论坛首页 精选版块
移动开发
iOSAndroidQtWP
云计算
IaaSPass/SaaS分布式计算/Hadoop
Java技术
Java SEJava Web 开发Java EEJava其他相关
.NET技术
.NET FrameworkC#.NET分析与设计ASP .NETVB .NET
Web开发
PHPJavaScriptASPHTML(CSS)HTML5Apache
开发语言/框架
DelphiVC/MFCVBC/C++C++ Builder其他开发语言
数据库开发
MS-SQL ServerOraclePowerBuilderInformatica其他数据库开发
硬件/嵌入式开发
嵌入开发(WinCE)驱动开发/核心开发硬件设计单片机/工控汇编语言VxWorks开发
Linux/Unix社区
系统维护与使用区应用程序开发区内核源代码研究区驱动程序开发区CPU和硬件区
 论坛牛人 排行榜 论坛地图 论坛任务 论坛帮助 我要发贴
CSDN论坛 > .NET技术 > C#

字符串拼接不能有效防止sql注入吗 [问题点数:40分,结帖人gahyyai]

一键查看最优答案

确认一键查看最优答案?
本功能为VIP专享,开通VIP获取答案速率将提升10倍哦!
取消

开通vip会员
更多帖子
私信 空间 博客
冰岛男孩
Bbs3
本版专家分:716
结帖率 100%
如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?
回复数 37 只看楼主 引用 举报 楼主
更多帖子
私信 空间 博客
本拉灯
Bbs8
本版专家分:41648
Blank
黄花 2015年4月 .NET技术大版内专家分月排行榜第二
Blank
蓝花 2015年3月 .NET技术大版内专家分月排行榜第三
2015年2月 .NET技术大版内专家分月排行榜第三
可以防止呀,过虑某些字符就成。
只看TA 引用 举报 #1    得分 25
Mysql concat函数与SQL注入      SQL注入语句有时候会使用替换查询技术,就是让原有的查询语句查不到结果出错,而让自己构造的查询语句执行,并把执行结果代替原有查询语句查询结果显示出来。      例如:原本查询语句是 select username,email,content from test_table where user_id=uid;其中uid,是用户输入的。正常显示结果会出现用户名,用户邮箱,用户留言
更多帖子
私信 空间 博客
冰岛男孩
Bbs3
本版专家分:716
引用 楼主 gahyyai 的回复:
如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?

过滤sql的关键字是不行的,如select什么的
只看TA 引用 举报 #2    得分 0
查询字符串中防止SQL注入 写SQL语句时,为了防止SQL注入, 通常做如下处理 strSearch.ToLower.Replace("--", " ").Replace(" -", " ") 转载于:https://www.cnblogs.com/wphl-27/p/9203221.html
冰岛男孩
Bbs3
本版专家分:716
顶起,不要沉了,大家怎么看呢
只看TA 引用 举报 #3    得分 0
SQL注入实例:避免后端SQL语句拼接操作 1 实例-后端逻辑 以下是基于pymysql的一个例子: import pymysql conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='mysql', db='user_table', charset='utf-8') cursor = conn.cursor() def query_key...
更多帖子
私信 空间 博客
本拉灯
Bbs8
本版专家分:41648
Blank
黄花 2015年4月 .NET技术大版内专家分月排行榜第二
Blank
蓝花 2015年3月 .NET技术大版内专家分月排行榜第三
2015年2月 .NET技术大版内专家分月排行榜第三
引用 2 楼 gahyyai 的回复:
Quote: 引用 楼主 gahyyai 的回复:

如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?

过滤sql的关键字是不行的,如select什么的

谁跟你说过虑关键字了?
过虑 单引号 过虑chr(0) 过虑 -- 注释符。即可。
只看TA 引用 举报 #4    得分 0
多条件查询拼接sql语句如何防止sql注入 假如有四个条件 可以任意输入1到4个条件取交集 求解
更多帖子
私信 空间 博客
极简吧
Bbs9
本版专家分:74840
版主
Blank
技术圈认证 博客专家完成年度认证,即可获得
Blank
签到新秀 累计签到获取,不积跬步,无以至千里,继续坚持!
Blank
微软MVP 2014年4月 荣获微软MVP称号
Blank
红花 2017年6月 移动开发大版内专家分月排行榜第一
可以使用字符串替换(正则替换)的方式防sql注入,但是最好的方式还是参数化sql或者封装到存储过程处理。
只看TA 引用 举报 #5    得分 0
更多帖子
私信 空间 博客
冰岛男孩
Bbs3
本版专家分:716
引用 4 楼 wyd1520 的回复:
Quote: 引用 2 楼 gahyyai 的回复:

Quote: 引用 楼主 gahyyai 的回复:

如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?

过滤sql的关键字是不行的,如select什么的

谁跟你说过虑关键字了?
过虑 单引号 过虑chr(0) 过虑 -- 注释符。即可。

那本身内容里就包括单引号呢,比如用户名:gahyyai',这样的带单引号的,过滤了不是登录不了了
只看TA 引用 举报 #6    得分 0
StringBuilder 拼接 对防止sql注入有帮助么? rt
更多帖子
私信 空间 博客
本拉灯
Bbs8
本版专家分:41648
Blank
黄花 2015年4月 .NET技术大版内专家分月排行榜第二
Blank
蓝花 2015年3月 .NET技术大版内专家分月排行榜第三
2015年2月 .NET技术大版内专家分月排行榜第三
引用 6 楼 gahyyai 的回复:
Quote: 引用 4 楼 wyd1520 的回复:

Quote: 引用 2 楼 gahyyai 的回复:

Quote: 引用 楼主 gahyyai 的回复:

如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?

过滤sql的关键字是不行的,如select什么的

谁跟你说过虑关键字了?
过虑 单引号 过虑chr(0) 过虑 -- 注释符。即可。

那本身内容里就包括单引号呢,比如用户名:gahyyai',这样的带单引号的,过滤了不是登录不了了

你要保留单引号就要这样Replace("'","''") 一个单引号变成两个单引号。就可以了。要SQL 里两个单引号代表一个单引号
只看TA 引用 举报 #7    得分 0
SQL Server字符串聚合拼接办法 数据范例如下: 要得到的结果目标,获取type相同的所有names拼接在一起的字符串: SqlServer并没有一个直接拼接字符串的函数,下面所提到的方法,只是日常的开发中自己个人用到的一些思路,仅供参考! declare @tempTable table([Type] int,[Name] nvarchar(100)) 创建表变量,字段为你需要返回的各列的值 ins...
更多帖子
私信 空间 博客
冰岛男孩
Bbs3
本版专家分:716
引用 4 楼 wyd1520 的回复:
Quote: 引用 2 楼 gahyyai 的回复:

Quote: 引用 楼主 gahyyai 的回复:

如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?

过滤sql的关键字是不行的,如select什么的

谁跟你说过虑关键字了?
过虑 单引号 过虑chr(0) 过虑 -- 注释符。即可。

现在改用参数化或存储过程,工作量太大了。有人说拼接时作好类型判断,然后过滤单引号即可,不知可行不?
只看TA 引用 举报 #8    得分 0
Sql注入截取字符串常用函数 在sql注入中,往往会用到截取字符串的问题,例如不回显的情况下进行的注入,也成为盲注,这种情况下往往需要一个一个字符的去猜解,过程中需要用到截取字符串。本文中主要列举三个函数和该函数注入过程中的一些用例。Ps;此处用mysql进行说明,其他类型数据库请自行检测。   三大法宝:mid(),substr(),left() mid()函数 此函数为截取字符串一部分。MID(column_nam...
更多帖子
私信 空间 博客
本拉灯
Bbs8
本版专家分:41648
Blank
黄花 2015年4月 .NET技术大版内专家分月排行榜第二
Blank
蓝花 2015年3月 .NET技术大版内专家分月排行榜第三
2015年2月 .NET技术大版内专家分月排行榜第三 


  '过滤SQL字符串

        Public Shared Function CheckStr(ByVal Str As String) As String

            Dim Tmp As String

            If Str = "" Or IsDBNull(Str) Then

                Tmp = ""

            Else

                Str = Replace(Str, Chr(0), "")

                Tmp = Replace(Str, "'", "''")

            End If

            Return Tmp

        End Function
只看TA 引用 举报 #9    得分 10
string.Format 并不能防止SQL注入攻击才对,由于死活不信邪,特意做了测试来证明一下的确存在SQL注入攻击危险 <br />private void StringFormat()<br />        {<br />            string userName = "jiri'gala";<br />            string password = "123456";<br />            string sqlQuery = string.Format("SELECT * FROM Base_User WHERE UserName='{0}' AND UserPassword='{
更多帖子
私信 空间 博客
冰岛男孩
Bbs3
本版专家分:716
引用 7 楼 wyd1520 的回复:
Quote: 引用 6 楼 gahyyai 的回复:

Quote: 引用 4 楼 wyd1520 的回复:

Quote: 引用 2 楼 gahyyai 的回复:

Quote: 引用 楼主 gahyyai 的回复:

如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?

