摘要:
1.Action/Service/DAO简介:Action是管理业务(Service)调度和管理跳转的。Service是管理具体的功能的。Action只负责管理,而Service负责实施。DAO只完成增删改查,虽然可以1-n,n-n,1-1关联,模糊、动态、子查询都可以。但是无论多么复杂的查询,d... 阅读全文
摘要:
EL 表达式 : 对象的访问1、语法结构${expression} 主要在jsp页面减少脚本片段,便捷访问各种对象。 2、[]与.运算符EL提供“.“和“[]“两种运算符来存取数据。 尽量用[],都通吃!当要存取的属性名称中包含一些特殊字符,如.或?等并非字母或数字的符号,就一定要使用... 阅读全文
摘要:
HTTP_CLIENT_IP:可通过http头伪造HTTP_X_FORWARDED_FOR:可通过http头伪造REMOTE_ADDR:可能是用户真实IP也可能是代理IP服务端获取IP地址http://www.taoyiz.com/util/ip其代码如下:$s_onlineip=getenv(‘H... 阅读全文
摘要:
ThinkSNS防御绕过思路(unionselect真正的无限制sql注射)publicfunctionbulkDoFollow(){//安全过滤$res=$this->_follow_model->bulkDoFollow($this->mid,t($_POST['fids']));$this->... 阅读全文
摘要:
标准参考无。问题描述一般情况下,onbeforeunload 事件处理函数内会写入一些提示性语句,当用户的浏览器跳转到其他页面时,用来提醒用户当前页面将要跳转,请用户决定是否观看新页面。或者在 onbeforeunload 事件内处理一些业务逻辑,在浏览器跳转到新页面之前 ,执行一些业务逻辑,如保存... 阅读全文
摘要:
0x00 相关背景介绍Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。由于点击劫持的出现,便出现了反frame嵌套... 阅读全文
摘要:
正则表达式可以:•测试字符串的某个模式。例如,可以对一个输入字符串进行测试,看在该字符串是否存在一个电话号码模式或一个信用卡号码模式。这称为数据有效性验证•替换文本。可以在文档中使用一个正则表达式来标识特定文字,然后可以全部将其删除,或者替换为别的文字•根据模式匹配从字符串中提取一个子字符串。可以用... 阅读全文
摘要:
在编写Java程序时,有时候我们需要调用其他的诸如exe,shell这样的程序或脚本。在Java中提供了两种方法来启动其他程序:(1)使用Runtime的exec()方法(2)使用ProcessBuilder的start()方法Runtime和ProcessBulider提供了不同的方式来启动程序,... 阅读全文