摘要：1． 对返回的行无任何限定条件，即没有where 子句2． 未对数据表与任何索引主列相对应的行限定条件例如：在City-State-Zip列创建了三列复合索引，那么仅对State列限定条件不能使用这个索引，因为State不是索引的主列。3． 对索引的主列有限定条件，但是在条件表达式里使用以下表达式则会使索引失效，造成全表扫描：（1）where子句中对字段进行函数、表达式操作，这将导致引擎放弃使用索引而进行全表扫描,Demo:where upper(city)='TokYo' 或 City || 'X' like 'TOKYO%',select i 阅读全文

摘要：1.对查询进行优化，应尽量避免全表扫描，首先应考虑在 where 及 order by 涉及的列上建立索引。2.应尽量避免在 where 子句中对字段进行 null 值判断，否则将导致引擎放弃使用索引而进行全表扫描，如： select id from t where num is null 可以在num上设置默认值0，确保表中num列没有null值，然后这样查询： select id from t where num=03.应尽量避免在 where 子句中使用!=或操作符，否则将引擎放弃使用索引而进行全表扫描。4.应尽量避免在 where 子句中使用 or 来连接条件，否则将导致引擎放弃使用索 阅读全文

摘要：一. 演示XSS 当访问一个不存在的网址时，例如[url]http://localhost:8080/demo/noAction.do[/url],那么Struts处理后都会跳到提示“Invalid path /noAtcion.do was requested”的页面。 但如果我们访问的网址是[url]http://localhost:8080/demo/.do，那么按道理，提示页面就会变成“Invalid path /.do was requested”。很明显，这将会执行这脚本，最终显示的内容就会把执行的脚本代码去掉，剩下Invalid path /.do was requested。漏 阅读全文

摘要：Switch分销技术解读来源：环球旅讯|2009-03-13当Switch在海外成熟运作近40年后，该业务终于进入中国市场。但对于中国业者来说，知道Switch的人很少，了解Switch的人更少。 当Switch在海外成熟运作近40年后，该业务终于进入中国市场。但对于中国业者来说，知道Switch的人很少，了解Switch的人更少。什么是Switch？Switch有什么作用？ Switch的核心就是将行业数据标准化，让所有企业都能共享通用的数据。在标准化数据后，Switch连通买卖双方的系统，从而实现标准化数据的对流即实时交互。 通用的数据接口起源于航空公司，相关的行业如酒店业也希望把自... 阅读全文

摘要：1、JAX-WS介绍JAX-WS规范是一组XML web services的JAVA API。2、开发步骤基于JAX-WS的WebService开发步骤如下：2.1 新建一个Web Service Project工程。选择File->New->Web Service Project，取名为WebSe... 阅读全文

摘要：什么是DWR？ DWR是一个Open Source的 java项目。DWR可以让JavaScript调用运行在Web服务器里面的JAVA程序。简单一点或者专业一点就是Easy AJAX for JAVA. 官方网站：http://getahead.org/dwr ，下面将一步一步的介绍怎么完成一个简单DEMO :TestDwr。一、从官方网站下载DWR.jar包 把他直接放到apache-tomcat-7.0.27\lib目录下面二、新建Web Project工程编写一个TestDwr.Java类如下:// TestDwr.java[java] view plaincopyprint?pack 阅读全文

摘要：使用IBM的安全漏洞扫描工具扫描出一堆漏洞，下面的filter主要是解决防止SQL注入和XSS攻击一个是Filter负责将请求的request包装一下。一个是request包装器，负责过滤掉非法的字符。将这个过滤器配置上以后，世界总算清净多了。。代码如下：[java]import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; . 阅读全文

摘要：HTML中的转义字符HTML中的转义字符 HTML中，&等有特殊含义，(前两个字符用于链接签，&用于转义)，不能直接使用。使用这三个字符时，应使用它们的转义序列，如下所示：& 或 &&和< 或 > 大于号""双引号空格©©版权符&reg® 注册符 前者为字符转义序列，后者为数字转义序列。数字转为字符对应的ASCII码值。例如　& lt; font >显示为，，若直接写为则被认为是一个链接签。 需要说明的是： a. 转义序列各字符间不 阅读全文

摘要：SQL 注入简介： SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如: String sql="select * from users where username='"+userName+"' and password='"+password+&quo 阅读全文

摘要：SQL注入所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 通过一下的例子更形象的了解SQL注入： 有一个Login画面，在这个Login画面上有两个文本框分别用来输入用户名和密码，当用户点了登录按钮的时候，会对输入的用户名和密码进行验证。验证的SQL语句如下： select * from student where username='输入的用户名' and password='输入的密码' 如果能够检索到数据，说明验证通过，否则验证不通过。 如果用户在用户名文本框中输入  阅读全文

摘要：在用户名或者密码框中输入“11‘ or ’1‘ = '1”时，生成的sql语句将为“selec * from userInfo where name = '11' or '1' = '1' and pwd = '11' or '1' = '1'”；该语句永远为真。为了防止sql语句的注入，提高程序的安全性。需要替换危险字符。Java代码段：public class Checkstr {public String dostring(String str){ str=str.replaceAll 阅读全文