r00t
r00t

Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability

发布时间:2010-07-14
测试方法:[www.sebug.net]本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
Friday, July 9, 2010
CVE-2010-1870: Struts2/XWork remote command execution
Update Tue Jul 13 2010: Added proof of concept

Apache Struts team has announced uploaded but has not released, due to an unreasonably prolonged voting process, the 2.2.0 release of the Struts2 web framework which fixes vulnerability that I've reported to them on May 31st 2010. Apache Struts team is ridiculously slow in releasing the fixed version and all of my attempts to expedite the process have failed.

Introduction
Struts2 is Struts + WebWork. WebWork in turn uses XWork to invoke actions and call appropriate setters/getters based on HTTP parameter names, which is achieved by treating each HTTP parameter name as an OGNL statement. OGNL (Object Graph Navigation Language) is what turns:

user.address.city=Bishkek&user['favoriteDrink']=kumys

into

action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")

This is performed by the ParametersInterceptor, which calls ValueStack.setValue() with user-supplied HTTP parameters as arguments.
NOTE: If you are using XWork's ParametersInterceptor or operate with OGNL ValueStack in a similar way then you are vulnerable (ParametersInterceptor is on by default in struts-default.xml).

In addition to property getting/setting, OGNL supports many more features:

    * Method calling: foo()
    * Static method calling: @java.lang.System@exit(1)
    * Constructor calling: new MyClass()
    * Ability to work with context variables: #foo = new MyClass()
    * And more...

Since HTTP parameter names are OGNL statements, to prevent an attacker from calling arbitrary methods via HTTP parameters XWork has the following two variables guarding methods execution:

    * OgnlContext's property 'xwork.MethodAccessor.denyMethodExecution' (set to true by default)
    * SecurityMemberAccess private field called 'allowStaticMethodAccess' (set to false by default)

OGNL Context variables
To make it easier for developer to access various frequently needed objects XWork provides several predefined context variables:

    * #application
    * #session
    * #request
    * #parameters
    * #attr

These variables represent various server-side objects, such as session map. To prevent attackers from tampering with server-side objects XWork's ParametersInterceptor disallowed # in parameter names. About a year ago I found a way to bypass that protection(XW-641) using Java's unicode String representation: \u0023. At the time I felt like the fix that was implemented (OGNL value stack clearing) was insufficient, but had not time to investigate this further.

CVE-2010-1870
Earlier this year I finally got a chance to look at this again and found that in addition to the above mentioned context variables there were more:

    * #context - OgnlContext, the one guarding method execution based on 'xwork.MethodAccessor.denyMethodExecution' property value.
    * #_memberAccess - SecurityMemberAccess, whose 'allowStaticAccess' field prevented static method execution.
    * #root
    * #this
    * #_typeResolver
    * #_classResolver
    * #_traceEvaluations
    * #_lastEvaluation
    * #_keepLastEvaluation

You can probably see the problem already. Using XW-641 trick I was able to modify the values that were guarding Java methods execution and run arbitrary Java code:

#_memberAccess['allowStaticMethodAccess'] = true
#foo = new java .lang.Boolean("false")
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo
#rt = @java.lang.Runtime@getRuntime()
#rt.exec('mkdir /tmp/PWNED')

Actual proof of concept had to use OGNL's expression evaluation when crafting HTTP request. PoC for this bug will be published on July 12 2010. To test whether your application is vulnerable you can use the following proof of concept, which will call java.lang.Runtime.getRuntime().exit(1):


http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.den
yMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRunti
me()))=1


Fixing CVE-2010-1870
Struts2 users must upgrade to the 2.2.0, which whitelists a set of characters that excludes characters required to exploit this vulnerability.


In cases where upgrade isn't possible you can use ParameterInterceptor's "excludeParams" parameter to whitelist the characters required for your application to operate correctly(usually A-z0-9_.'"[]) alternatively you can blacklist \()@ which are the characters required to exploit this bug.

