随笔分类 -  工作总结

常见的XSS缺陷代码和修复方案
摘要:1、什么都没过滤,直接输出到html <?php if (! isset($_GET['name'])) { header('Location: index.php?name=world'); exit(); } $name = $_GET['name']; echo "Hello $name"; 阅读全文
posted @ 2025-07-11 14:55 小碗吃不胖的 阅读(102) 评论(0) 推荐(0)
跨站脚本攻击(XSS)的修复指引
摘要:1、漏洞简介跨站脚本漏洞,是指业务代码接收外部参数后,没有对参数进行严格校验,导致攻击者可以插入恶意JavaScript脚本,窃取用户信息。根据触发方式又可分为下面三种子类型:a)反射型XSS漏洞:简单的把用户输入的数据“反射”给浏览器b)存储型XSS漏洞:储存型XSS会把用户输入的数据“储存”在服 阅读全文
posted @ 2025-07-11 14:38 小碗吃不胖的 阅读(856) 评论(0) 推荐(0)
COS使用不当的安全修复指引
摘要:1、风险说明使用COS(云对象存储)功能时,在上传/下载文件、临时密钥生成及预签名URL场景中,安全风险通常源于不安全的实现或配置。本文章将针对不安全的实现和配置提供安全修复建议。 2、常见的COS安全风险:a)越权操作文件(如下载、覆盖、删除)b)COS文件目录泄露c)桶接管d)跨站脚本攻击(XS 阅读全文
posted @ 2025-07-11 11:41 小碗吃不胖的 阅读(53) 评论(0) 推荐(0)
跳转漏洞
摘要:1、漏洞简介跳转漏洞,是指业务在处理URL跳转时,未对跳转目标做严格校验,导致攻击者可以利用跳转功能跳转到其他恶意目标站点,以此发起钓鱼攻击。 2、漏洞危害攻击者可以发钓鱼攻击,导致业务品牌受损 3、漏洞修复,具体修复措施3.1、校验 Referer 字段,限制只能在特定页面下才能执行跳转3.2、仅 阅读全文
posted @ 2025-07-11 11:14 小碗吃不胖的 阅读(81) 评论(0) 推荐(0)
安全监测出的黑产链接的排查和加固
摘要:1、任意跳转类1.1、 特征(一个或多个):● 传参为URL格式(内容可能会base64编码的结果)● 可能存在多层跳转 1.2、 加固检查项1.2.1、 如业务只需要跳转特定的域名,可通过白名单校验,强烈建议至少限制在三级域名以上(如 www.alibabagroup.com,即只允许 www.a 阅读全文
posted @ 2025-07-11 10:58 小碗吃不胖的 阅读(98) 评论(0) 推荐(0)
数据分析之漏斗分析法
摘要:在互联网公司,大部分数据分析人员都会用到的一个数据分析方法,就是漏斗分析法。 漏斗分析法是什么意思呢?就是通过记录一个场景下,不同的关键节点的用户的转化率,然后发现用户的流失环节,定位用户流失的原因,然后找到提升转化率的方式。 在实际工作中,漏斗分析法需要先搭建模型,搭建模型呢有三步。 第一步:就是 阅读全文
posted @ 2024-03-06 16:44 小碗吃不胖的 阅读(401) 评论(0) 推荐(0)
核心指标下降了如何分析?
摘要:数据分析整体思路: 1、确定数据来源是否可靠 很多时候听到核心指标下降,可能是别人(产品、运营)告诉你的。第一步先不要慌,先确实数据的来源,是从哪里看到的,数字是否可靠,因为很多人没有数据集散思维,可能断章取义,拿个数字过来 2、确定指标的计算口径是否一致 确定指标的计算口径跟自己理解的是否一致 3 阅读全文
posted @ 2024-01-25 21:19 小碗吃不胖的 阅读(188) 评论(0) 推荐(0)
如何避免成为一台取数机器?
