可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象。PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。PreparedStatement 对象所代表的 SQ ...
分类:
数据库 时间:
2017-06-05 00:33:46
阅读次数:
277
宏观上: 1.技术广度方面至少要精通多门开源技术吧,研究过struts\spring等的源码。2.项目经验方面从头到尾跟过几个大项目,头是指需求阶段,包括需求调研。尾是指上线交付之后,包括维护阶段。3.架构经验方面有过分布式系统的架构和开发经验。对于跨系统的结构优化,数据存储的性能指标等有丰富经验。 ...
分类:
编程语言 时间:
2017-06-03 16:19:06
阅读次数:
211
一:这里先说一下DI(Dependency Injection)依赖注入有种表现形式:一种是CI(Constructor Injection)构造方法注入,另一种是SI(Set Injection) set 注入。这篇随笔讲的是第一种构造方法注入(Constructor Injection). 其实 ...
分类:
编程语言 时间:
2017-06-03 12:37:11
阅读次数:
336
打开就看见 执行的sql语句:SELECT id,title FROM news WHERE id=’1’ 尝试闭合'构造语句,发现无论怎么构造都会出现\ http://115.28.150.176/sqli/index.php?id=1’ select * from news 看来需要干掉/。尝试 ...
分类:
数据库 时间:
2017-05-28 16:05:09
阅读次数:
278
简介 XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。 简单的理解,一个实体就是一个变量,可以在文档中的其他位置引用该变量。 实体主要分为四种: 内置实体 (Built-in entities) 字符实体 (Ch ...
分类:
其他好文 时间:
2017-05-24 12:52:00
阅读次数:
333
原文:Servers 作者:Steve Smith 翻译:谢炀(Kiler) 校对:许登洋(Seay)、姚阿勇(Dr.Yao) ASP.NET Core 已完全从承载应用程序的 Web 服务器环境中分离。ASP.NET Core 可以承载于 IIS 和 IIS Express ,以及使用 Kestr ...
分类:
Web程序 时间:
2017-05-23 19:38:28
阅读次数:
268
拼接sql命令查询数据 注释 常用于sql注入 # 井号 单行注释 注意:URL编码 %23 -- 两个减号加空格 单行注释 /* */ 注释一个区域 注意!在sql注入遇到单引号被转译的情况可以使用 HEX编码 绕过单引号的使用 注入测试poc 1 or 1=1 1' or '1=1 1" or ...
分类:
数据库 时间:
2017-05-21 13:46:31
阅读次数:
1456
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用安全问题安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2、SQL注入攻击(SQL injection) 3、远程命令执行(Cod ...
分类:
Web程序 时间:
2017-05-21 09:58:02
阅读次数:
285
命令注入工具Commix 命令注入(Command Injection)攻击是针对Web应用的一种攻击方式。很多Web应用会读取用户提交的数据,然后传递到系统Shell,执行特定的操作,如为用户创建单独的目录或文件、搜索特定的文件。如果对用户提交的数据缺少严格的验证,就会造成命令注入漏洞。 Kali ...
分类:
其他好文 时间:
2017-05-18 11:26:20
阅读次数:
184
今天想用一下Spring的Transaction Manager,但中间遇到一个问题,但文档上讲得不是很清楚,于是乎只得自己去扒代码来看了。 首先从配置入手,启用Spring的TransactionManagement需要在Configuration Bean上加上@EnableTransactio ...
分类:
编程语言 时间:
2017-05-17 00:53:19
阅读次数:
276