Timeline
May 31st - email to security@struts.apache.org with vulnerability report.
June 4th - no response received, contacted developers again.
June 5th - had to find an XWork developer on IRC to look at this.
June 16th - Atlassian fixes vulnerability in its products. Atlassian and Struts developers worked together in coming up with the fix.
June 20th - 1-line fix commited
June 29th - Struts 2.2.0 release voting process started and is still going...
// sebug.net [2010-07-15]

From http://sebug.net/exploit/19954/

你可能感兴趣的:(apache,.net,struts,Security,Webwork)

  • langchain4j+milvus实战 llm
    序本文主要研究一下如何使用langchain4j来对接向量数据库milvus步骤docker运行milvusdockerrun-d\--namemilvus-standalone\--security-optseccomp:unconfined\-eETCD_USE_EMBED=true\-eETCD_DATA_DIR=/var/lib/milvus/etcd\-eETCD_CONFIG_PATH
  • java 批量查询es_java操作ES的简单查询和bool查询 weixin_39831567 java批量查询es
    导入包org.elasticsearch.clienttransport5.2.2org.apache.logging.log4jlog4j-api2.7org.apache.logging.log4jlog4j-core2.7junitjunitRELEASEViewCode2.Java操作基本操作通过client客户端对象获得客户端然后通过preparIndex等方法传入index,type,
  • qt.network.ssl: QSslSocket: cannot call unresolved function 问题解决 清海风缘 Qtqt.network.ssl
    转:Qt5.4.2实现一个简单的浏览器及相关问题的解决首先,介绍一下我使用的Qt版本:QtCreator3.4.1(opensource)BasedonQt5.4.2(MSVC2013,32bit)BuiltonMay28201519:07:19运行平台为Windows。至于linux平台,以后再说吧。主要使用的是Qt中的QtWebKit和QWebView。这里Qt5做了相应的调整,可视化的QWe
  • Pytorch实现之LSRGAN,轻量化SRGAN超分辨率SAR 这张生成的图像能检测吗 优质GAN模型训练自己的数据集超分辨率重建人工智能图像处理计算机视觉深度学习pytorch机器学习
    简介简介:在SRGAN的基础上设计了一个轻量化的SRGAN模型结构,通过DSConv+CA与残差结构的设计来减少参数量,同时利用SeLU激活函数构造。与多类SRGAN改进不同的是,很少使用BN层。论文题目:LightweightSuper-ResolutionGenerativeAdversarialNetworkforSARImages(SAR图像的轻量级超分辨率生成对抗网络)期刊:Remote
  • 安全渗透测试的全面解析与实践 软件测试web安全
    引言随着网络安全威胁的日益增加,企业和组织对自身系统的安全性提出了更高的要求。安全渗透测试(PenetrationTesting,简称渗透测试)作为主动发现和修复系统安全漏洞的重要手段,已成为安全防护体系中的关键环节。本文将深入探讨安全渗透测试的概念、流程、方法、工具及最佳实践,帮助读者全面理解渗透测试的价值与应用。一、安全渗透测试概述1.什么是安全渗透测试?安全渗透测试是一种模拟黑客攻击的安全评
  • Github 2024-08-16Java开源项目日报 Top10 老孙正经胡说 github开源Github趋势分析开源项目PythonGolang
    根据GithubTrendings的统计,今日(2024-08-16统计)共有10个项目上榜。根据开发语言中项目的数量,汇总情况如下:开发语言项目数量Java项目10TypeScript项目1Ruby项目1ApacheDubbo:高性能的Java开源RPC框架创建周期:4441天开发语言:Java协议类型:ApacheLicense2.0Star数量:40303个Fork数量:26383次关注人数