过滤sql的关键字是不行的,如select什么的

谁跟你说过虑关键字了?
过虑 单引号 过虑chr(0) 过虑 -- 注释符。即可。

那本身内容里就包括单引号呢,比如用户名:gahyyai',这样的带单引号的,过滤了不是登录不了了

你要保留单引号就要这样Replace("'","''") 一个单引号变成两个单引号。就可以了。要SQL 里两个单引号代表一个单引号

我现在程序里也是这样的一个单引号替换成2个单引号,但我们那NB的老大(具说还是从华为出来的)说这样也不行的,必须参数化
只看TA 引用 举报 #10    得分 0
更多帖子
私信 空间 博客
本拉灯
Bbs8
本版专家分:41648
Blank
黄花 2015年4月 .NET技术大版内专家分月排行榜第二
Blank
蓝花 2015年3月 .NET技术大版内专家分月排行榜第三
2015年2月 .NET技术大版内专家分月排行榜第三
引用 10 楼 gahyyai 的回复:
Quote: 引用 7 楼 wyd1520 的回复:

Quote: 引用 6 楼 gahyyai 的回复:

Quote: 引用 4 楼 wyd1520 的回复:

Quote: 引用 2 楼 gahyyai 的回复:

Quote: 引用 楼主 gahyyai 的回复:

如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?

过滤sql的关键字是不行的,如select什么的

谁跟你说过虑关键字了?
过虑 单引号 过虑chr(0) 过虑 -- 注释符。即可。

那本身内容里就包括单引号呢,比如用户名:gahyyai',这样的带单引号的,过滤了不是登录不了了

你要保留单引号就要这样Replace("'","''") 一个单引号变成两个单引号。就可以了。要SQL 里两个单引号代表一个单引号

我现在程序里也是这样的一个单引号替换成2个单引号,但我们那NB的老大(具说还是从华为出来的)说这样也不行的,必须参数化

你老大他只了解表面,华为出来就牛B??? 要非得参数化,那前10年的ASP程序基本都没用参数化的SQL 你让他们怎么办?你老大懂注入么?知道注入的原理么。怎么注入法,我想他不知吧?知道注入是什么时候搞出来的么?
只看TA 引用 举报 #11    得分 0
sql字符串拼接 1. 概述在SQL语句中经常需要进行字符串拼接,以sqlserver,oracle,mysql三种数据库为例,因为这三种数据库具有代表性。sqlserver:select '123'+'456'; oracle:select '123'||'456' from dual; 或 select concat('123','456') from dual; mysql:select concat('12...
更多帖子
私信 空间 博客
冰岛男孩
Bbs3
本版专家分:716
引用 9 楼 wyd1520 的回复:


  '过滤SQL字符串

        Public Shared Function CheckStr(ByVal Str As String) As String

            Dim Tmp As String

            If Str = "" Or IsDBNull(Str) Then

                Tmp = ""

            Else

                Str = Replace(Str, Chr(0), "")

                Tmp = Replace(Str, "'", "''")

            End If

            Return Tmp

        End Function


你这里str的是整个拼接的sql,还是替换某个传过来的参数值呢
只看TA 引用 举报 #12    得分 0
浅谈SQL注入(拼接字符串注入) SQL注入解释:所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入原因      写SQL语句的时候会用拼接字符串的方法,所以会发生SQL注入这种问题。SQL注入后果        如果是让别人发现了你的这个注入的漏洞的话,你的整个数据库有可能直接获得管理员的权限,也就是说这个数据库又可以能掌握在别人的手里,
更多帖子
私信 空间 博客
冰岛男孩
Bbs3
本版专家分:716
引用 11 楼 wyd1520 的回复:
Quote: 引用 10 楼 gahyyai 的回复:

Quote: 引用 7 楼 wyd1520 的回复:

Quote: 引用 6 楼 gahyyai 的回复:

Quote: 引用 4 楼 wyd1520 的回复:

Quote: 引用 2 楼 gahyyai 的回复:

Quote: 引用 楼主 gahyyai 的回复:

如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?

过滤sql的关键字是不行的,如select什么的

谁跟你说过虑关键字了?
过虑 单引号 过虑chr(0) 过虑 -- 注释符。即可。

那本身内容里就包括单引号呢,比如用户名:gahyyai',这样的带单引号的,过滤了不是登录不了了

你要保留单引号就要这样Replace("'","''") 一个单引号变成两个单引号。就可以了。要SQL 里两个单引号代表一个单引号

我现在程序里也是这样的一个单引号替换成2个单引号,但我们那NB的老大(具说还是从华为出来的)说这样也不行的,必须参数化

你老大他只了解表面,华为出来就牛B??? 要非得参数化,那前10年的ASP程序基本都没用参数化的SQL 你让他们怎么办?你老大懂注入么?知道注入的原理么。怎么注入法,我想他不知吧?知道注入是什么时候搞出来的么?


这些我都和他说过,他不听,非得让改,一个查询,近20个条件,参数化,不说了
只看TA 引用 举报 #13    得分 0
这些方法防止js注入坑啊 第一种方法 string bb = "<a href=\"http://www.baidu.com\">百度</a>"; Response.Write(Server.HtmlEncode(bb));
更多帖子
私信 空间 博客
本拉灯
Bbs8
本版专家分:41648
Blank
黄花 2015年4月 .NET技术大版内专家分月排行榜第二
Blank
蓝花 2015年3月 .NET技术大版内专家分月排行榜第三
2015年2月 .NET技术大版内专家分月排行榜第三
引用 12 楼 gahyyai 的回复:
Quote: 引用 9 楼 wyd1520 的回复:



  '过滤SQL字符串

        Public Shared Function CheckStr(ByVal Str As String) As String

            Dim Tmp As String

            If Str = "" Or IsDBNull(Str) Then

                Tmp = ""

            Else

                Str = Replace(Str, Chr(0), "")

                Tmp = Replace(Str, "'", "''")

            End If

            Return Tmp

        End Function


你这里str的是整个拼接的sql,还是替换某个传过来的参数值呢


      UserName =CheckStr(Request.Form("UserName"))
       Password = CheckStr(Request.Form("Password"))
这样就可以了。只要在接收的参数过虑就成。
只看TA 引用 举报 #14    得分 0
Java防止SQL注入 Java防止SQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
更多帖子
私信 空间 博客
冰岛男孩
Bbs3
本版专家分:716
引用 14 楼 wyd1520 的回复:
Quote: 引用 12 楼 gahyyai 的回复:

Quote: 引用 9 楼 wyd1520 的回复:



  '过滤SQL字符串

        Public Shared Function CheckStr(ByVal Str As String) As String

            Dim Tmp As String

            If Str = "" Or IsDBNull(Str) Then

                Tmp = ""

            Else

                Str = Replace(Str, Chr(0), "")

                Tmp = Replace(Str, "'", "''")

            End If

            Return Tmp

        End Function


你这里str的是整个拼接的sql,还是替换某个传过来的参数值呢


      UserName =CheckStr(Request.Form("UserName"))
       Password = CheckStr(Request.Form("Password"))
这样就可以了。只要在接收的参数过虑就成。

好,我明天再和他说说,如果他还是让改那也没办法了,谁他是老大呢,今天和他说,心里老火大了
只看TA 引用 举报 #15    得分 0
更多帖子
私信 空间 博客
本拉灯
Bbs8
本版专家分:41648
Blank
黄花 2015年4月 .NET技术大版内专家分月排行榜第二
Blank
蓝花 2015年3月 .NET技术大版内专家分月排行榜第三
2015年2月 .NET技术大版内专家分月排行榜第三
引用 15 楼 gahyyai 的回复:
Quote: 引用 14 楼 wyd1520 的回复:

Quote: 引用 12 楼 gahyyai 的回复:

Quote: 引用 9 楼 wyd1520 的回复:



  '过滤SQL字符串

        Public Shared Function CheckStr(ByVal Str As String) As String

            Dim Tmp As String

            If Str = "" Or IsDBNull(Str) Then

                Tmp = ""

            Else

                Str = Replace(Str, Chr(0), "")

                Tmp = Replace(Str, "'", "''")

            End If

            Return Tmp

        End Function


你这里str的是整个拼接的sql,还是替换某个传过来的参数值呢


      UserName =CheckStr(Request.Form("UserName"))
       Password = CheckStr(Request.Form("Password"))
这样就可以了。只要在接收的参数过虑就成。

