库2-JSON库、编码转换、字符串处理 jinnianshilongnian nginx lua
JSON库在进行数据传输时JSON格式目前应用广泛，因此从Lua对象与JSON字符串之间相互转换是一个非常常见的功能；目前Lua也有几个JSON库，本人用过cjson、dkjson。其中cjson的语法严格（比如unicode \u0020\u7eaf），要求符合规范否则会解析失败（如\u002），而dkjson相对宽松，当然也可以通过修改cjson的源码来完成
Spring定时器配置的两种实现方式OpenSymphony Quartz和java Timer详解 yaerfeng1989 timer quartz 定时器
原创整理不易，转载请注明出处：Spring定时器配置的两种实现方式OpenSymphony Quartz和java Timer详解代码下载地址：http://www.zuidaima.com/share/1772648445103104.htm 有两种流行Spring定时器配置：Java的Timer类和OpenSymphony的Quartz。 1.Java Timer定时首先继承jav
Linux下df与du两个命令的差别？ pda158 linux
　一、df显示文件系统的使用情况，与du比較，就是更全盘化。　　最经常使用的就是 df -T，显示文件系统的使用情况并显示文件系统的类型。　　举比例如以下：　　[root@localhost ~]# df -T 　　Filesystem Type &n
[转]SQLite的工具类 ---- 通过反射把Cursor封装到VO对象 ctfzh VO android sqlite 反射 Cursor
在写DAO层时，觉得从Cursor里一个一个的取出字段值再装到VO(值对象)里太麻烦了，就写了一个工具类，用到了反射，可以把查询记录的值装到对应的VO里，也可以生成该VO的List。使用时需要注意：考虑到Android的性能问题，VO没有使用Setter和Getter，而是直接用public的属性。表中的字段名需要和VO的属性名一样，要是不一样就得在查询的SQL中
该学习笔记用到的Employee表 vipbooks oracle sql 工作
这是我在学习Oracle是用到的Employee表，在该笔记中用到的就是这张表，大家可以用它来学习和练习。 drop table Employee; -- 员工信息表 create table Employee( -- 员工编号 EmpNo number(3) primary key, -- 姓