  • Caddy 你的下一个web服务器 码刀攻城 后端前端服务器运维
    企业级的Web服务器非常多,Nginx、Tomcat、Apache等。今天的主角是另一个开源的Web服务器,这款服务器具备自动HTTPS功能和高度可配置性,它的名字是:CaddyCaddy是一个Go编写的Web服务器,轻量简单,类似于Nginx,Caddy提供了更加强大的功能,随着v2版本发布,Caddy已经可以作为中小型站点Web服务器的另一个选择。相较于Nginx来说使用Caddy的优势如下:
  • MobileNet 进化史: 从 V1 到 V3(V1篇) kuweicai 深度总结深度学习MobileNetv1v2v3总结
    MobileNet进化史:从V1到V3(V1篇)这部分内容总共由如下3篇文章构成。MobileNet进化史:从V1到V3(V1篇)MobileNet进化史:从V1到V3(V2篇)MobileNet进化史:从V1到V3(V3篇)MobileNet实战:基于MobileNet的人脸表情分类1.前言MobileNetV1是AndrewG.Howard(GoogleInc.)等人于2017年(其实是201
  • MobileNet 进化史: 从 V1 到 V3(V2篇) kuweicai 深度总结深度学习MobileNetv1v2v3总结
    MobileNet进化史:从V1到V3(V2篇)这部分内容总共由如下3篇文章构成。MobileNet进化史:从V1到V3(V1篇)MobileNet进化史:从V1到V3(V2篇)MobileNet进化史:从V1到V3(V3篇)MobileNet实战:基于MobileNet的人脸表情分类1.前言AndrewG.Howard等于2018年在MobileNetV1的基础上又提出了改进版本MobileNe
  • REST API详解 Mr.NickJJ RESTfulAPI
    原文地址http://blog.csdn.net/hello_hwc/article/details/44150793一REST的概念REST(RepresentationalStateTransfer)含状态传输是一种软件架构风格。要点资源由URI(统一资源定位符)的来指定。通过资源的表现形式来操作资源对资源的操作包括获取、创建、修改和删除资源,对应HTTP协议提供的GET、POST、PUT和D
  • pprof使用 xidianhuihui Go学习笔记golang
    1.简介pprof是golang自带的性能分析工具,可以查看web应用的运行状态,分析程序CPU,内存,goroutine等使用情况。golang针对不同使用场景,提供了以下两种方式开启pprof性能分析runtime/pprof:底层的pprof,可以直接通过代码调用net/http/pprof:对runtime/pprof的封装,提供http接口和页面,更方便的调用,前提是应用有提供http服
  • 使用SAXReader以XML方式解析excel tkgup 业务开发常见问题解决
    使用SAXReader方式解析excelimportorg.apache.poi.openxml4j.opc.OPCPackage;importorg.apache.poi.openxml4j.opc.PackageAccess;importorg.apache.poi.ss.usermodel.BuiltinFormats;importorg.apache.poi.ss.usermodel.Da
  • struts2遇到的问题解决:The requested resource is not available. tkgup 业务开发常见问题解决struts2
    我的原因:将namespace命名空间设为了namespace="/static"解决:将namespace改为其他普通的就行。
  • win10 账户密码忘记的解决办法 tkgup 常见问题解决方案
    一、能用pin或指纹等非密码登录administrator账户到桌面win+r,输入netplwiz命令打开。若只有一个账户,则创建一个新的帐户或者本地帐户。选择一个知道密码的user帐户——属性——组成员——管理员——应用确定后返回桌面,按提示登录新设的管理员帐户。再次win+r,netplwiz。即可对忘记密码的本地帐户进行更改密码。二、若不小心取消管理员后造成电脑无administrator
  • JAVAWeb——maven、SpringBoot、HTTP、Tomcat l_tian_tian_ mavenspringboothttp