好,我明天再和他说说,如果他还是让改那也没办法了,谁他是老大呢,今天和他说,心里老火大了


http://download.csdn.net/detail/chenxh/126740
你可以看看这个,都没用参数化的,这东西是04年左右写的。还开原了,他们都注不了。现在很多人一听注入以为要过虑很多,东西,他们根本不知道原理是啥,为什么会被注入。如何防。。
当初发现注入的 2003年左右叫小猪(NB联盟成员)的人搞出来的他写了注入工具,那时注入就火了起来。
只看TA 引用 举报 #16    得分 0
拼接的SQL语句怎么防单引号注入问题 昨天改一个JSP项目,做验证的时候发现在表单中只要提交单引号就会报500,后来发现后台SQL语句全是拼接的。现在由于页面太多,不可能一个个改后台代码做preparestatement.提交的内容其它页
更多帖子
私信 空间 博客
本拉灯
Bbs8
本版专家分:41648
Blank
黄花 2015年4月 .NET技术大版内专家分月排行榜第二
Blank
蓝花 2015年3月 .NET技术大版内专家分月排行榜第三
2015年2月 .NET技术大版内专家分月排行榜第三
过虑分两种,
数据库字段是字符形的就用上面的那个函数,
字段是数值形的你直接判断是否转换成数值能成功就通过int.TryPerset(Request("ID")),不成功就说明可能注入就可以了


 '***************
   '传数字值
   '*************
Public Function GetNum(Index)
Temp = Request(Index)
If Not IsEmpty(Temp) And IsNumeric(Temp) Then
GetNum = Clng(Temp)
ElseIf InStr(Temp,"'")>0 Then
GetNum = "IsErr"
    Else
    GetNum = 0
End If
End Function
只看TA 引用 举报 #17    得分 0
这个SQL语句是否可以被注入? 事情是这样的,刚刚我在公司的周例会上分享一个关于防范SQL注入的PPT演讲,我做了一些SQL语句如何注入、防范的例子,其中我讲将参数“串入”到SQL语句中的防范方法是:只需要把参数中的单引号替换成2个
更多帖子
私信 空间 博客
以专业开发人员为伍
Bbs12
本版专家分:469491
Blank
进士 2018年总版新获得的技术专家分排名前十
2017年 总版技术专家分年内排行榜第十
2013年 总版技术专家分年内排行榜第八
Blank
铜牌 2018年12月 总版技术专家分月排行榜第三
2018年11月 总版技术专家分月排行榜第三
2017年2月 总版技术专家分月排行榜第三
Blank
红花 2019年1月 .NET技术大版内专家分月排行榜第一
2018年12月 .NET技术大版内专家分月排行榜第一
2018年11月 .NET技术大版内专家分月排行榜第一
2018年10月 .NET技术大版内专家分月排行榜第一
2018年9月 .NET技术大版内专家分月排行榜第一
2018年7月 .NET技术大版内专家分月排行榜第一
2018年6月 .NET技术大版内专家分月排行榜第一
2018年1月 .NET技术大版内专家分月排行榜第一
2017年5月 .NET技术大版内专家分月排行榜第一
2017年4月 .NET技术大版内专家分月排行榜第一
2017年3月 .NET技术大版内专家分月排行榜第一
2017年2月 .NET技术大版内专家分月排行榜第一
2016年10月 .NET技术大版内专家分月排行榜第一
2016年8月 .NET技术大版内专家分月排行榜第一
2016年7月 .NET技术大版内专家分月排行榜第一
Blank
黄花 2019年4月 .NET技术大版内专家分月排行榜第二
2019年3月 .NET技术大版内专家分月排行榜第二
2018年8月 .NET技术大版内专家分月排行榜第二
2018年4月 .NET技术大版内专家分月排行榜第二
2018年3月 .NET技术大版内专家分月排行榜第二
2017年12月 .NET技术大版内专家分月排行榜第二
2017年9月 .NET技术大版内专家分月排行榜第二
2017年7月 .NET技术大版内专家分月排行榜第二
2017年6月 .NET技术大版内专家分月排行榜第二
2016年12月 .NET技术大版内专家分月排行榜第二
2016年9月 .NET技术大版内专家分月排行榜第二
2016年6月 .NET技术大版内专家分月排行榜第二
2016年3月 .NET技术大版内专家分月排行榜第二
2016年1月 .NET技术大版内专家分月排行榜第二
2015年12月 .NET技术大版内专家分月排行榜第二
2015年2月 .NET技术大版内专家分月排行榜第二
2015年1月 .NET技术大版内专家分月排行榜第二
2014年11月 .NET技术大版内专家分月排行榜第二
2014年5月 .NET技术大版内专家分月排行榜第二
2014年4月 .NET技术大版内专家分月排行榜第二
2012年2月 多媒体/设计/Flash/Silverlight 开发大版内专家分月排行榜第二
引用 13 楼 gahyyai 的回复:
你老大他只了解表面,华为出来就牛B??? 要非得参数化,那前10年的ASP程序基本都没用参数化的SQL 你让他们怎么办?你老大懂注入么?知道注入的原理么。怎么注入法,我想他不知吧?知道注入是什么时候搞出来的么?


这些我都和他说过,他不听,非得让改,一个查询,近20个条件,参数化,不说了

先把你写的贴出来,我们看看是否有逻辑问题。如果没有问题,那么再说人家的要求出现的工程问题。
只看TA 引用 举报 #18    得分 0
不再拼接SQL字符串了,因为知道了SQL注入这回事 2019独角兽企业重金招聘Python工程师标准&gt;&gt;&gt; ...
更多帖子
私信 空间 博客
以专业开发人员为伍
Bbs12
本版专家分:469491
Blank
进士 2018年总版新获得的技术专家分排名前十
2017年 总版技术专家分年内排行榜第十
2013年 总版技术专家分年内排行榜第八
Blank
铜牌 2018年12月 总版技术专家分月排行榜第三
2018年11月 总版技术专家分月排行榜第三
2017年2月 总版技术专家分月排行榜第三
Blank
红花 2019年1月 .NET技术大版内专家分月排行榜第一
2018年12月 .NET技术大版内专家分月排行榜第一
2018年11月 .NET技术大版内专家分月排行榜第一
2018年10月 .NET技术大版内专家分月排行榜第一
2018年9月 .NET技术大版内专家分月排行榜第一
2018年7月 .NET技术大版内专家分月排行榜第一
2018年6月 .NET技术大版内专家分月排行榜第一
2018年1月 .NET技术大版内专家分月排行榜第一
2017年5月 .NET技术大版内专家分月排行榜第一
2017年4月 .NET技术大版内专家分月排行榜第一
2017年3月 .NET技术大版内专家分月排行榜第一
2017年2月 .NET技术大版内专家分月排行榜第一
2016年10月 .NET技术大版内专家分月排行榜第一
2016年8月 .NET技术大版内专家分月排行榜第一
2016年7月 .NET技术大版内专家分月排行榜第一
Blank
黄花 2019年4月 .NET技术大版内专家分月排行榜第二
2019年3月 .NET技术大版内专家分月排行榜第二
2018年8月 .NET技术大版内专家分月排行榜第二
2018年4月 .NET技术大版内专家分月排行榜第二
2018年3月 .NET技术大版内专家分月排行榜第二
2017年12月 .NET技术大版内专家分月排行榜第二
2017年9月 .NET技术大版内专家分月排行榜第二
2017年7月 .NET技术大版内专家分月排行榜第二
2017年6月 .NET技术大版内专家分月排行榜第二
2016年12月 .NET技术大版内专家分月排行榜第二
2016年9月 .NET技术大版内专家分月排行榜第二
2016年6月 .NET技术大版内专家分月排行榜第二
2016年3月 .NET技术大版内专家分月排行榜第二
2016年1月 .NET技术大版内专家分月排行榜第二
2015年12月 .NET技术大版内专家分月排行榜第二
2015年2月 .NET技术大版内专家分月排行榜第二
2015年1月 .NET技术大版内专家分月排行榜第二
2014年11月 .NET技术大版内专家分月排行榜第二
2014年5月 .NET技术大版内专家分月排行榜第二
2014年4月 .NET技术大版内专家分月排行榜第二
2012年2月 多媒体/设计/Flash/Silverlight 开发大版内专家分月排行榜第二
上面删除引用错了,应该是这个

引用 13 楼 gahyyai 的回复:
这些我都和他说过,他不听,非得让改,一个查询,近20个条件,参数化,不说了
只看TA 引用 举报 #19    得分 5
如何防止存储过程拼接字符串的sql注入问题??? ALTER PROCEDURE . @visitor_token BIGINT, @visitor_session BIGINT, @remote_ip VARCHAR(15), @user_id V
私信 空间 博客
tcmakebest
Bbs7
本版专家分:17319
Blank
蓝花 2016年3月 移动开发大版内专家分月排行榜第三
SQL拼接真太OUT了吧,只要确保单引号变双即可防注入.
但为何要因为坏的习惯而不使用高大上的参数化呢.
只看TA 引用 举报 #20    得分 0
更多帖子
私信 空间 博客
小灰狼
Bbs2
本版专家分:455
有传参数的办法,干嘛那么热衷于拼接SQL语句呢