摘要:取数是数据工作的一个基础内容,也是大多数“入门”级别数据工作人员(例如数据分析师)的基本职责,取数对于前期的数据概况和业务需求会是一个熟悉和渐进了解的过程,因此这个过程必不可少,特别是对于刚入职的新人。 但是,如果一个数据工作者长期从事取数工作(例如超过2年,这里的时间取决于企业的数据规模和复杂度) 阅读全文
posted @ 2022-03-04 15:02 小碗吃不胖的 阅读(543) 评论(1) 推荐(2)
Hive复杂数组字典(Json-Array)解析
摘要:数据存储字段格式如下(Json-Array互相嵌套): string='{"id":"9088848902695992720","title":"猛犸电动(共和新路旗舰店)","address":"上海市静安区共和新路492号","category":"购物:自行车专卖","type":0,"loc 阅读全文
posted @ 2021-11-29 16:59 小碗吃不胖的 阅读(1671) 评论(0) 推荐(0)
广告定向筛选
摘要:背景:【定向筛选】定向的地区列表全部在香港、澳门中(若有一个定向不在香港、澳门,该广告则不计算) 例如:定向地区area_cn=>日本 澳大利亚 香港 澳门,则不统计,只统计定向地区area_cn=>香港 澳门 & area_cn=>澳门 & area_cn=>香港 select ds ,sum(s 阅读全文
posted @ 2021-11-25 16:27 小碗吃不胖的 阅读(76) 评论(0) 推荐(0)
Hive数子IP与字符串IP之间的转换
摘要:字符串IP:247.164.62.58 对应的 数字IP:4154736186 数子IP=>字符串IP select concat_ws('.',conv(substr(hex(4154736186),1,2),16,10),conv(substr(hex(4154736186),3,2),16,1 阅读全文
posted @ 2021-09-17 13:13 小碗吃不胖的 阅读(343) 评论(0) 推荐(0)
Hive常用函数大全-字符串函数
摘要:1、字符串长度函数:length(X)(返回字符串X的长度) select length('qwerty') from table --6 2、字符串反转函数:reverse(X)(返回字符串X反转的结果) select reverse('qwerty') from table --ytrewq 3 阅读全文
posted @ 2021-07-21 10:57 小碗吃不胖的 阅读(1596) 评论(0) 推荐(0)
Hive常用函数大全-数值计算
摘要:1 1、取整函数:round(X)(遵循四舍五入) 2 select round(3.1415926) from table --3 3 select round(3.5) from table --4 4 5 2、指定精度取整函数: round(X,Y)(遵循四舍五入) 6 select roun 阅读全文
posted @ 2021-07-20 17:33 小碗吃不胖的 阅读(915) 评论(0) 推荐(0)
sql产生随机数
摘要:使用RAND(),结果是类似于这样的随机小数:0.615942003695649 生成0至N-1之间的随机数 SELECT FLOOR(RAND()*N) 生成的随机数是这样的:12.0 SELECT CAST(FLOOR(RAND()*N) AS INT) 生成的随机数是这样的:12 生成1至N之 阅读全文
posted @ 2021-05-18 17:39 小碗吃不胖的 阅读(1244) 评论(0) 推荐(0)
如何才能做好一张报表?
摘要:只要是做BI的,无论在哪个具体岗位,报表总相伴。假如你是取数人员,业务人员设计的取数样张,大多就是报表原型,只不过还没发布;假如你是报表开发人员,你的所有工作就是开发并发布它;假如你是专题项目人员,你所做的专题的基本组成要素就是模型+指标+报表+可视化交互;假如你是运维人员,那你务必保证公司的核心报 阅读全文
posted @ 2021-03-27 21:15 小碗吃不胖的 阅读(1145) 评论(0) 推荐(0)
常用日期格式转换
摘要:-- 时间戳转日期 -- yyyyMMdd格式: select from_unixtime(clktime/1000,'yyyyMMdd') as date_ --20210101 from table where clktime=1609470888000 --毫秒 -- yyyy-MM-dd格式 阅读全文
posted @ 2021-02-02 17:07 小碗吃不胖的 阅读(1337) 评论(0) 推荐(0)