    目录1.mavena.概述b.作用c.仓库b.坐标c.依赖管理2.SpringBoot3.HTTPa.概述b.请求协议c.响应协议d.协议解析4.Tomcata.Web服务器b.Tomcatc.SpringBoot与Tomcat关系1.mavena.概述Maven是apache旗下的一个开源项目,是一款用于管理和构建java项目的工具b.作用c.仓库用于存储资源,管理各种jar包本地仓库:自己计算
  • java poi居中_使用apache poi在合并单元格中水平居中图像 爱军习武 javapoi居中
    将图片放置在Excel表格中是一件棘手的事情,因为图片被锚定在两个单元格上。左上角的锚点单元加上delta-x和delta-y来确定图片左上角的位置。右下角锚点单元格加上delta-x和delta-y来确定大小。单元格是否合并对此过程并不重要。因此,为了水平居中,我们需要计算哪一个是左上角的锚点单元加上delta-x。幸运的是,右下角锚点单元格加上delta-x和delta-y,可以通过在设置左上
  • 基于K8S设计实现机器学习管理调度平台 richenlin 机器学习
    设计和实现一套基于Kubernetes(K8s)的机器学习管理调度平台,目标是利用K8s的容器化和调度能力,提供高效的资源管理、任务调度、可扩展性及灵活性,适应机器学习(ML)训练、推理等不同场景的需求。以下是平台设计的主要模块和实施步骤:1.系统架构概述该平台需要一个多层架构,其中K8s作为底层容器调度和资源管理平台,机器学习任务管理与调度层作为平台的核心模块。平台应具备高可用、弹性伸缩、任务监
  • kubevirt源码分析之谁分配了gpu_device(3) 生命不息折腾不止 kubernetes容器云原生
    目标当一个launcherpod被创建时,它会请求资源,如下Requests:cpu:16devices.kubevirt.io/kvm:1devices.kubevirt.io/tun:1devices.kubevirt.io/vhost-net:1ephemeral-storage:50Mhugepages-2Mi:8Gimemory:1574961152nvidia.com/GA102_GE
  • 三次握手内部实现原理 yourkin666 网络
    socket()创建一个新的套接字intsocket(intdomain,inttype,intprotocol);参数:domain:地址族,如AF_INET(IPv4),AF_INET6(IPv6)type:套接字类型,如SOCK_STREAM(TCP),SOCK_DGRAM(UDP)protocol:协议类型,通常为0(默认协议)返回值:成功返回套接字描述符,失败返回-1Linux操作系统流
  • 2025机械考研复试面试问题汇总篇(含13门科目),考研机械复试专业面试常见重点问题总结!考研机械复试专业面试准备看这一篇就够了! 一个 00 后的码农 25机械专业面试问题汇总面试考研复试面试问题面试真题机械复试25考研
    前言——25机械考研复试专业面试问题汇总机械复试超全流程攻略机械复试看这一个专栏就够用了!机械复试调剂英语自我介绍口语专业面试常见问题总结机械保研面试-CSDN博客https://blog.csdn.net/weixin_56510835/article/details/143101233本专栏包含的所有文章内容,可以看上面的
  • 深入剖析 Netty:高性能网络编程框架的奥秘 艾斯比的日常 网络
    引言在当今高并发的网络应用场景下,对网络编程的性能要求越来越高。Netty作为一个基于JavaNIO构建的高性能网络编程框架,凭借其卓越的性能表现,在众多网络应用中得到了广泛的应用。本文将深入剖析Netty性能高的原因,帮助开发者更好地理解和使用Netty。一、异步非阻塞I/O模型1.1传统阻塞I/O的困境在传统的阻塞I/O模型中,当一个线程进行I/O操作时,它会被阻塞,直到操作完成。这意味着在高
  • org.apache.maven.plugins:maven-compiler-plugin not found 问题解决 lhp1204 mavenjavaeureka
    org.apache.maven.pluginsmaven-compiler-plugin3.8.1//把版本号改为3.1就好了//改后org.apache.maven.pluginsmaven-compiler-plugin3.1//重新下载加载pom.xml文件
  • OpenELB原理及最佳实践 唐唐爱吃糖111 云原生k8sdockergo云计算