其实两种办法并不矛盾,你在拼SQL的同时,也可以传参数
只看TA 引用 举报 #21    得分 0
SQL实现字符串的拼接 SQL实现字符串的拼接
更多帖子
私信 空间 博客
wm_jawin
Bbs6
本版专家分:6016
拼接不利于后期维护
只看TA 引用 举报 #22    得分 0
代码里使用字符串操作来拼接sql语句的坏处 1. 字符串操作更容易出错。 2. sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3. 效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。 4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句
更多帖子
私信 空间 博客
娃都会打酱油了
Bbs10
本版专家分:186635
版主
Blank
GitHub 绑定GitHub第三方账户获取
Blank
金牌 2015年9月 总版技术专家分月排行榜第一
2015年8月 总版技术专家分月排行榜第一
2015年7月 总版技术专家分月排行榜第一
2015年6月 总版技术专家分月排行榜第一
2015年5月 总版技术专家分月排行榜第一
2015年4月 总版技术专家分月排行榜第一
Blank
优秀版主 优秀小版主
Blank
银牌 2016年1月 总版技术专家分月排行榜第二
2015年11月 总版技术专家分月排行榜第二
2015年10月 总版技术专家分月排行榜第二
只想说:凭什么你认为我输入的select,insert是不正确的
只看TA 引用 举报 #23    得分 0
sql中字符串拼接问题 如图,guid是varchar型,aa是int型,values后面该怎么写
更多帖子
私信 空间 博客
qxyywy
Bbs5
本版专家分:2675
引用 1 楼 wyd1520 的回复:
可以防止呀,过虑某些字符就成。

+1 比如update 变更成update
只看TA 引用 举报 #24    得分 0
如何有效的防止SQL连接字符串注入  概念:在编写安全代码时,最重要的规则之一就是“绝对不要盲目的相信用户的输入”。利用ADO.NET 2.0的SqlConnectionStringBuilder类生成数据库连接字符串,它可以有效的防止“SQL连接字符串恶意注入”,因为这个类是专门为SQL SERVER设计的所以;它兼容旧式关键字。关于如何使用SqlConnectionStringBuilder类,请参考我以前写的一篇“智能数据
更多帖子
私信 空间 博客
於黾
Bbs9
本版专家分:88671
Blank
金牌 2015年2月 总版技术专家分月排行榜第一
2015年1月 总版技术专家分月排行榜第一
Blank
银牌 2015年3月 总版技术专家分月排行榜第二
2014年12月 总版技术专家分月排行榜第二
2014年9月 总版技术专家分月排行榜第二
Blank
红花 2015年3月 .NET技术大版内专家分月排行榜第一
2015年2月 .NET技术大版内专家分月排行榜第一
2015年1月 .NET技术大版内专家分月排行榜第一
2014年12月 .NET技术大版内专家分月排行榜第一
2014年11月 .NET技术大版内专家分月排行榜第一
Blank
黄花 2015年7月 .NET技术大版内专家分月排行榜第二
2015年6月 .NET技术大版内专家分月排行榜第二
2015年5月 .NET技术大版内专家分月排行榜第二
2014年10月 .NET技术大版内专家分月排行榜第二
2014年9月 .NET技术大版内专家分月排行榜第二
2014年8月 .NET技术大版内专家分月排行榜第二
引用 2 楼 gahyyai 的回复:
Quote: 引用 楼主 gahyyai 的回复:

如题,难道字符串拼接没有办法有效防止sql注入吗,必须要改用传参的方式?

过滤sql的关键字是不行的,如select什么的

应该过滤参数里的关键字,而不是等拼接完了才过滤
而且参数里有关键字,不是过滤了拉倒,而是直接报出错误,禁止提交
什么用户名里有单引号,这个在insert的时候就已经过滤了,让数据库里的数据不允许出现单引号,或者直接给转义掉
而不是等登陆查询的时候才去过滤
只看TA 引用 举报 #25    得分 0
更多帖子
私信 空间 博客
software_artisan
Bbs5
本版专家分:3120
改参数化很麻烦吗?

            var sql = "insert MDG_Employee (MID, Gender, WorkType, IdCardNo, DirectLeader, OfficeAddress, HomeAddress, Photo, EntryDate, DimissionDate, Description, Status, LoginUser, CreatorDeptId, CreatorUserId) select @MID, @Gender, @WorkType, @IdCardNo, @DirectLeader, @OfficeAddress, @HomeAddress, @Photo, @EntryDate, @DimissionDate, @Description, @Status, @LoginUser, @CreatorDeptId, @CreatorUserId";

            SqlParameter[] pam = { new SqlParameter("@MID", SqlDbType.UniqueIdentifier){ Value = d.MID },

                                   new SqlParameter("@Gender", d.Gender),

                                   new SqlParameter("@WorkType", SqlDbType.UniqueIdentifier){ Value = d.WorkType },

                                   new SqlParameter("@IdCardNo", d.IdCardNo),

                                   new SqlParameter("@DirectLeader", SqlDbType.UniqueIdentifier){ Value = d.DirectLeader },

                                   new SqlParameter("@OfficeAddress", d.OfficeAddress),

                                   new SqlParameter("@HomeAddress", d.HomeAddress),

                                   new SqlParameter("@Photo", SqlDbType.Image){ Value = d.Photo},

                                   new SqlParameter("@EntryDate", d.EntryDate),

                                   new SqlParameter("@DimissionDate", d.DimissionDate),

                                   new SqlParameter("@Description", d.Description),

                                   new SqlParameter("@Status", d.Status),

                                   new SqlParameter("@LoginUser", d.LoginUser),

                                   new SqlParameter("@CreatorDeptId", SqlDbType.UniqueIdentifier){ Value = d.CreatorDeptId },

                                   new SqlParameter("@CreatorUserId", SqlDbType.UniqueIdentifier){ Value = d.CreatorUserId },

                                   new SqlParameter("@Read", SqlDbType.Int){ Value = 0 } };


这样的sql很难写吗???
只看TA 引用 举报 #26    得分 0
多条件查询语句,避免sql拼接引起sql注入写法 para_count = (name,name,usertype,usertype) sql_count = """ select count(*) as counts from users where v_account_type !='tequia' AND (%s is NULL or v_username = %s) AND (%s i
更多帖子
私信 空间 博客
phommy
Bbs6
本版专家分:5062
就拼的sql防注入来说,字符串只要做到Replace(单引号,两个单引号),数值型只要做到拼的真是数字,就一定没问题了
不过参数化在重用查询计划、大字段操作方面是有优势的,能用就用

如果你觉得参数化的代码写起来麻烦,可能是因为没有提取出比较好用的公共方法。如果基础服务写的好的话,参数化的sql写起来并不比拼字符串麻烦。比如参数化后,写出来代码很可能是这样:

db.ExecScalar("select Code from Table where ID={0} and Status={1}", 100, "enable")
db.ExecScalar("select Code from Table where ID={ID} and Status={Status}", "ID", 100, "Status", "enable")
只看TA 引用 举报 #27    得分 0
SQL 字符串拼接 前言 字符串拼接是编程中经常会遇到的场景。在C语言中我们使用 char *strcat(char *dest, const char *src) 将src字符串拼接到dest字符串后面;C++更是通过操作符重载实现了可以直接对两个字符串进行相加操作(string str = "纯屌丝" + "程序员",则str="纯屌丝程序员");在结构化查询语言中则是通过‘||’符号实现字符串的拼接的。
更多帖子
私信 空间 博客
於黾
Bbs9
本版专家分:88671
Blank
金牌 2015年2月 总版技术专家分月排行榜第一
2015年1月 总版技术专家分月排行榜第一
Blank
银牌 2015年3月 总版技术专家分月排行榜第二
2014年12月 总版技术专家分月排行榜第二
2014年9月 总版技术专家分月排行榜第二
Blank
红花 2015年3月 .NET技术大版内专家分月排行榜第一
2015年2月 .NET技术大版内专家分月排行榜第一
2015年1月 .NET技术大版内专家分月排行榜第一
2014年12月 .NET技术大版内专家分月排行榜第一
2014年11月 .NET技术大版内专家分月排行榜第一
Blank
黄花 2015年7月 .NET技术大版内专家分月排行榜第二
2015年6月 .NET技术大版内专家分月排行榜第二
2015年5月 .NET技术大版内专家分月排行榜第二
2014年10月 .NET技术大版内专家分月排行榜第二
2014年9月 .NET技术大版内专家分月排行榜第二
2014年8月 .NET技术大版内专家分月排行榜第二
现在问题不是难不难的问题,而是楼主已经懒到一定境界了
最好是什么代码都不用改,在VS的某个选项里打个勾就能解决注入的问题
只看TA 引用 举报 #28    得分 0
SQLserver 动态拼接字符串 和字符串转换函数 SQLserver 小知识 1.动态拼接字符串 DECLARE @COL NVARCHAR(500)=N”,@SQL NVARCHAR(MAX)=N”,@XMMC NVARCHAR(200)=’微量元素测定’ SELECT @COL=@COL+’[‘+COLNM+’],’ FROM LabCross.DBO.BASEINFO WHERE CODENAME=@XMMC SET @COL=S...
我纯洁全身都纯洁
Bbs1
本版专家分:14
为何要拼接字符串 
只看TA 引用 举报 #29    得分 0
sql语句字符拼接 sql语句字符串拼接中容易产生 前后语句没有加空格 导致在sql 中运行时全连在一起,无法识别的问题 错误代码: $where = 'where 1=1';//where前 if($status!=&quot;all&quot;){ $where.=&quot;and p.status='{$status}'&quot;;//and 前 '{$status}'后没有空格 }; if($cate...
更多帖子
私信 空间 博客
huwei001982
Bbs6
本版专家分:5983
呵呵, 2015年了,还在讨论拼接字符串。。。
只看TA 引用 举报 #30    得分 0
更多帖子
私信 空间 博客
於黾
Bbs9
本版专家分:88671
Blank
金牌 2015年2月 总版技术专家分月排行榜第一
2015年1月 总版技术专家分月排行榜第一
Blank
银牌 2015年3月 总版技术专家分月排行榜第二
2014年12月 总版技术专家分月排行榜第二
2014年9月 总版技术专家分月排行榜第二
Blank
红花 2015年3月 .NET技术大版内专家分月排行榜第一
2015年2月 .NET技术大版内专家分月排行榜第一
2015年1月 .NET技术大版内专家分月排行榜第一
2014年12月 .NET技术大版内专家分月排行榜第一
2014年11月 .NET技术大版内专家分月排行榜第一
Blank
黄花 2015年7月 .NET技术大版内专家分月排行榜第二
2015年6月 .NET技术大版内专家分月排行榜第二
2015年5月 .NET技术大版内专家分月排行榜第二
2014年10月 .NET技术大版内专家分月排行榜第二
2014年9月 .NET技术大版内专家分月排行榜第二
2014年8月 .NET技术大版内专家分月排行榜第二
要么就限制长度(当然这样就没法发表文章了,要么文章用文本来存,不要存数据库)
只要限制只允许输入10个字符,保证啥注入语句都写不进去
只看TA 引用 举报 #31    得分 0
用stringbuilder写sql语句是不是可以防注 例如 StringBuilder sb=new StringBuilder(); sb.AppendFormat("update upFile set Description='{0}'",temds
狸丶不乖
Bbs1
本版专家分:4
EF的路过
只看TA 引用 举报 #32    得分 0
PreparedStatement防止SQL注入小记 突发奇想想知道为什么preparedstatement.setString()这种设置参数为什么能防止SQL注入,它这么设置后打印出来的SQL语句是什么格式的, select count(*) as total from test0 t  where t.name = '"+username+"'"  这种如果输入  ' or 1=1 -- (PS: --空格, 这里必须要有空格才算注释) 这
1401445147
Bbs1
本版专家分:0
呵呵, 2015年了,还在讨论拼接字符串
只看TA 引用 举报 #33    得分 0
项目完善的防sql注入,但是前台提交的关键词有and,or怎么破 项目中有完善的防sql注入,但是页面有些地方提交的关键词里面包含了and ,要怎么去解决。 但是直接在js里面去替换肯定是不行的,后台替换掉,然后前台显示又会有问题。怎么破
更多帖子
私信 空间 博客
猴头
Bbs3
本版专家分:549
拼接 SQl字符串,确实有些落伍,不过,我们部门的项目现在还是采用直连数据库+拼接字符串的方式呢,

