本命年最后一周周记

据说本命年要穿红内裤，才能“趋吉避邪”，驱除霉运。但对我来说，虽然没有穿红内裤，这一年大部分时间也算过得太平。就当经历了末日，却毫发无伤的我认为今年不会有什么特别时，上帝想要为今年给我留下一点回忆。很少丢三落四的我，在公司把用了一年的MILESTONE2丢了。

这一周除了这件悲催的事情，其它还算太平。大部分时间里，我就是在默默无闻的敲着代码，修改着BUG，把自己在公司的第一个项目部署上了生产环境。

说起这个项目，还是有很多可以总结的东西：

一、安全性，从测试那边了解到一款不错的扫描漏洞的软件：Acunetix Web Vulnerability Scanner，可以针对常用的网站安全漏洞进行扫描：

1.SQL注入，这个需要对传入的参数中的单引号进行过滤。

2.XSS，这个值得关注，我们在项目中采用的方式是将<>以及双引号这三个特殊字符做替换，替换成对应的HTML编码：&lt;、&gt;、&quot;

3.Slow HTTP Denial of Service Attack，这个应用中貌似没有什么好的办法。需要在服务器上作相应的配置。

4.tomcat 6.0.35 存在漏洞，虽然不太清楚这个漏洞是否对这个项目产生影响，我还是果断地升到了6.0.36.

二、Oracle

现在我才发现对于开发人员，深入掌握Oracle还是很有必要的。尤其是在我公司开发Oracle的项目，因为公司的基本库是基于SQLServer，然后再移植到DB2与Oracle上的。这时候移植留下来的各种问题，都要开发人员慢慢去消化了。这周里遇到最明显的两个例子，就是null值的处理，以及在移植过程中出现的字段类型不一致问题。对于null值的处理，Oracle 必须要is null语句才能准确判断一个列是否为空，而在SQLServer == ‘’这样的语句对于null列也是成立的，这是很明显的差异，在我们公司的很多公用视图里，仍然保存着SQLServer的风格，导致查询结果不一致。字段类型不一致就不细说了。

除了这些语法问题之外，还有的比较明显的就是复杂语句的执行优化，Oracle与其它数据存在很多差异的地方，需要细细研究，这也是我下一阶段准备学习的地方。

2013继续努力！