    一、OpenELB介绍网址:openelb.ioOpenELB是一个开源的云原生负载均衡器实现,可以在基于裸金属服务器、边缘以及虚拟化的Kubernetes环境中使用LoadBalancer类型的Service对外暴露服务。OpenELB项目最初由KubeSphere社区发起,目前已作为CNCF沙箱项目加入CNCF基金会,由OpenELB开源社区维护与支持。与MetalLB类似,OpenELB也拥
  • 【2025年春季】全国CTF夺旗赛-从零基础入门到竞赛,看这一篇就稳了! 白帽子凯哥 web安全学习安全CTF夺旗赛网络安全
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包目录一、CTF简介二、CTF竞赛模式三、CTF各大题型简介四、CTF学习路线4.1、初期1、html+css+js(2-3天)2、apache+php(4-5天)3、mysql(2-3天)4、python(2-3天)5、burpsuite(1-2天)4.2、中期1、SQL注入(7-8天)2、文件上传(7-8天)3、其他漏洞(14-15
  • Unity TMP_InputField 多行输入时的高度适应 2301_79311694 unity
    实现设定输入框的行类型为多行新建行。inputField.lineType=TMP_InputField.LineType.MultiLineNewline;进行输入时调整输入框高度。height=inputField.textComponent.preferredHeight+offset;if(height()){inputField.GetComponent().rectTransform.
  • Flink CDC + Oracle Demo 缘上寒山 flinkoracle
    本文用于说明Flink集成oraclecdc的方式pom.xml1.13.32.12org.apache.flinkflink-java${flink.version}provided-->org.apache.flinkflink-clients_2.11${flink.version}com.ververicaflink-connector-oracle-cdcprovided-->
  • 国产化替代 | 星环科技TDH替代IBM数仓,助力城商行构建湖仓一体平台 ibm
    城商行构建湖仓一体平台|TDH替代IBM数仓IBM的数仓NetezzaEOL是2023年,数仓Netezza生命周期结束了。数仓产品停止提供支持和更新,不再为该产品提供修复漏洞或功能改进的服务。某城市商业银行在此背景下,启动数据仓库系统升级项目,将数据仓库从IBMNetezza迁移到星环科技大数据基础平台TDH,不但成功实现了数据仓库的国产化替代,还建设了新一代的湖仓一体平台,为银行业务发展提供新
  • Flink Oceanbase Connector详解 24k小善 flink大数据java
    FlinkOceanBaseConnector是ApacheFlink提供的一个用于连接OceanBase数据库的插件。它允许Flink读取和写入OceanBase数据库中的数据,支持实时数据处理和流式数据集成。以下是对FlinkOceanBaseConnector的详细解析:1.核心功能FlinkOceanBaseConnector的核心功能包括:功能模块描述实时数据读取支持从OceanBase
  • doris: Hive 向阳1218 大数据hivehadoop数据仓库doris
    自2.1.3版本开始,ApacheDoris支持对Hive的DDL和DML操作。用户可以直接通过ApacheDoris在Hive中创建库表,并将数据写入到Hive表中。通过该功能,用户可以通过ApacheDoris对Hive进行完整的数据查询和写入操作,进一步帮助用户简化湖仓一体架构。本文介绍在ApacheDoris中支持的Hive操作,语法和使用须知。提示这是一个实验功能。提示使用前,请先设置:
  • Ubuntu telnet 正常 无法连接Redis服务器 redislinux云服务器
    在学习使用Redis时,可能会遇到无法通过Telnet连接Redis服务器的问题。本文将详细讲解如何排查和解决这一问题,分为几个步骤进行说明。流程概述步骤操作说明1检查Redis服务器是否运行确保Redis服务已启动2检查防火墙设置确保允许所用端口的连接3使用Telnet测试连接验证是否能够连接到Redis服务器4检查配置文件确认Redis配置允许了外部访问步骤详细说明步骤1:检查Redis服务器
  • ztree异步加载 3213213333332132 JavaScriptAjaxjsonWebztree
    相信新手用ztree的时候,对异步加载会有些困惑,我开始的时候也是看了API花了些时间才搞定了异步加载,在这里分享给大家。 我后台代码生成的是json格式的数据,数据大家按各自的需求生成,这里只给出前端的代码。 设置setting,这里只关注async属性的配置 var setting = { //异步加载配置
