摘要： 危害描述XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻 阅读全文

摘要： csrf攻击最理想使用签名效验，简单防御就是判断request hander 里面的referer的来源，这有一个好处就是工程量少，但是能防御绝大部分csrf攻击，但也有缺点，如果有非browser浏览将会拦截，只能排除api放行，如果太多的这样的api的话将造成冗余 阅读全文

摘要： new Data时候的时间少8小时。 let beforeDate = $q.date + " 00:00:00";let afterDate = $q.date + " 23:59:59";let before = moment(beforeDate).utc(8).format();let af 阅读全文

摘要： 子类可以继承父类的方法属性，子类用super调用父类的方法属性。由于子类无法初始化父类的参数，所有可以在子类的构造器里面用super调用父类的构造（必须第一行调用），子类的构造器会默认的调用父类的无参构造器，父类没有无参构造器将会报错。 阅读全文

摘要： redis是单线程+非阻塞io的。所以是按顺序执行命令的。如果keys数据量过大，会导致redis直接阻塞，这时候如果有大量请求过来可能直接导致服务器内存打满，造成redis雪崩，所以在线上严禁使用keys，应该要用scan代替 阅读全文

摘要： 用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定，防止 SQL 注入， 禁止字符串拼接 SQL 访问数据库。 反例：某系统签名大量被恶意修改，即是因为对于危险字符 # --没有进行转义，导致数据库更新时，where 后边的信息被注释掉，对全库进行更新。 例子：select 阅读全文

摘要： 公司项目已部署到测试服务器就不行了，一直报路径问题。我看本地windows都可以为什么linux上就不行。搞了好久，配置啊，代码啊，都被我搞了个遍，最后看到路径灵光一闪，想起了一个陈年老知识。linux路径严谨，区分大小写，windows引入文件路径没那么严谨。小错误。。。 阅读全文

摘要： 帮朋友爬取题库，试下可不可以为空，应为我们知道一般简单的查询都是前后加%分号的查，发现有做验证 这时候想到了放%，它那边如果没做验证应该就会变成 like CONCAT('%','%','%')，一试果然查出了十几万条数据，电脑加载了好一会 解决：在进入dao层之前把％bai替换为\\%，(如果是日 阅读全文