但是你要是说一条 sql语句 条件太多,如果采用 拼接字符串的方式,反倒不如采用参数化的方式 明亮呢。
只看TA 引用 举报 #34    得分 0
java 防止SQL注入 字符串过滤 java 字符串过滤关键字符 防止sql注入
kfckcf1997
Bbs1
本版专家分:0
呵呵,都2017年了,还在讨论拼接字符串
只看TA 引用 举报 #35    得分 0
不再痴痴迷迷
Bbs1
本版专家分:0
呵呵,都2017年了,还在讨论拼接字符串
只看TA 引用 举报 #36    得分 0
HQL查询语句拼接规范,避免SQL注入攻击 软件开发过程中不仅要考虑软件的功能实现,还要考虑软件的安全性,如果一个软件系统安全性做得不好,一旦被黑客攻击,后果不堪设想。对于B/S系统,SQL注入攻击就是一个常见的安全隐患,下面我们来看下如何在日常开发中避免SQL注入攻击。SQL注入简介 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数
weixin_38290187
Bbs1
本版专家分:0
呵呵 都2017年10月了 还在讨论拼接字符串
只看TA 引用 举报 #37    得分 0
相见恨晚的超实用网站 相见恨晚的超实用网站 持续更新中。。。
字节跳动视频编解码面经
三四月份投了字节跳动的实习(图形图像岗位),然后hr打电话过来问了一下会不会opengl,c++,shador,当时只会一点c++,其他两个都不会,也就直接被拒了。 七月初内推了字节跳动的提前批,因为内推没有具体的岗位,hr又打电话问要不要考虑一下图形图像岗,我说实习投过这个岗位不合适,不会opengl和shador,然后hr就说秋招更看重基础。我当时想着能进去就不错了,管他哪个岗呢,就同意了面试...
Java学习的正确打开方式
在博主认为,对于入门级学习java的最佳学习方法莫过于视频+博客+书籍+总结,前三者博主将淋漓尽致地挥毫于这篇博客文章中,至于总结在于个人,实际上越到后面你会发现学习的最好方式就是阅读参考官方文档其次就是国内的书籍,博客次之,这又是一个层次了,这里暂时不提后面再谈。博主将为各位入门java保驾护航,各位只管冲鸭!!!上天是公平的,只要不辜负时间,时间自然不会辜负你。 何谓学习?博主所理解的学习,它是一个过程,是一个不断累积、不断沉淀、不断总结、善于传达自己的个人见解以及乐于分享的过程。
程序员必须掌握的核心算法有哪些?
由于我之前一直强调数据结构以及算法学习的重要性,所以就有一些读者经常问我,数据结构与算法应该要学习到哪个程度呢?,说实话,这个问题我不知道要怎么回答你,主要取决于你想学习到哪些程度,不过针对这个问题,我稍微总结一下我学过的算法知识点,以及我觉得值得学习的算法。这些算法与数据结构的学习大多数是零散的,并没有一本把他们全部覆盖的书籍。下面是我觉得值得学习的一些算法以及数据结构,当然,我也会整理一些看过...
大学四年自学走来,这些私藏的实用工具/学习网站我贡献出来了
大学四年,看课本是不可能一直看课本的了,对于学习,特别是自学,善于搜索网上的一些资源来辅助,还是非常有必要的,下面我就把这几年私藏的各种资源,网站贡献出来给你们。主要有:电子书搜索、实用工具、在线视频学习网站、非视频学习网站、软件下载、面试/求职必备网站。 注意:文中提到的所有资源,文末我都给你整理好了,你们只管拿去,如果觉得不错,转发、分享就是最大的支持了。 一、电子书搜索 对于大部分程序员...
linux系列之常用运维命令整理笔录
本博客记录工作中需要的linux运维命令,大学时候开始接触linux,会一些基本操作,可是都没有整理起来,加上是做开发,不做运维,有些命令忘记了,所以现在整理成博客,当然vi,文件操作等就不介绍了,慢慢积累一些其它拓展的命令,博客不定时更新 free -m 其中:m表示兆,也可以用g,注意都要小写 Men:表示物理内存统计 total:表示物理内存总数(total=used+free) use...
比特币原理详解
一、什么是比特币 比特币是一种电子货币,是一种基于密码学的货币,在2008年11月1日由中本聪发表比特币白皮书,文中提出了一种去中心化的电子记账系统,我们平时的电子现金是银行来记账,因为银行的背后是国家信用。去中心化电子记账系统是参与者共同记账。比特币可以<em>防止</em>主权危机、信用风险。其好处不多做赘述,这一层面介绍的文章很多,本文主要从更深层的技术原理角度进行介绍。 二、问题引入 假设现有4个人...
python学习方法总结(内附python全套学习资料)
不要再问我python好不好学了 我之前做过半年少儿编程老师,一个小学四年级的小孩子都能在我的教学下独立完成python游戏,植物大战僵尸简单版,如果要肯花时间,接下来的网络开发也不是问题,人工智能也可以学个调包也没啥问题。。。。。所以python真的是想学就一定能学会的!!!! --------------------华丽的分割线-------------------------------- ...
python 简易微信实现(注册登录+数据库存储+聊天+GUI+文件传输)
socket+tkinter详解+简易微信实现 历经多天的努力,查阅了许多大佬的博客后终于实现了一个简易的微信O(∩_∩)O~~ 简易数据库的实现 使用pands+CSV实现数据库框架搭建 import socket import threading from pandas import * import pymy<em>sql</em> import csv # 创建DataFrame对象 # 存储用户数据的表(...
程序员接私活怎样防止做完了不给钱?
首先跟大家说明一点,我们做 IT 类的外包开发,是非标品开发,所以很有可能在开发过程中会有这样那样的需求修改,而这种需求修改很容易造成扯皮,进而影响到费用支付,甚至出现做完了项目收不到钱的情况。 那么,怎么保证自己的薪酬安全呢? 我们在开工前,一定要做好一些证据方面的准备(也就是“讨薪”的理论依据),这其中最重要的就是需求文档和验收标准。一定要让需求方提供这两个文档资料作为开发的基础。之后开发...
网页实现一个简单的音乐播放器(大佬别看。(⊙﹏⊙))
今天闲着无事,就想写点东西。然后听了下歌,就打算写个播放器。 于是乎用h5 audio的加上js简单的播放器完工了。 演示地点演示 html代码如下` music 这个年纪 七月的风 音乐 ` 然后就是css`*{ margin: 0; padding: 0; text-decoration: none; list-...
Python十大装B语法
Python 是一种代表简单思想的语言,其语法相对简单,很容易上手。不过,如果就此小视 Python 语法的精妙和深邃,那就大错特错了。本文精心筛选了最能展现 Python 语法之精妙的十个知识点,并附上详细的实例代码。如能在实战中融会贯通、灵活使用,必将使代码更为精炼、高效,同时也会极大提升代码B格,使之看上去更老练,读起来更优雅。
数据库优化 - SQL优化
以实际SQL入手,带你一步一步走上SQL优化之路!
2019年11月中国大陆编程语言排行榜
2019年11月2日,我统计了某招聘网站,获得<em>有效</em>程序员招聘数据9万条。针对招聘信息,提取编程语言关键字,并统计如下: 编程语言比例 rank pl_ percentage 1 java 33.62% 2 cpp 16.42% 3 c_sharp 12.82% 4 javascript 12.31% 5 python 7.93% 6 go 7.25% 7 p...
通俗易懂地给女朋友讲:线程池的内部原理
餐盘在灯光的照耀下格外晶莹洁白,女朋友拿起红酒杯轻轻地抿了一小口,对我说:“经常听你说线程池,到底线程池到底是个什么原理?”
《奇巧淫技》系列-python!!每天早上八点自动发送天气预报邮件到QQ邮箱
将代码部署服务器,每日早上定时获取到天气数据,并发送到邮箱。 也可以说是一个小型人工智障。 知识可以运用在不同地方,不一定非是天气预报。
经典算法(5)杨辉三角
杨辉三角 是经典算法,这篇博客对它的算法思想进行了讲解,并有完整的代码实现。
Python实例大全(基于Python3.7.4)
博客说明: 这是自己写的有关python语言的一篇综合博客。 只作为知识广度和编程技巧学习,不过于追究学习深度,点到即止、会用即可。 主要是基础语句,如三大控制语句(顺序、分支、循环),随机数的生成,数据类型的区分和使用; 也会涉及常用的算法和数据结构,以及面试题相关经验; 主体部分是针对python的数据挖掘和数据分析,主要先攻爬虫方向:正则表达式匹配,常用数据清洗办法,scrapy及其他爬虫框架,数据存储方式及其实现; 最后还会粗略涉及人工智能领域,玩转大数据与云计算、进行相关的预测和分析。
腾讯算法面试题:64匹马8个跑道需要多少轮才能选出最快的四匹?
昨天,有网友私信我,说去阿里面试,彻底的被打击到了。问了为什么网上大量使用ThreadLocal的源码都会加上private static?他被难住了,因为他从来都没有考虑过这个问题。无独有偶,今天笔者又发现有网友吐槽了一道腾讯的面试题,我们一起来看看。 腾讯算法面试题:64匹马8个跑道需要多少轮才能选出最快的四匹? 在互联网职场论坛,一名程序员发帖求助到。二面腾讯,其中一个算法题:64匹...
面试官:你连RESTful都不知道我怎么敢要你?
干货,2019 RESTful最贱实践
刷了几千道算法题,这些我私藏的刷题网站都在这里了!
遥想当年,机缘巧合入了 ACM 的坑,周边巨擘林立,从此过上了"天天被虐似死狗"的生活… 然而我是谁,我可是死狗中的战斗鸡,智力不够那刷题来凑,开始了夜以继日哼哧哼哧刷题的日子,从此"读题与提交齐飞, AC 与 WA 一色 ",我惊喜的发现被题虐既刺激又有快感,那一刻我泪流满面。这么好的事儿作为一个正直的人绝<em>不能</em>自己独享,经过激烈的颅内斗争,我决定把我私藏的十几个 T 的,阿不,十几个刷题网...
为啥国人偏爱Mybatis,而老外喜欢Hibernate/JPA呢?
关于SQL和ORM的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行了一番讨论,感触还是有一些,于是就有了今天这篇文。 声明:本文不会下关于Mybatis和JPA两个持久层框架哪个更好这样的结论。只是摆事实,讲道理,所以,请各位看官勿喷。 一、事件起因 关于Mybatis和JPA孰优孰劣的问题,争论已经很多年了。一直也没有结论,毕竟每个人的喜好和习惯是大不相同的。我也看...
SQL-小白最佳入门sql查询一
不要偷偷的查询我的个人资料,即使你再喜欢我,也不要这样,真的不好;