  • thirft rpc 具体调用流程 BlueSkator 中间件rpcthrift
    Thrift调用过程中,Thrift客户端和服务器之间主要用到传输层类、协议层类和处理类三个主要的核心类,这三个类的相互协作共同完成rpc的整个调用过程。在调用过程中将按照以下顺序进行协同工作:         (1)     将客户端程序调用的函数名和参数传递给协议层(TProtocol),协议
  • 异或运算推导, 交换数据 dcj3sjt126com PHP异或^
    /* * 5 0101 * 9 1010 * * 5 ^ 5 * 0101 * 0101 * ----- * 0000 * 得出第一个规律: 相同的数进行异或, 结果是0 * * 9 ^ 5 ^ 6 * 1010 * 0101 * ---- * 1111 * * 1111 * 0110 * ---- * 1001
  • 事件源对象 周华华 JavaScript
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml&q
  • MySql配置及相关命令 g21121 mysql
            MySQL安装完毕后我们需要对它进行一些设置及性能优化,主要包括字符集设置,启动设置,连接优化,表优化,分区优化等等。           一 修改MySQL密码及用户      
  • [简单]poi删除excel 2007超链接 53873039oycg Excel
          采用解析sheet.xml方式删除超链接,缺点是要打开文件2次,代码如下:      public void removeExcel2007AllHyperLink(String filePath) throws Exception { OPCPackage ocPkg = OPCPac
  • Struts2添加 open flash chart 云端月影
    准备以下开源项目: 1. Struts 2.1.6 2. Open Flash Chart 2 Version 2 Lug Wyrm Charmer (28th, July 2009) 3. jofc2,这东西不知道是没做好还是什么意思,好像和ofc2不怎么匹配,最好下源码,有什么问题直接改。 4. log4j 用eclipse新建动态网站,取名OFC2Demo,将Struts2 l
  • spring包详解 aijuans spring
    下载的spring包中文件及各种包众多,在项目中往往只有部分是我们必须的,如果不清楚什么时候需要什么包的话,看看下面就知道了。 aspectj目录下是在Spring框架下使用aspectj的源代码和测试程序文件。Aspectj是java最早的提供AOP的应用框架。 dist 目录下是Spring 的发布包,关于发布包下面会详细进行说明。 docs&nb
  • 网站推广之seo概念 antonyup_2006 算法Web应用服务器搜索引擎Google
       持续开发一年多的b2c网站终于在08年10月23日上线了。作为开发人员的我在修改bug的同时,准备了解下网站的推广分析策略。     所谓网站推广,目的在于让尽可能多的潜在用户了解并访问网站,通过网站获得有关产品和服务等信息,为最终形成购买决策提供支持。     网站推广策略有很多,seo,email,adv
  • 单例模式,sql注入,序列 百合不是茶 单例模式序列sql注入预编译
      序列在前面写过有关的博客,也有过总结,但是今天在做一个JDBC操作数据库的相关内容时 需要使用序列创建一个自增长的字段  居然不会了,所以将序列写在本篇的前面    1,序列是一个保存数据连续的增长的一种方式; 序列的创建; CREATE SEQUENCE seq_pro 2 INCREMENT BY 1 -- 每次加几个 3
  • Mockito单元测试实例 bijian1013 单元测试mockito
    Mockito单元测试实例: public class SettingServiceTest { private List<PersonDTO> personList = new ArrayList<PersonDTO>(); @InjectMocks private SettingPojoService settin
  • 精通Oracle10编程SQL(9)使用游标 bijian1013 oracle数据库plsql
    /* *使用游标 */ --显示游标 --在显式游标中使用FETCH...INTO语句 DECLARE CURSOR emp_cursor is select ename,sal from emp where deptno=1; v_ename emp.ename%TYPE; v_sal emp.sal%TYPE; begin ope
  • 【Java语言】动态代理 bit1129 java语言
      JDK接口动态代理 JDK自带的动态代理通过动态的根据接口生成字节码(实现接口的一个具体类)的方式,为接口的实现类提供代理。被代理的对象和代理对象通过InvocationHandler建立关联   package com.tom; import com.tom.model.User; import com.tom.service.IUserService;
  • Java通信之URL通信基础 白糖_ javajdkwebservice网络协议ITeye
    java对网络通信以及提供了比较全面的jdk支持,java.net包能让程序员直接在程序中实现网络通信。 在技术日新月异的现在,我们能通过很多方式实现数据通信,比如webservice、url通信、socket通信等等,今天简单介绍下URL通信。 学习准备:建议首先学习java的IO基础知识   URL是统一资源定位器的简写,URL可以访问Internet和www,可以通过url
  • 博弈Java讲义 - Java线程同步 (1) boyitech java多线程同步
      在并发编程中经常会碰到多个执行线程共享资源的问题。例如多个线程同时读写文件,共用数据库连接,全局的计数器等。如果不处理好多线程之间的同步问题很容易引起状态不一致或者其他的错误。    同步不仅可以阻止一个线程看到对象处于不一致的状态,它还可以保证进入同步方法或者块的每个线程,都看到由同一锁保护的之前所有的修改结果。处理同步的关键就是要正确的识别临界条件(cri
  • java-给定字符串,删除开始和结尾处的空格,并将中间的多个连续的空格合并成一个。 bylijinnan java
    public class DeleteExtraSpace { /** * 题目:给定字符串,删除开始和结尾处的空格,并将中间的多个连续的空格合并成一个。 * 方法1.用已有的String类的trim和replaceAll方法 * 方法2.全部用正则表达式,这个我不熟 * 方法3.“重新发明轮子”,从头遍历一次 */ public static v
  • An error has occurred.See the log file错误解决! Kai_Ge MyEclipse
    今天早上打开MyEclipse时,自动关闭!弹出An error has occurred.See the log file错误提示! 很郁闷昨天启动和关闭还好着!!!打开几次依然报此错误,确定不是眼花了! 打开日志文件!找到当日错误文件内容: --------------------------------------------------------------------------
  • [矿业与工业]修建一个空间矿床开采站要多少钱? comsci
           地球上的钛金属矿藏已经接近枯竭...........        我们在冥王星的一颗卫星上面发现一些具有开采价值的矿床.....        那么,现在要编制一个预算,提交给财政部门..
  • 解析Google Map Routes dai_lm google api
    为了获得从A点到B点的路劲,经常会使用Google提供的API,例如 [url] http://maps.googleapis.com/maps/api/directions/json?origin=40.7144,-74.0060&destination=47.6063,-122.3204&sensor=false [/url] 从返回的结果上,大致可以了解应该怎么走,但
  • SQL还有多少“理所应当”? datamachine sql
    转贴存档,原帖地址:http://blog.chinaunix.net/uid-29242841-id-3968998.html、http://blog.chinaunix.net/uid-29242841-id-3971046.html! ------------------------------------华丽的分割线--------------------------------
  • Yii使用Ajax验证时,如何设置某些字段不需要验证 dcj3sjt126com Ajaxyii
    经常像你注册页面,你可能非常希望只需要Ajax去验证用户名和Email,而不需要使用Ajax再去验证密码,默认如果你使用Yii 内置的ajax验证Form,例如: $form=$this->beginWidget('CActiveForm', array(        'id'=>'usuario-form',&