JavaScript 为什么能活到现在?
作者 | 司徒正美 责编 |郭芮 出品 | CSDN(ID:CSDNnews) JavaScript能发展到现在的程度已经经历不少的坎坷,早产带来的某些缺陷是永久性的,因此浏览器才有禁用JavaScript的选项。甚至在jQuery时代有人问出这样的问题,jQuery与JavaScript哪个快?在Babel.js出来之前,发明一门全新的语言代码代替JavaScript...
项目中的if else太多了,该怎么重构?
介绍 最近跟着公司的大佬开发了一款IM系统,类似QQ和微信哈,就是聊天软件。我们有一部分业务逻辑是这样的 if (msgType = "文本") { // dosomething } else if(msgType = "图片") { // doshomething } else if(msgType = "视频") { // doshomething } else { // doshom...
Nginx 原理和架构
Nginx 是一个免费的,开源的,高性能的 HTTP 服务器和反向代理,以及 IMAP / POP3 代理服务器。Nginx 以其高性能,稳定性,丰富的功能,简单的配置和低资源消耗而闻名。 Nginx 的整体架构 Nginx 里有一个 master 进程和多个 worker 进程。master 进程并不处理网络请求,主要负责调度工作进程:加载配置、启动工作进程及非停升级。worker 进程负责处...
致 Python 初学者
欢迎来到“Python进阶”专栏!来到这里的每一位同学,应该大致上学习了很多 Python 的基础知识,正在努力成长的过程中。在此期间,一定遇到了很多的困惑,对未来的学习方向感到迷茫。我非常理解你们所面临的处境。我从2007年开始接触 python 这门编程语言,从2009年开始单一使用 python 应对所有的开发工作,直至今天。回顾自己的学习过程,也曾经遇到过无数的困难,也曾经迷茫过、困惑过。开办这个专栏,正是为了帮助像我当年一样困惑的 Python 初学者走出困境、快速成长。希望我的经验能真正帮到你
Python 编程开发 实用经验和技巧
Python是一门很灵活的语言,也有很多实用的方法,有时候实现一个功能可以用多种方法实现,我这里总结了一些常用的方法和技巧,包括小数保留指定位小数、判断变量的数据类型、类方法@classmethod、制表符中文对齐、遍历字典、datetime.timedelta的使用等,会持续更新......
吐血推荐珍藏的Visual Studio Code插件
作为一名Java工程师,由于工作需要,最近一个月一直在写NodeJS,这种经历可以说是一部辛酸史了。好在有神器Visual Studio Code陪伴,让我的这段经历没有更加困难。眼看这段经历要告一段落了,今天就来给大家分享一下我常用的一些VSC的插件。 VSC的插件安装方法很简单,只需要点击左侧最下方的插件栏选项,然后就可以搜索你想要的插件了。 下面我们进入正题 Material Theme ...
“狗屁不通文章生成器”登顶GitHub热榜,分分钟写出万字形式主义大作
一、垃圾文字生成器介绍 最近在浏览GitHub的时候,发现了这样一个骨骼清奇的雷人项目,而且热度还特别高。 项目中文名:狗屁不通文章生成器 项目英文名:BullshitGenerator 根据作者的介绍,他是偶尔需要一些中文文字用于GUI开发时测试文本渲染,因此开发了这个废话生成器。但由于生成的废话实在是太过富于哲理,所以最近已经被小伙伴们给玩坏了。 他的文风可能是这样的: 你发现,...
程序员:我终于知道post和get的区别
是一个老生常谈的话题,然而随着不断的学习,对于以前的认识有很多误区,所以还是需要不断地总结的,学而时习之,不亦说乎
《程序人生》系列-这个程序员只用了20行代码就拿了冠军
你知道的越多,你不知道的越多 点赞再看,养成习惯GitHub上已经开源https://github.com/JavaFamily,有一线大厂面试点脑图,欢迎Star和完善 前言 这一期不算《吊打面试官》系列的,所有没前言我直接开始。 絮叨 本来应该是没有这期的,看过我上期的小伙伴应该是知道的嘛,双十一比较忙嘛,要值班又要去帮忙拍摄年会的视频素材,还得搞个程序员一天的Vlog,还要写BU...
加快推动区块链技术和产业创新发展,2019可信区块链峰会在京召开
11月8日,由中国信息通信研究院、中国通信标准化协会、中国互联网协会、可信区块链推进计划联合主办,科技行者协办的2019可信区块链峰会将在北京悠唐皇冠假日酒店开幕。   区块链技术被认为是继蒸汽机、电力、互联网之后,下一代颠覆性的核心技术。如果说蒸汽机释放了人类的生产力,电力解决了人类基本的生活需求,互联网彻底改变了信息传递的方式,区块链作为构造信任的技术有重要的价值。   1...
Python 植物大战僵尸代码实现(2):植物卡片选择和种植
这篇文章要介绍的是: - 上方植物卡片栏的实现。 - 点击植物卡片,鼠标切换为植物图片。 - 鼠标移动时,判断当前在哪个方格中,并显示半透明的植物作为提示。
Python3.7黑帽编程——病毒篇(基础篇)
引子 Hacker(黑客),往往被人们理解为只会用非法手段来破坏网络安全的计算机高手。但是,黑客其实不是这样的,真正的“网络破坏者”是和黑客名称和读音相似的骇客。 骇客,是用黑客手段进行非法操作并为己取得利益的人。黑客,是用黑客手段为国家或单位做事的人。 那么,既然黑客不是一个很坏的职业,我们就可以去试着学习。 黑客本身的初衷 ——黑客其实一直是善良的。 骇客其实他的前身就是黑客。 骇客与黑客分家...
程序员把地府后台管理系统做出来了,还有3.0版本!12月7号最新消息:已在开发中有github地址
第一幕:缘起 听说阎王爷要做个生死簿后台管理系统,我们派去了一个程序员…… 996程序员做的梦: 第一场:团队招募 为了应对地府管理危机,阎王打算找“人”开发一套地府后台管理系统,于是就在地府总经办群中发了项目需求。 话说还是中国电信的信号好,地府都是满格,哈哈!!! 经常会有外行朋友问:看某网站做的不错,功能也简单,你帮忙做一下? 而这次,面对这样的需求,这个程序员...
网易云6亿用户音乐推荐算法
网易云音乐是音乐爱好者的集聚地,云音乐推荐系统致力于通过 AI 算法的落地,实现用户千人千面的个性化推荐,为用户带来不一样的听歌体验。 本次分享重点介绍 AI 算法在音乐推荐中的应用实践,以及在算法落地过程中遇到的挑战和解决方案。 将从如下两个部分展开: AI算法在音乐推荐中的应用 音乐场景下的 AI 思考 从 2013 年 4 月正式上线至今,网易云音乐平台持续提供着:乐屏社区、UGC...
8年经验面试官详解 Java 面试秘诀
作者 |胡书敏 责编 | 刘静 出品 | CSDN(ID:CSDNnews) 本人目前在一家知名外企担任架构师,而且最近八年来,在多家外企和互联网公司担任Java技术面试官,前后累计面试了有两三百位候选人。在本文里,就将结合本人的面试经验,针对Java初学者、Java初级开发和Java开发,给出若干准备简历和准备面试的建议。 Java程序员准备和投递简历的实...
面试官如何考察你的思维方式?
1.两种思维方式在求职面试中,经常会考察这种问题:北京有多少量特斯拉汽车?某胡同口的煎饼摊一年能卖出多少个煎饼?深圳有多少个产品经理?一辆公交车里能装下多少个乒乓球?一个正常成年人有多少根头发?这类估算问题,被称为费米问题,是以科学家费米命名的。为什么面试会问这种问题呢?这类问题能把两类人清楚地区分出来。一类是具有文科思维的人,擅长赞叹和模糊想象,它主要依靠的是人的第一反应和直觉,比如小孩...
17张图带你解析红黑树的原理!保证你能看懂!
二叉查找树 由于红黑树本质上就是一棵二叉查找树,所以在了解红黑树之前,咱们先来看下二叉查找树。 二叉查找树(Binary Search Tree),也称有序二叉树(ordered binary tree),排序二叉树(sorted binary tree),是指一棵空树或者具有下列性质的二叉树: 若任意结点的左子树不空,则左子树上所有结点的值均小于它的根结点的值; 若任意结点的...
用Go重构C语言系统,这个抗住春晚红包的百度转发引擎承接了万亿流量
整理 | 夕颜出品 | AI科技大本营(ID:rgznai100)11 月 20 日,百度的万亿流量转发引擎 BFE 登上了 GitHub Trending Top 3,今日 Star 已突破 270。事实上,这个曾经抗住 2019 年春晚抢红包的转发引擎早已于 2019 年夏在 GitHub 上开源,今天突然再次引发关注,那我们不妨来回顾一下这个项目。 首先奉上 Gi...
so easy! 10行代码写个"狗屁不通"文章生成器
前几天,GitHub 有个开源项目特别火,只要输入标题就可以生成一篇长长的文章。 背后实现代码一定很复杂吧,里面一定有很多高深莫测的机器学习等复杂算法 不过,当我看了源代码之后 这程序不到50行 尽管我有多年的Python经验,但我竟然一时也没有看懂 当然啦,原作者也说了,这个代码也是在无聊中诞生的,平时撸码是不写中文变量名的, 中文...
知乎高赞:中国有什么拿得出手的开源软件产品?(整理自本人原创回答)
知乎高赞:中国有什么拿得出手的开源软件产品? 在知乎上,有个问题问“中国有什么拿得出手的开源软件产品(在 GitHub 等社区受欢迎度较好的)?” 事实上,还不少呢~ 本人于2019.7.6进行了较为全面的回答,对这些受欢迎的 Github 开源项目分类整理如下: 分布式计算、云平台相关工具类 1.SkyWalking,作者吴晟、刘浩杨 等等 仓库地址: apache/skywalking 更...
MySQL数据库总结
一、数据库简介 数据库(Database,DB)是按照数据结构来组织,存储和管理数据的仓库。 典型特征:数据的结构化、数据间的共享、减少数据的冗余度,数据的独立性。 关系型数据库:使用关系模型把数据组织到数据表(table)中。现实世界可以用数据来描述。 主流的关系型数据库产品:Oracle(Oracle)、DB2(IBM)、SQL Server(MS)、MySQL(Oracle)。 数据表:数...
常用Linux命令行技巧
结果以表格形式输出 column -t 比如; mount | column -t 默认分隔符为空格,如果输出文件是以别的字符进行分割的呢,比如/etc/passwd中的冒号,那么,我们可以通过-s参数来指定 cat /etc/passwd | column -t -s: 重复执行某个命令直至执行结果成功 while true 按内存使用大小列出进程信息 ps aux | sort ...