  • 使用git同步网站代码 dcj3sjt126com crontabgit
    转自:http://ued.ctrip.com/blog/?p=3646?tn=gongxinjun.com   管理一网站,最开始使用的虚拟空间,采用提供商支持的ftp上传网站文件,后换用vps,vps可以自己搭建ftp的,但是懒得搞,直接使用scp传输文件到服务器,现在需要更新文件到服务器,使用scp真的很烦。发现本人就职的公司,采用的git+rsync的方式来管理、同步代码,遂
  • sql基本操作 蕃薯耀 sqlsql基本操作sql常用操作
    sql基本操作 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 2015年6月1日 17:30:33 星期一     &
  • Spring4+Hibernate4+Atomikos3.3多数据源事务管理 hanqunfeng Hibernate4
    Spring3+后不再对JTOM提供支持,所以可以改用Atomikos管理多数据源事务。Spring2.5+Hibernate3+JTOM参考:http://hanqunfeng.iteye.com/blog/1554251Atomikos官网网站:http://www.atomikos.com/   一.pom.xml <dependency> <
  • jquery中两个值得注意的方法one()和trigger()方法 jackyrong trigger
      在jquery中,有两个值得注意但容易忽视的方法,分别是one()方法和trigger()方法,这是从国内作者<<jquery权威指南》一书中看到不错的介绍 1) one方法     one方法的功能是让所选定的元素绑定一个仅触发一次的处理函数,格式为    one(type,${data},fn) &nb
  • 拿工资不仅仅是让你写代码的 lampcy 工作面试咨询
    这是我对团队每个新进员工说的第一件事情。这句话的意思是,我并不关心你是如何快速完成任务的,哪怕代码很差,只要它像救生艇通气门一样管用就行。这句话也是我最喜欢的座右铭之一。 这个说法其实很合理:我们的工作是思考客户提出的问题,然后制定解决方案。思考第一,代码第二,公司请我们的最终目的不是写代码,而是想出解决方案。 话粗理不粗。 付你薪水不是让你来思考的,也不是让你来写代码的,你的目的是交付产品
  • 架构师之对象操作----------对象的效率复制和判断是否全为空 nannan408 架构师
    1.前言。   如题。 2.代码。 (1)对象的复制,比spring的beanCopier在大并发下效率要高,利用net.sf.cglib.beans.BeanCopier Src src=new Src(); BeanCopier beanCopier = BeanCopier.create(Src.class, Des.class, false);
  • ajax 被缓存的解决方案 Rainbow702 JavaScriptjqueryAjaxcache缓存
    使用jquery的ajax来发送请求进行局部刷新画面,各位可能都做过。 今天碰到一个奇怪的现象,就是,同一个ajax请求,在chrome中,不论发送多少次,都可以发送至服务器端,而不会被缓存。但是,换成在IE下的时候,发现,同一个ajax请求,会发生被缓存的情况,只有第一次才会被发送至服务器端,之后的不会再被发送。郁闷。 解决方法如下: ① 直接使用 JQuery提供的 “cache”参数,
  • 修改date.toLocaleString()的警告 tntxia String
      我们在写程序的时候,经常要查看时间,所以我们经常会用到date.toLocaleString(),但是date.toLocaleString()是一个过时 的API,代替的方法如下:   package com.tntxia.htmlmaker.util; import java.text.SimpleDateFormat; import java.util.
  • 项目完成后的小总结 xiaomiya js总结项目
    项目完成了,突然想做个总结但是有点无从下手了。 做之前对于客户端给的接口很模式。然而定义好了格式要求就如此的愉快了。 先说说项目主要实现的功能吧 1,按键精灵 2,获取行情数据 3,各种input输入条件判断 4,发送数据(有json格式和string格式) 5,获取预警条件列表和预警结果列表, 6,排序, 7,预警结果分页获取 8,导出文件(excel,text等) 9,修
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他