20行Python代码爬取王者荣耀全英雄皮肤
引言 王者荣耀大家都玩过吧,没玩过的也应该听说过,作为时下最火的手机MOBA游戏,咳咳,好像跑题了。我们今天的重点是爬取王者荣耀所有英雄的所有皮肤,而且仅仅使用20行Python代码即可完成。 准备工作 爬取皮肤本身并不难,难点在于分析,我们首先得得到皮肤图片的url地址,话不多说,我们马上来到王者荣耀的官网: 我们点击英雄资料,然后随意地选择一位英雄,接着F12打开调试台,找到英雄原皮肤的图片...
张小龙-年薪近3亿的微信之父,他是如何做到的?
张小龙生于湖南邵东魏家桥镇, 家庭主要特点:穷。 不仅自己穷,亲戚也都很穷,可以说穷以类聚。爷爷做过铜匠,总的来说,标准的劳动阶级出身。 家有兄弟两人, 一个小龙,一个小虎。 小虎好动,与邻里打成一片, 小龙好静,喜好读书。 “文静的像个妹子。”张小龙的表哥如是说。 穷文富武,做个读书郎是个不错的选择。 87年至94年, 华中科技大学本硕连读。 本科就读电信系, 不喜欢上课...
西游记团队中如果需要裁掉一个人,会先裁掉谁?
2019年互联网寒冬,大批企业开始裁员,下图是网上流传的一张截图: 裁员不可避免,那如何才能做到不管大环境如何变化,自身不受影响呢? 我们先来看一个有意思的故事,如果西游记取经团队需要裁员一名,会裁掉谁呢,为什么? 西游记团队组成: 1.唐僧 作为团队teamleader,有很坚韧的品性和极高的原则性,不达目的不罢休,遇到任何问题,都没有退缩过,又很得上司支持和赏识(直接得到唐太宗的任命,既给袈...
iOS Bug 太多,苹果终于坐不住了!
开源的 Android 和闭源的 iOS,作为用户的你,更偏向哪一个呢? 整理 | 屠敏 出品 | CSDN(ID:CSDNnews) 毋庸置疑,当前移动设备操作系统市场中,Android 和 iOS 作为两大阵营,在相互竞争的同时不断演进。不过一直以来,开源的 Android 吸引了无数的手机厂商涌入其中,为其生态带来了百花齐放的盛景,但和神秘且闭源的 iOS 系统相比,不少网友...
程序员一般通过什么途径接私活?
二哥,你好,我想知道一般程序猿都如何接私活,我也想接,能告诉我一些方法吗? 上面是一个读者“烦不烦”问我的一个问题。其实不止是“烦不烦”,还有很多读者问过我类似这样的问题。 我接的私活不算多,挣到的钱也没有多少,加起来不到 20W。说实话,这个数目说出来我是有点心虚的,毕竟太少了,大家轻喷。但我想,恰好配得上“一般程序员”这个称号啊。毕竟苍蝇再小也是肉,我也算是有经验的人了。 唾弃接私活、做外...
(经验分享)作为一名普通本科计算机专业学生,我大学四年到底走了多少弯路
今年正式步入了大四,离毕业也只剩半年多的时间,回想一下大学四年,感觉自己走了不少弯路,今天就来分享一下自己大学的学习经历,也希望其他人能不要走我走错的路。 (一)初进校园 刚进入大学的时候自己完全就相信了高中老师的话:“进入大学你们就轻松了”。因此在大一的时候自己学习的激情早就被抛地一干二净,每天不是在寝室里玩游戏就是出门游玩,不过好在自己大学时买的第一台笔记本性能并不是很好,也没让我彻底沉...
2020年大前端发展趋势
迅速发展的前端开发,在每⼀年,都为开发者带来了新的关键词。2019 年已步⼊尾声,2020 年前端发展的关键词⼜将有哪些呢?发展的方向又会是什么呢?参考2019年大前端的发展,不出意外,前端依旧会围绕⼩程序、超级APP、跨端开发、前端⼯程化以及新技术运用等几个方面进行展开(可以参考2019年大前端技术趋势深度解读)。 小程序 在⼩程序⽅⾯,今年仍然是⼩程序突⻜猛进的⼀年,各⼤主流的 App 都上线...
Go开发 之 容器(数组Array、切片slice、映射map、列表list)
文章目录0、唠唠叨叨1、数组-Array1.1、什么是数组1.1.1、数组的声明1.1.2、比较两个数组是否相等1.1.3、示例1.1.3.1、通过索引下标访问元素1.1.3.2、数组每个元素都会被初始化为元素类型对应的零值1.1.3.3、在数组长度出现“...”,表示长度是根据初始化值的个数来计算1.1.3.4、数组的长度需要在编译阶段确定1.1.3.5、数组比较1.1.3.6、遍历数组(访问每...
GitHub 标星 1.6w+,我发现了一个宝藏项目,作为编程新手有福了!
大家好,我是 Rocky0429,一个最近老在 GitHub 上闲逛的蒟蒻… 特别惭愧的是,虽然我很早就知道 GitHub,但是学会逛 GitHub 的时间特别晚。当时一方面是因为菜,看着这种全是英文的东西难受,不知道该怎么去玩,另一方面是一直在搞 ACM,没有做一些工程类的项目,所以想当然的以为和 GitHub 也没什么关系(当然这种想法是错误的)。 后来自己花了一个星期看完了 Pyt...
大学两年,写了这篇几十万字的干货总结
本文十天后设置为粉丝可见,喜欢的提前关注 不要白嫖请点赞 不要白嫖请点赞 不要白嫖请点赞 文中提到的书我都有电子版,可以评论邮箱发给你。 文中提到的书我都有电子版,可以评论邮箱发给你。 文中提到的书我都有电子版,可以评论邮箱发给你。 本篇文章应该算是Java后端开发技术栈的,但是大部分是基础知识,所以我觉得对任何方向都是有用的。 1、数据结构 数据结构是计算机存储、...
给迷茫的计算机系大学生的一封信 JAVA
看这标题,我突然词穷了!我不知道我该去说什么!说你们这群大学生,别玩了?还是,你们这却大学生好好努力吧!我似乎不配说,因为我的大学,也是浑浑噩噩,就那样过去了!后知后觉的我,直到毕业半年,才知道,这段回忆是我最不想回忆的时光!也是我心窝里,最不忍诋毁的时光; 说实话,这封信我早就应该写!但是最近太忙了;我写这封信的原因不是我有多好心!也不是我突然去关心大学生们...
推荐10个堪称神器的学习网站
每天都会收到很多读者的私信,问我:“二哥,有什么推荐的学习网站吗?最近很浮躁,手头的一些网站都看烦了,想看看二哥这里有什么新鲜货。” 今天一早做了个恶梦,梦到被老板辞退了。虽然说在我们公司,只有我辞退老板的份,没有老板辞退我这一说,但是还是被吓得 4 点多都起来了。(主要是因为我掌握着公司所有的核心源码,哈哈哈) 既然 4 点多起来,就得好好利用起来。于是我就挑选了 10 个堪称神器的学习网站,推...
大学四年因为知道了这32个网站,我成了别人眼中的大神!
依稀记得,毕业那天,我们导员发给我毕业证的时候对我说“你可是咱们系的风云人物啊”,哎呀,别提当时多开心啦????,嗯,我们导员是所有导员中最帅的一个,真的???? 不过,导员说的是实话,很多人都叫我大神的,为啥,因为我知道这32个网站啊,你说强不强????,这次是绝对的干货,看好啦,走起来! PS:每个网站都是学计算机混互联网必须知道的,真的牛杯,我就不过多介绍了,大家自行探索,觉得没用的,尽管留言吐槽吧???? 社...
程序员写了一个新手都写不出的低级bug,被骂惨了。
这种新手都不会范的错,居然被一个工作好几年的小伙子写出来,差点被当场开除了。
GitHub 上有哪些适合新手跟进的优质项目?
专栏 | 九章算法 网址 | www.jiuzhang.com/?utm_source=sc-csdn-fks HelloGitHub star:19k Python,Java,PHP,C++,go,swift等各种编程语言的项目都有,每月28号更新发布(持续更新中)。这些开源项目大多都是非常容易上手,适合新手。 接下来按分享几个Python和Java相关,有趣又优质的项目。 Python: ...
【除夕夜特辑】手把手教你微信公众号开发
文章目录文章主题开发环境的搭建内网穿透接入微信公众平台填写服务器配置验证消息的确来自微信服务器接收消息回复消息聊天机器人 各位读者朋友们好,今天是除夕,在这里先祝大家新年快乐。这篇文章其实是一个星期前写的,一直在电脑里放着,赶上今天的好日子,机缘巧合的情况下被我重新发现,于是就发布出来了。 文章主题 这篇文章的主题是微信公众号开发,我在去年也开通了自己的微信公众号,不过没有很用心地去做,然后空闲时...
35岁的年纪
35岁的计划
用Python写春联:抒写最真诚的祝福和最美好的祈愿
春联是中国传统文化中最具内涵的元素之一,它以对仗工整、简洁精巧的文字描绘美好形象,抒发美好愿望,是中国特有的文学形式,是华人们过年的重要习俗。每逢春节期间,无论城市还是农村,家家户户都要精选一副大红春联贴于门上,辞旧迎新,以增加节日的喜庆气氛。据考证,这一习俗起于宋代,盛于明代。有据可查的最早的春联是“三阳始布,四序初开”,始见于莫高窟藏经洞出土的文物中,撰联人为唐人刘丘子,作于开元十一年(723年)。
作为一个程序员,CPU的这些硬核知识你必须会!
CPU对每个程序员来说,是个既熟悉又陌生的东西? 如果你只知道CPU是中央处理器的话,那可能对你并没有什么用,那么作为程序员的我们,必须要搞懂的就是CPU这家伙是如何运行的,尤其要搞懂它里面的寄存器是怎么一回事,因为这将让你从底层明白程序的运行机制。 随我一起,来好好认识下CPU这货吧 把CPU掰开来看 对于CPU来说,我们首先就要搞明白它是怎么回事,也就是它的内部构造,当然,CPU那么牛的一个东...
qvod资源搜过v2.2.1下载
简单快速搜索QVOD相关资源 相关下载链接:[url=//download.csdn.net/download/anranbaoyu3/4259708?utm_source=bbsseo]//download.csdn.net/download/anranbaoyu3/4259708?utm_source=bbsseo[/url]
文件编辑器下载
基于java的文件编辑器,能打开,保存,另存文件,还有对字体,颜色的改变 相关下载链接:[url=//download.csdn.net/download/u012150318/6793777?utm_source=bbsseo]//download.csdn.net/download/u012150318/6793777?utm_source=bbsseo[/url]
stm32开发板原理图下载
stm32开发板原理图 相关下载链接:[url=//download.csdn.net/download/qq_40153820/10510317?utm_source=bbsseo]//download.csdn.net/download/qq_40153820/10510317?utm_source=bbsseo[/url]
相关热词 c#中dns类 c#合并的excel c# implicit c#怎么保留3个小数点 c# 串口通信、 网络调试助手c# c# 泛型比较大小 c#解压分卷问题 c#启动居中 c# 逻辑或运算符
我们是很有底线的